DEF CON Cloud Village CTF'nin Tasarlanmasından Öğrenilen 7 Ders

Bayrağı Yakalama (CTF) etkinlikleri hem eğlenceli hem de eğitici olup, siber güvenlik profesyonellerine yapıcı ve güvenli bir ortamda yeni kavramlar öğrenirken bilgisayar korsanlığı becerilerini geliştirmenin bir yolunu sunar. İyi tasarlanmış CTF'ler bireyleri ve ekipleri operasyonel zorluklarla, yeni saldırı yollarıyla ve daha sonra hem saldırı hem de savunma güvenliği profesyonelleri olarak işlerinde uygulayabilecekleri yaratıcı senaryolarla karşı karşıya getirir.

Ancak tüm CTF'ler eşit yaratılmamıştır ve başarılı bir CTF yarışması tasarlamak için sadece zorlukların üstesinden gelmekten çok daha fazlası gerekir. Teknik tasarım zorluklarının yanı sıra, ortamın oluşturulması ve rekabetin fiilen yürütülmesi, ilgi çekici bir oyun oluşturmak için gereken yaratıcı planlama ve puanlamanın nasıl yapılacağına dair ödünleşimler gibi zorlukların oyunlaştırılmasıyla ilgili ayrıntıların dikkate alınmasıyla ilgili operasyonel hususlar da vardır. yapı kurulur.

“Bir tasarımcı olarak CTF'nin zorlu ve eğlenceli olmasını istiyorum. Zeki, bu konuda gerçekten çalışan ve ısrarcı olan insanları ödüllendirmek istiyorum” diyor Netskope'un Tehdit Araştırma Laboratuvarları ekibinin baş araştırmacısı ve geçen yılın DEF CON Bulut Köyü CTF'sinin ekip lideri Jenko Hwong. "Aynı zamanda bizim için de pratik olması gerekiyor."

Eğlenceli ve pratik Hwong'un DEF CON CTF'ye getirdiği zihniyet, 400'den fazla kişinin ve ekibin bu mücadelede ellerini denediği ve 20 kişilik bir ekibin etkinliği yürütmek için onun altında çalıştığı, çok günlü devasa bir etkinlikti. Kıdemli bir araştırmacı ve tecrübeli bir CTF katılımcısı olan Hwong, bu etkinlikten önce hiç bir CTF düzenlememişti. İşteki ilk denemesindeki en büyük umutlarından biri, günümüzde CTF'lerde bazen sorun teşkil edebilen, etkinlikteki zorlukların alaka düzeyini ve gerçekçiliğini artırmaktı.

“Bazen bu CTF'lerde gerçekten zorlu bir mücadeleyle karşılaşıyorsunuz ama sanki bunun amacı ne? Bu bir şifre çözme veya şifreleme problemi olacak ve olay 'İşte bir şey, iyi şanslar' şeklinde olacak ve sonra gerçeklikten tamamen kopmamış olabilecek ama daha büyük bir şeye tam olarak uymayan tüm bu çemberlerin içinden atlamak zorunda kalacaksınız. hikayesi,” diyor. "Dolayısıyla, çağrıyı aldığımda düşüncem şöyleydi: 'Hadi hemen konuya girelim, eğlenceli ama aynı zamanda anlamlı ve belki de araştırma penetrasyon testinin gerçek dünyasıyla ilişkilendirilebilecek iyi bir hikaye ve iyi bir dizi zorluk bulalım. savunma önlemleri, gerçek dünyada olup bitenler.'”

Ancak projeye girişirken özellikle zorlayıcı bulduğu şeylerden biri, CTF'lerin çalıştırılmasına ilişkin bilginin ne kadar az olduğuydu. Yazıların çoğu, bir etkinliği derecelendiren ve zorlukları nasıl çözdüklerini açıklayan katılımcılardan geliyor ancak bir etkinliğin yürütülmesine ilişkin en iyi uygulamalar hakkında nadiren bilgi sunuluyor. Sonuç olarak, kendisinin ve ekibinin neredeyse sıfırdan zorluklar yaratarak tonlarca iş yapması gerektiğini söyledi.

"Topluluk genellikle çok sayıda paylaşım yapıyor, öyleyse neden CTF yarışmalarını paylaşmıyoruz?" diyor. "Bence daha iyisini yapabiliriz."

Bu güvenlik topluluğu paylaşımı ruhuyla, CTF tasarımından sorumlu diğer kişilerin süreçten öğrenip anlayabilmesi için ekibinin süreç boyunca edindiği bazı önemli dersleri paylaşıyor. Amacı etkinliği tekrar düzenlemek ve geçen yıl öğrendiklerinin üzerine inşa etmek. Ayrıca, tüm güvenlik topluluğunun sunulan CTF'lerin kalitesini artırabilmesi için diğerlerinin de en iyi uygulamalarını ve hatta teknik ayrıntılarını paylaşacağını umuyor.

Hikaye Anlatımı Önemlidir

Hwong, DEF CON Cloud Village ekibinin ilgi çekici ve eğlenceli bir hikaye oluşturma konusunda çok istekli olduğunu söylüyor. Hikayeyi gerçekçi siber senaryoların yer aldığı bir film senaryosu olarak düşündüğünü söylüyor. Etkinlik için eğlenceli ve eğlenceli bir 'Cüceler' teması seçtiler. ancak önemli olan yalnızca hikayenin yazılması değildi, aynı zamanda teknik zorlukların hikaye içinde nasıl planlandığı da önemliydi.

"Goblin ve cüceler hikayesi her şeyi sarıyordu ama önemli olan, bir güvenlik uzmanı olarak karşılaşabileceğiniz saldırı yolları ve karşılaşacağınız makul savunmalar da dahil olmak üzere, karşılaşabileceğiniz makul senaryoların ortaya çıkmasıydı" diyor. "CTF tasarımcıları olarak bunu ne kadar çok yapabilirsek, öğrenme açısından o kadar iyi olur ve CTF daha eğlenceli olur."

Yazılım Geliştirme Yaklaşımını Benimseyin

Hwong, CTF yaratıcılarının, karşılaştıkları zorlukların teknik unsurlarını tasarlarken kesinlikle bir yazılım geliştirme yaklaşımı benimsemeleri gerektiğini tavsiye ediyor.

Katılımcılar tarafından çeşitli şekillerde manipüle edilebilen karmaşık bir CTF ortamında zorlukları test etmenin ne kadar zor olabileceğini kendisinin ve ekibinin zor yoldan öğrendiğini açıklayarak "Tasarım, uygulama ve testi düşünmelisiniz" diyor. .

"Olan şey - ve teste rehberlik etmemenin baş yaratıcısı olarak suçu üstleneceğim - negatif test geçişini ve uygulanabilirlik kontrollerini kaçırmış olmamızdır" diyor. "Bunun bir kısmı, test etmek için yeterli zamanımızın olmamasıydı, bu yüzden zorluklar devam ederken bazı ortamları kilitlemeye devam ediyordum, böylece bazı zorluklar çok kolay olmayacaktı ve boşluklar olmayacaktı. Sanırım bir veya iki saat boyunca belli bir aşamada çözülemez bir şey yapmaya başladım.”

Dolayısıyla öğrendiği en büyük derslerden biri, CTF tasarımcılarının test ve uygulanabilirlik çalışmaları boyunca yazılım geliştirme titizliğini masaya getirmeleri gerektiğidir.

Operasyonel Titizlik ve Biraz Kafein

Yazılım geliştirmede titizlik, masaya gelmesi gereken tek teknik yetenek değildir. Bir CTF'yi çalıştıran mürettebatın da ciddi bir operasyonel titizliğe ihtiyacı var.

"Sunucuları, AWS hesaplarını, Google ve Azure hesaplarını çalıştıran, işlerin devam etmesini sağlayan ve bizim de her şeyi izlediğimizden emin olan muhteşem insanlarımız vardı" diyor. "Bütün bunların halledilmesi gerekiyor. Ve eğer bunu görmezden gelirseniz, bu işlerin başarısız olduğu, bozulduğu veya performans sorunlarınız olduğu anlamına gelebilir."

Karşılaştıkları operasyonel sorunlardan biri, ekip AWS, Google ve Azure'da her katılımcı için bağımsız bir ortam oluşturamama kısıtlamasıyla çalıştığından, katılımcılar arasında bazı çarpışmalar ve zorluklar yaşamalarıydı.

"Çünkü aynı ortamdaydı, diğer zorluklarda onlara yardımcı oldu ve eğer çevreyi değiştirmeyi gerektiren bir zorlukla karşılaşırsanız, o zaman insanların birbirlerinin ayak parmaklarına bastığını, paylaşılan bir nesneyi değiştirdiğini görürsünüz" dedi ve kendisinin ve arkadaşlarının olduğunu açıkladı. Katılımcıların birbirleriyle karşılaşmaması için CTF ilerledikçe ekip politikaları sıfırlamak zorunda kaldı.

Kendisi ve ekibi, işler bozulduğu veya yürütülmesi sonsuza kadar sürdüğü için tüm CTF'yi daha az uygulanabilir hale getirmeden, katılımcılara gerçek anlamda yalıtılmış bir ortam sağlamak için zaman, çaba ve harcama perspektifinden pratik bir yöntem bulmak üzere deneyimlerinden bir şeyler öğrenmeye çalışıyor.

Son olarak Hwong, operasyonel açıdan CTF şovu koşucularının, ekipleriyle katılımcılar arasında tesis etmeleri gereken sürekli iletişime de dikkat etmeleri gerektiğini söylüyor.

Katılımcıların soruları olacağını ve gideceklerini açıklayan Hwong, "Gece yarısından sonra Discord'daydım ve 'Sabah yapmam gereken bir konuşma var, uyur musun?' diye düşündüm" dedi. İpuçları ve öneriler için organizatörlere her saat ping atın.

Farklı Zorluk Seviyeleri Tasarlamak Zordur

Hwong, zorlukların zorluk seviyelerini doğru ayarlamanın ve adil bir puanlama sistemi oluşturmanın, yeni başlayan bir CTF organizatörünün başlangıçta düşünebileceğinden daha zor olabileceği konusunda uyardı. Ekibinin daha kolay olarak tasarladığı bazı seviyelerin katılımcılar için tahmin ettiklerinden daha zor olduğunu, bazı daha zorlu seviyelerin ise beklenenden daha fazla katılımcı tarafından başarıyla tamamlandığını açıkladı.

Zorluk seviyelendirme zorluğuyla el ele, anlamlı bir puanlama sistemi bulmaktır. DEF CON'daki deneyiminden sonra Hwong, bir çeşit Çan Eğrisi puanlama sistemi yapmanın savunucusu. Ancak sorunun bir eğri oluşturmak kadar basit olmadığını söylüyor. Aynı zamanda büyük CTF takımlarının zorluk puanları toplama avantajını normalleştirme ve dengeleme sorunu da var; katılımcılardan birinin etkinlikten sonra kendisine geri bildirimde bulunduğu bir konu.

"Yani eğer mücadeleleriniz bölünebilir ve paralel olarak birden fazla oyuncuyla yapılabilirse, eğer 10 kişim varsa, 10 kat daha hızlı olacağım. Yani bir avantajı da var” diyor. "Onun demek istediği, bir çeşit dinamik skorlamanın bunu biraz dengelemesiydi. Eğer gerçekten çok iyi olduğu şeyler varsa, bunu çözen tek kişi o olabilir ve maksimum puanı o alabilir. Çan eğrisi onu ödüllendirecek, ölçeğe göre 10'a karşı XNUMX konusundaki uzmanlığının bir önemi yok. Burada üzerinde çalışmamız gereken bazı tartışmalı şeyler var."

Bir olasılık, zorlukları sıralı hale getirmektir, ancak bunun olumsuz tarafı, CTF'yi çok katı ve doğrusal hale getirebilmesi ve bir veya daha fazla zorluğu ortadan kaldırabilecek bir darboğaz veya bağımlılıklar yaratabilmesidir. Hwong ayrıca daha fazla CTF'nin katılımcıları bir ortamda ne kadar gizlice çalıştıkları veya çok fazla ayak izi ve parmak izi bıraktıklarında kenetlenme noktaları gibi teknikler konusunda ödüllendirdiğini görmekten memnun olduğunu ve bunun gelecekteki etkinlikleri tasarlarken keşfetmek istediği bir alan olduğunu söylüyor. .

Ne olursa olsun, dinamik puanlama bazı seviyeleme sorunlarını hafifletebilecek bir şey ve kendisi ve ekibi önümüzdeki yıl için de bunun peşinde.

Mavi Takımların Daha Eğlenceli CTF Mücadelelerine İhtiyacı Var

İlk CTF'sini tamamladıktan sonra Hwong, bu etkinliklerin mavi takım katılımcılarını zorlamak ve onları gerçekten meşgul etmek için yeterli olmadığına giderek daha fazla inanıyor.

“Mavi takım çalışmaları genelde şu şekilde oluyor: ‘Pek çok zayıf noktanın olduğu, yanlış yapılandırılmış bir ortamımız var. Gidip onları düzeltebilir misin?'” diyor. ” Ve yaptıkları şey, yalnızca bu yapılandırmaların değişip değişmediğini veya bu genel klasöre erişip erişemeyeceğimi test etmek. Özel hale getirdiğinizde sorunu düzelttiğinizi ve puan kazandığınızı biliyoruz. Bunun da ötesinde bazı şeyler yapmak çok daha iyi olurdu; örneğin, eğer tehlikeye girerseniz, çevrenizde bir saldırgan varsa, onu bulup dışarı atmanız gerekir. Yani şu anda devam eden bir olay var ve saldırgan olduğu sürece, kimlik bilgileri var ve bir şeyler yaptığı sürece bunu tespit edebilirsiniz. Katılımcı olarak göreviniz bu. Erişimlerini iptal edene kadar sorunu çözemezsiniz ve maksimum puan alamazsınız.”

Bu tür senaryoları gerçekleştirmek daha zor ama defans oyuncuları için daha gerçekçi ve CTF'leri onlar için daha değerli hale getireceklerini söylüyor ve bunun bir dahaki sefere radarında olduğunu açıklıyor.

CTF'lerin Daha Yeni ve İlgili Bileşenlere İhtiyacı Var.

Hwong ayrıca CTF tasarımcılarına ve kendisine, zorluklarına daha fazla yeni istismar ve güvenlik açığı bilgilerini dahil etmeleri konusunda meydan okuyor. Bu, DEF CON Cloud Village'a ilk gidişinde daha fazla zamanının olmasını dilediği ve gelecek yıl için geliştirmeye karar verdiği şeylerden biriydi.

"Bu, CTF'lerin daha çok bir öğrenme ve eğitim aracı olabileceği alanlardan biridir" diye açıklıyor. "Araştırmacılar tarafından yılın başlarında ortaya çıkan ve hatta DEF CON'da sunulan yeni fikirleri ve çalışmaları kullanmayı çok isteriz."

CTF 'Yeniden Kullanılabilirliği' Artıracak 'Yapı Taşları'

Son olarak, Hwong'un öğrendiği en büyük derslerden biri, tıpkı yazılım geliştiricilerin uygulamalar için yaptığı gibi, sektörün CTF için yeniden kullanılabilir bileşenler oluşturmanın daha fazla yolunu bulması gerektiğidir. Bir CTF oluşturmanın yapı taşlarını oluşturabilecek küçük kod alıştırmalarından oluşan açık bir GitHub deposunun düzenlenmesine yardım etme hayalleri var.

"Yine de onu kişiselleştirmeniz ve kendi yorumunuzu eklemeniz gerekecek, ancak fikir şu ki, ilk %60'ı aradan çıkaralım, böylece CTF organizatörleri gerçekten yeni şeylere odaklanabilirler. Böylece kimse tekerleği yeniden icat etmiyor” diyor. "Ve sonra kalan %40'a yeni teknikler, senaryolar ve hikayeler eklenebilir."

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/cloud-security/7-lessons-learned-from-designing-a-defcon-ctf