7 bài học rút ra từ việc thiết kế DEF CON Cloud Village CTF

Các sự kiện Capture the Flag (CTF) vừa thú vị vừa mang tính giáo dục, cung cấp cho các chuyên gia an ninh mạng một cách để linh hoạt các kỹ năng hack của họ trong khi học các khái niệm mới trong một môi trường mang tính xây dựng và an toàn. Các CTF được thiết kế tốt giúp các cá nhân và nhóm gặp phải những thách thức trong hoạt động, các đường tấn công mới và các kịch bản sáng tạo mà sau này có thể áp dụng trong công việc của họ với tư cách là các chuyên gia an ninh tấn công và phòng thủ.

Nhưng không phải tất cả các CTF đều được tạo ra như nhau và còn rất nhiều điều cần thiết để thiết kế một cuộc thi CTF thành công hơn là chỉ đưa ra các thử thách. Cùng với những thách thức về thiết kế kỹ thuật, còn có những cân nhắc về mặt vận hành liên quan đến việc thiết lập môi trường và thực sự điều hành cuộc thi, lập kế hoạch sáng tạo cần thiết để thiết lập một trò chơi hấp dẫn và tính toán các chi tiết liên quan đến việc chơi các thử thách, chẳng hạn như sự cân bằng trong cách ghi điểm. cấu trúc được thiết lập.

“Là một nhà thiết kế, tôi muốn nó [CTF] trở thành một thử thách thú vị. Tôi muốn khen thưởng những người thông minh, thực sự nỗ lực và kiên trì,” Jenko Hwong, nhà nghiên cứu chính của nhóm Phòng thí nghiệm nghiên cứu mối đe dọa của Netskope và trưởng nhóm của DEF CON Cloud Village CTF năm ngoái cho biết. “Nó cũng phải thiết thực để chúng tôi thực hiện.”

Vui vẻ và thiết thực là suy nghĩ mà Hwong mang đến DEF CON CTF, một sự kiện lớn kéo dài nhiều ngày với hơn 400 cá nhân và đội cùng thử thách và một đội gồm 20 người làm việc dưới quyền anh ấy để điều hành sự kiện. Là một nhà nghiên cứu kỳ cựu và là người tham gia CTF dày dạn kinh nghiệm, Hwong chưa bao giờ điều hành CTF trước sự kiện này. Một trong những hy vọng lớn nhất của anh ấy trong lần thử sức đầu tiên với công việc là nâng cao mức độ phù hợp và tính thực tế của các thử thách trong sự kiện, điều này đôi khi có thể là một điều đáng lo ngại trong các CTF ngày nay.

“Đôi khi trong những CTF này, bạn gặp phải một thử thách thực sự khó khăn nhưng mục đích của việc này là gì? Đó sẽ là một vấn đề về giải mã hoặc mã hóa, trong đó sự kiện diễn ra, 'Đây là thứ gì đó, chúc may mắn', và sau đó bạn phải vượt qua tất cả những vòng này có thể không hoàn toàn tách biệt với thực tế nhưng không thực sự phù hợp với một vấn đề lớn hơn. cốt truyện,” anh nói. “Vì vậy, khi tôi nhận được cuộc gọi, suy nghĩ của tôi là 'hãy bắt tay vào thực hiện, hãy tìm ra một câu chuyện hay và một loạt thử thách thú vị nhưng cũng có ý nghĩa và có thể liên quan đến thế giới thực của thử nghiệm thâm nhập nghiên cứu, các biện pháp phòng thủ, những gì đang xảy ra trong thế giới thực.”

Tuy nhiên, khi bắt tay vào dự án, một điều anh thấy đặc biệt khó khăn là có rất ít thông tin về việc chạy CTF. Hầu hết các bài viết là của những người tham gia đánh giá một sự kiện và giải thích cách họ giải quyết các thách thức, nhưng hiếm khi có thông tin được cung cấp về các phương pháp hay nhất khi tổ chức một sự kiện. Do đó, anh ấy nói rằng anh ấy và nhóm của mình phải làm rất nhiều việc để tạo ra những thử thách gần như ngay từ đầu.

“Cộng đồng thường chia sẻ rất nhiều điều, vậy tại sao chúng ta không chia sẻ những thách thức của CTF?” anh ta nói. "Tôi nghĩ chúng ta có thể làm tốt hơn."

Với tinh thần chia sẻ cộng đồng bảo mật đó, anh chia sẻ một số bài học quan trọng mà nhóm của anh đã thu thập được trong quá trình thực hiện để những người phụ trách thiết kế CTF khác có thể học hỏi và hiểu được từ quy trình này. Mục tiêu của anh ấy là tổ chức lại sự kiện và xây dựng dựa trên những gì họ đã học được năm ngoái. Anh ấy cũng hy vọng những người khác sẽ chia sẻ những phương pháp hay nhất và thậm chí cả chi tiết kỹ thuật của họ để toàn bộ cộng đồng bảo mật có thể cải thiện chất lượng của CTF được cung cấp.

Kể chuyện là chìa khóa

Hwong nói rằng nhóm DEF CON Cloud Village của anh ấy rất quan tâm đến việc xây dựng một cốt truyện hấp dẫn và vui nhộn. Anh ấy nói rằng anh ấy nghĩ câu chuyện như một kịch bản phim với các kịch bản mạng thực tế được xây dựng sẵn. Đối với sự kiện này, họ đã chọn chủ đề 'Gnomes' vui nhộn và hài hước. nhưng điều quan trọng không chỉ là cách viết cốt truyện mà còn là cách lên kế hoạch cho những thách thức kỹ thuật trong câu chuyện.

“Cốt truyện về yêu tinh và thần lùn xoay quanh mọi thứ nhưng điều quan trọng là đưa ra những tình huống hợp lý mà bạn có thể gặp phải với tư cách là một chuyên gia bảo mật, bao gồm các đường tấn công và cách phòng thủ hợp lý mà bạn gặp phải,” anh nói. “Với tư cách là nhà thiết kế CTF, chúng ta càng có thể làm được điều đó nhiều thì việc học càng tốt hơn và CTF càng vui hơn.”

Thực hiện phương pháp phát triển phần mềm

Hwong khuyến nghị những người sáng tạo CTF chắc chắn nên áp dụng phương pháp phát triển phần mềm để thiết kế các yếu tố kỹ thuật cho thách thức của họ.

“Bạn phải nghĩ đến việc thiết kế, triển khai và thử nghiệm,” anh nói, đồng thời giải thích rằng anh và nhóm của mình đã học được một cách khó khăn rằng việc thử nghiệm các thử thách trong một môi trường CTF phức tạp có thể bị người tham gia thao túng theo nhiều cách khó đến mức nào .

“Điều đã xảy ra—và tôi sẽ chịu trách nhiệm với tư cách là người sáng tạo chính vì đã không hướng dẫn thử nghiệm—là vì chúng tôi đã bỏ lỡ bước vượt qua thử nghiệm âm tính cũng như các bước kiểm tra khả năng tồn tại,” anh nói. “Một phần là do chúng tôi không có đủ thời gian để thử nghiệm, vì vậy tôi tiếp tục khóa một số môi trường khi thử thách đang diễn ra để một số thử thách sẽ không quá dễ dàng và không có sơ hở. Tôi nghĩ có lúc trong một hoặc hai giờ tôi đã làm ra một điều gì đó không thể giải quyết được ở một bước nhất định.”

Vì vậy, một trong những bài học lớn mà anh ấy học được là các nhà thiết kế CTF cần phải đưa sự nghiêm ngặt vào quá trình phát triển phần mềm xuyên suốt quá trình thử nghiệm và khả năng tồn tại.

Sự nghiêm ngặt trong hoạt động…và một chút caffeine

Sự tỉ mỉ trong phát triển phần mềm không phải là khả năng kỹ thuật duy nhất cần có. Phi hành đoàn điều hành CTF cũng cần một số biện pháp vận hành nghiêm túc.

Ông nói: “Chúng tôi có một số người tuyệt vời đang vận hành các máy chủ, tài khoản AWS cũng như tài khoản Google và Azure, đồng thời đảm bảo mọi thứ luôn hoạt động và chúng tôi đang giám sát mọi thứ”. “Tất cả những thứ đó phải được xử lý. Và nếu bạn bỏ qua nó, điều đó có thể có nghĩa là mọi thứ không thành công, hỏng hóc hoặc bạn gặp vấn đề về hiệu suất.”

Một trong những vấn đề vận hành mà họ gặp phải là họ gặp phải một số xung đột giữa người tham gia và thử thách, vì nhóm đang hoạt động với một hạn chế là họ không thể tạo môi trường độc lập cho mọi người tham gia trên AWS, Google và Azure.

“Bởi vì ở trong cùng một môi trường, nó giúp họ vượt qua những thử thách khác và nếu bạn gặp một thử thách đòi hỏi phải thay đổi môi trường thì bạn sẽ thấy mọi người xen vào nhau, thay đổi một đối tượng chung,” anh ấy nói, giải thích rằng anh ấy và anh ấy nhóm đã phải đặt lại các chính sách khi CTF được triển khai để những người tham gia không gặp phải nhau.

Anh ấy và nhóm của mình đang cố gắng rút kinh nghiệm để tìm ra một phương pháp thực tế—từ góc độ thời gian, công sức và chi phí—để mang lại cho những người tham gia một môi trường thực sự biệt lập mà không làm cho toàn bộ CTF trở nên kém khả thi hơn vì mọi thứ bị hỏng hoặc mất nhiều thời gian để thực hiện.

Cuối cùng, Hwong nói rằng trên phương diện hoạt động, những người chạy chương trình CTF cũng phải lưu ý đến khả năng liên lạc thường xuyên mà họ cần để tạo điều kiện thuận lợi giữa nhóm của mình và những người tham gia.

“Tôi đã tham gia Discord sau nửa đêm và tôi nghĩ, 'Tôi có một bài nói chuyện vào buổi sáng, bạn có đi ngủ không?'" Hwong nói đùa và giải thích rằng những người tham gia sẽ có câu hỏi và họ sẽ liên tục gọi điện cho người tổ chức để biết các mẹo và gợi ý mọi lúc.

Thiết kế các mức độ khó khác nhau là khó

Hwong cảnh báo rằng việc xác định đúng mức độ khó của các thử thách và tạo ra một hệ thống tính điểm công bằng có thể khó hơn những gì một người mới tổ chức CTF mới có thể nghĩ ban đầu. Anh ấy giải thích rằng một số cấp độ mà nhóm của anh ấy thiết kế dễ hơn nhưng lại khó hoàn thành hơn đối với người tham gia so với dự đoán của họ, trong khi một số cấp độ khó hơn lại được nhiều người tham gia hoàn thành thành công hơn mong đợi.

Song song với thử thách tăng cấp độ khó là tìm ra một hệ thống tính điểm hợp lý. Sau kinh nghiệm ở DEF CON, Hwong là người đề xuất áp dụng một số loại hệ thống tính điểm Bell Curve. Nhưng ông nói vấn đề không đơn giản như việc thiết lập một đường cong. Ngoài ra còn có vấn đề bình thường hóa và cân bằng lợi thế mà các đội CTF lớn có được trong việc giành được điểm thử thách — một vấn đề mà một trong những người tham gia đã đưa ra phản hồi cho anh ấy sau sự kiện.

“Vì vậy, nếu các thử thách của bạn có thể được chia và thực hiện song song với nhiều người chơi, nếu tôi có 10 người thì tôi sẽ nhanh gấp 10 lần. Và vì vậy có một lợi thế,” ông nói. “Quan điểm của anh ấy là một số loại điểm năng động cấp độ một chút. Nếu có điều gì đó mà anh ấy thực sự rất giỏi, anh ấy có thể là người duy nhất giải được nó và anh ấy sẽ đạt được điểm tối đa. Đường cong hình chuông sẽ thưởng cho anh ta so với quy mô không nhất thiết phải quan trọng nếu đó là thứ gì đó thuộc về chuyên môn của anh ta theo tỷ lệ 10 so với một. Có một số vấn đề gây tranh cãi ở đây mà chúng ta phải giải quyết.”

Một khả năng là tạo ra các thách thức theo trình tự, nhưng nhược điểm của điều đó là nó có thể khiến CTF trở nên quá cứng nhắc và tuyến tính, đồng thời có thể tạo ra nút thắt cổ chai hoặc sự phụ thuộc có thể làm nổ tung một hoặc nhiều thách thức. Hwong cho biết anh cũng muốn thấy nhiều CTF trao thưởng cho người tham gia về các kỹ thuật như cách họ hoạt động lén lút trong môi trường hoặc điểm cập bến nếu họ để lại quá nhiều dấu chân và dấu vân tay, và đó là lĩnh vực anh muốn khám phá khi thiết kế các sự kiện trong tương lai .

Tuy nhiên, bất chấp điều đó, việc tính điểm linh hoạt là thứ có thể giảm bớt một số vấn đề về thăng cấp và anh ấy cùng nhóm của mình đang theo đuổi điều đó trong năm tới.

Đội xanh cần nhiều thử thách CTF thú vị hơn

Sau khi thực hiện CTF đầu tiên của mình, Hwong cũng ngày càng tin rằng những sự kiện này không đủ sức thách thức và thực sự thu hút những người tham gia đội xanh.

“Các bài tập của đội xanh có xu hướng diễn ra như thế này: 'Chúng tôi có một môi trường được định cấu hình sai với rất nhiều lỗ hổng. Bạn có thể đi sửa chúng được không?'” anh ấy nói. ” Và những gì họ làm chỉ là kiểm tra xem những cấu hình đó có bị thay đổi hay không hoặc liệu tôi có thể truy cập vào nhóm công khai này hay không. Và ngay sau khi bạn đặt nó ở chế độ riêng tư, chúng tôi biết bạn đã sửa nó và bạn sẽ nhận được điểm. Ngoài ra, sẽ tốt hơn nếu bạn làm mọi việc, chẳng hạn như nếu bạn bị xâm phạm, có kẻ tấn công trong môi trường của bạn, bạn phải tìm ra chúng và loại bỏ chúng. Vì vậy, bạn có một sự cố đang xảy ra ngay bây giờ và miễn là kẻ tấn công có mặt, họ có thông tin xác thực và miễn là họ sẽ làm mọi việc, bạn có thể phát hiện ra nó. Đó là công việc của bạn với tư cách là một người tham gia. Và cho đến khi bạn thu hồi quyền truy cập của họ, bạn sẽ không giải quyết được vấn đề và bạn sẽ không nhận được điểm tối đa.”

Ông nói, những tình huống như vậy khó thực hiện hơn nhưng chúng thực tế hơn đối với những người phòng thủ và sẽ khiến CTF có giá trị hơn đối với họ, đồng thời giải thích rằng điều đó sẽ nằm trong tầm ngắm của ông cho lần tới.

CTF cần nhiều thành phần mới và phù hợp hơn.

Hwong cũng thách thức các nhà thiết kế CTF—và chính anh ta—kết hợp nhiều thông tin khai thác và lỗ hổng bảo mật mới hơn vào các thách thức của họ. Đây là một trong những điều anh ước mình có nhiều thời gian hơn để nghiên cứu trong lần đầu tiên tham gia DEF CON Cloud Village và anh quyết tâm cải thiện trong năm tới.

Ông giải thích: “Đây là một trong những lĩnh vực mà CTF có thể trở thành một công cụ học tập và đào tạo nhiều hơn. “Chúng tôi muốn sử dụng những ý tưởng có liên quan và khai thác những thông tin mới từ các nhà nghiên cứu diễn ra vào đầu năm hoặc thậm chí được trình bày tại DEF CON.”

CTF 'Khối xây dựng' để cải thiện 'Khả năng tái sử dụng'

Cuối cùng, một trong những bài học lớn nhất mà Hwong nói rằng anh đã học được là ngành cần tìm thêm cách để tạo ra các thành phần có thể tái sử dụng cho CTF giống như các nhà phát triển phần mềm làm cho ứng dụng. Anh ấy có ước mơ giúp tổ chức một kho lưu trữ GitHub mở gồm các bài tập nhỏ bằng mã có thể tạo thành các khối xây dựng để xây dựng CTF.

“Bạn vẫn sẽ phải tùy chỉnh nó và thêm điểm nhấn của riêng mình, nhưng ý tưởng là hãy hoàn thành 60% đầu tiên để ban tổ chức CTF có thể tập trung vào những điều thực sự mới lạ. Bằng cách đó, không ai phải phát minh lại cái bánh xe nữa,” ông nói. “Và sau đó 40% còn lại có thể bổ sung thêm các kỹ thuật, kịch bản và cốt truyện mới.”

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/cloud-security/7-lessons-learned-from-designing-a-defcon-ctf