Захват флага (кибербезопасность)

Захват флага (англ. Capture the Flag или англ. CTF) в компьютерной безопасности — это упражнение, в котором «флаги» тайно прячутся в преднамеренно уязвимых программах или веб-сайтах. Это может быть соревнование или образовательные цели. Участники крадут флаги либо у других участников (CTF в стиле атаки/защиты), либо у организаторов (испытания в стиле опасности). Существует несколько вариантов. Соревнования могут включать в себя скрытие флагов в аппаратных устройствах, они могут быть как онлайн, так и лично, а также могут быть продвинутыми или начального уровня. Игра основана на одноименном традиционном спорте на открытом воздухе.

История

Capture the Flag (CTF) это соревнование по кибербезопасности, которое используется для проверки навыков безопасности. Впервые он был разработан в 1993 году на DEFCON, крупнейшей конференции по кибербезопасности в США, ежегодно проводимой в Лас-Вегасе, штат Невада.^[1] В рамках конференции проходят выходные соревнования по кибербезопасности, в том числе CTF. Есть два способа играть в CTF: Опасность и Атака-Защита. Оба формата проверяют знания участников в области кибербезопасности, но различаются по целям. В формате Jeopardy участвующие команды должны выполнить как можно больше испытаний с разным количеством очков из заданной категории.^[2] Некоторыми примерами категорий являются программирование, создание сетей и реверс-инжиниринг.^[3] В формате «атака-защита» соревнующиеся команды должны защищать свои уязвимые компьютерные системы, атакуя противников.^[2] Это делается путем попытки заменить «флаг» противника или файл данных своим собственным. С момента создания CTF в DEFCON проводились и другие соревнования CTF, включая CSAW CTF и Plaid CTF.^[3]

Приложении

CTF в основном используется для обучения кибербезопасности, поскольку исследования показывают, что учащиеся, как правило, лучше реагируют на интерактивные методы, демонстрируемые с помощью упражнений CTF, в отличие от традиционных учебных занятий. Исследование, проведенное исследователями из Университета Адельфи, показало, что использование упражнений CTF было очень эффективным способом привить концепции кибербезопасности в приятной форме.^[4] Их также можно использовать в учебных классах, и они были включены в курсы информатики для студентов, такие как «Введение в безопасность» в Университете Южной Калифорнии.^[5]

CTF также популярен в военных академиях. Их часто включают в учебную программу курсов по кибербезопасности. Например, в отчете Cyber Defense Review, журнале Армейского киберинститута (ACI) в Вест-Пойнте, освещаются учения CTF, проводимые студентами Военно-воздушной академии и Военно-морской академии, которые являются членами клубов кибербезопасности.^[6] Кроме того, многие концепции кибербезопасности преподаются с помощью упражнений CTF в рамках Продвинутого курса инженерии по кибербезопасности, иммерсивной летней программы, предлагаемой курсантам ROTC, действующим членам и студентам.^[7]

Недостатки

Еще одним фактором, сдерживающим эффективность CTF, являются затраты, включающие затраты на оборудование и программное обеспечение, а также заработную плату администраторов.^[8] Для некоторых соревнований требуются пользовательские терминалы для игроков, поэтому машины необходимо покупать для каждого игрока. В соревнованиях с открытым исходным кодом, таких как PicoCTF, где учащиеся играют на своих персональных компьютерах, такие затраты сокращаются, но все еще есть затраты на сервер. Мероприятия CTF также требуют найма экспертов по кибербезопасности, что может быть дороже, чем наем неспециализированных преподавателей или менее опытных инженеров.^[8]

Соревнования

Соревнования, спонсируемые компанией

Хотя CTF в основном используется для обучения кибербезопасности, некоторые исследования показывают, что компании используют CTF как форму найма и оценки высокоэффективных сотрудников. Его можно использовать для поиска и проверки потенциальных сотрудников.^[9]^[10]

Недавние соревнования

Ежегодный семинар по компьютерным наукам (CSAW) CTF — это одно из крупнейших открытых соревнований для студентов со всего мира, изучающих кибербезопасность.^[3] В 2021 году он принял более 1200 команд во время квалификационного раунда.^[9] Другим популярным соревнованием является DEFCON CTF, одно из первых существующих соревнований CTF, которое нацелено на тех, кто уже знаком с кибербезопасностью, предлагая более сложные задачи.^[9]

См. также

Примечания

↑ Cowan, Ц. (2003-04). «Defcon Capture the Flag: защита уязвимого кода от интенсивных атак». Proceedings DARPA Information Survivability Conference and Exposition 1: 120–129 vol.1. doi:10.1109/DISCEX.2003.1194878.
↑ ^2,0 ^2,1 Says, Etuuxzgknx Введение в «Захват флагов» в кибербезопасности - MeuSec (англ.) (неопр.) ? (10 июня 2020). Дата обращения: 2 ноября 2022.
↑ ^3,0 ^3,1 ^3,2 Chung, Kevin (2014). «Изучение препятствий в модели «Захват флага»» (en).
↑ Макдэниел, Лукас (2016-01). «Захват флага как введение в кибербезопасность». 2016 49th Hawaii International Conference on System Sciences (HICSS): 5479–5486. doi:10.1109/HICSS.2016.677.
↑ Vykopal, Jan (2020-02-26). «Преимущества и недостатки использования игр Capture the Flag на университетских курсах». Proceedings of the 51st ACM Technical Symposium on Computer Science Education: 752–758. doi:10.1145/3328778.3366893.
↑ Spidalieri, Francesca (2016). «Преобразование следующего поколения военных лидеров в кибер-стратегических лидеров: роль образования в области кибербезопасности в военных академиях США». The Cyber Defense Review 1 (1): 141–164. ISSN 2474-2120.
↑ Argles, Christopher (2018). «Концептуальный обзор киберопераций для Королевского флота». The Cyber Defense Review 3 (3): 43–56. ISSN 2474-2120.
↑ ^8,0 ^8,1 Taylor, Clark (2017). «{CTF}: {Современное состояние} и создание следующего поколения» (en).
↑ ^9,0 ^9,1 ^9,2 CSAW Захват флага (англ.). CSAW. Дата обращения: 2 ноября 2022.
↑ Bashir, Masooda (2015). «Исследование профессионально-психологических особенностей участников соревнований по кибербезопасности» (en).

Ссылки

Google CTF

[1] Cowan, Ц. (2003-04). «Defcon Capture the Flag: защита уязвимого кода от интенсивных атак». Proceedings DARPA Information Survivability Conference and Exposition 1: 120–129 vol.1. doi:10.1109/DISCEX.2003.1194878.

[:2-2] 2,0 ^2,1 Says, Etuuxzgknx Введение в «Захват флагов» в кибербезопасности - MeuSec (англ.) (неопр.) ? (10 июня 2020). Дата обращения: 2 ноября 2022.

[:3-3] 3,0 ^3,1 ^3,2 Chung, Kevin (2014). «Изучение препятствий в модели «Захват флага»» (en).

[:0-4] Макдэниел, Лукас (2016-01). «Захват флага как введение в кибербезопасность». 2016 49th Hawaii International Conference on System Sciences (HICSS): 5479–5486. doi:10.1109/HICSS.2016.677.

[5] Vykopal, Jan (2020-02-26). «Преимущества и недостатки использования игр Capture the Flag на университетских курсах». Proceedings of the 51st ACM Technical Symposium on Computer Science Education: 752–758. doi:10.1145/3328778.3366893.

[6] Spidalieri, Francesca (2016). «Преобразование следующего поколения военных лидеров в кибер-стратегических лидеров: роль образования в области кибербезопасности в военных академиях США». The Cyber Defense Review 1 (1): 141–164. ISSN 2474-2120.

[7] Argles, Christopher (2018). «Концептуальный обзор киберопераций для Королевского флота». The Cyber Defense Review 3 (3): 43–56. ISSN 2474-2120.

[:1-8] 8,0 ^8,1 Taylor, Clark (2017). «{CTF}: {Современное состояние} и создание следующего поколения» (en).

[:5-9] 9,0 ^9,1 ^9,2 CSAW Захват флага (англ.). CSAW. Дата обращения: 2 ноября 2022.

[10] Bashir, Masooda (2015). «Исследование профессионально-психологических особенностей участников соревнований по кибербезопасности» (en).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]