Информационная безопасность — Тема серьезная и сложная, может быть, поэтому ее эффективнее преподавать простыми приемами и в игровой форме? Здравствуйте, меня зовут Алексей Бабенко и я в команде Мир Платформы Я отвечаю за вопросы, связанные с тестированием безопасности разрабатываемых программных продуктов.
Наши системы — это платежные сервисы, которыми пользуются десятки миллионов клиентов.
Помимо стабильности и надежности, одной из главных характеристик для нас является безопасность.
Я поделюсь нашим опытом запуска игр по информационной безопасности внутри компании, но прежде чем мы начнем, я немного расскажу вам, почему мы вообще придумали эту историю.
Обеспечение безопасности систем – это процесс, затрагивающий множество этапов, начиная с непосредственного момента создания программного обеспечения, заканчивая безопасностью компонентов, на базе которых это программное обеспечение будет запускаться, и даже надежностью задействованных процессов и сотрудников.
в процессе эксплуатации.
Моя зона ответственности — безопасность на уровне приложений.
И когда речь заходит о безопасности пищевых продуктов, первое, что приходит на ум, — это тестирование.
Мы достоверно выявляем ошибки перед запуском их в производство и проблем не возникнет. К сожалению, реальность вносит свои коррективы.
Чем позже мы выявляем недостатки в ПО, тем сложнее их исправить, а это влияет на скорость выкатывания релиза в производство.
Поэтому наша задача — не просто выявить недостатки в ходе тестирования, но сделать так, чтобы они реже появлялись в создаваемых нами продуктах.
Таким образом, одним из векторов деятельности по обеспечению безопасности продукции является обучение и воспитание культуры безопасной разработки в продуктовых командах.
Давайте играть
Классический подход к обучению — лекция + практическое задание — хорош, но не всегда оптимален.Мы используем различные варианты – тематические семинары, лучшие практики для самостоятельного обучения, рассылки.
В прошлом году мы решили добавить геймификацию в наше обучение и провели CTF, основанный на задачах.
Если говорить о CTF в целом, то есть 2 основных варианта:
- классический CTF, где каждой команде дается образ с предустановленными уязвимыми сервисами, которые необходимо защищать со своей стороны и атаковать сервисы оппонентов.
- CTF на основе задач, который представляет собой набор независимых задач по различным темам, связанным с безопасностью.
Посторонний человек не поймет, что нужно делать и интерес к игре быстро угаснет. Впервые мы выбрали более размеренный и простой в освоении подход в виде игры-задачи.
Дополнительным преимуществом выбора этого направления стала возможность растянуть продолжительность игры на две недели, а значит, каждый мог найти время для участия в ней, не жертвуя своей основной занятостью.
Прежде чем планировать какую-либо деятельность, мы задаем себе вопрос: «Что мы хотим получить в итогеЭ» При запуске CTF мы ставили следующие цели:
- повысить интерес к теме безопасности среди разработчиков,
- показать реальный риск, который может представлять уязвимость, которая изначально не кажется критической,
- собрать сообщество увлеченных разработчиков, желающих развиваться в теме безопасности и привнести эту культуру в команды.
Это был первый опыт запуска игры по безопасности; важно было сделать его так, чтобы он не отпугивал своей сложной тематикой, а был увлекательным и полезным.
СтарМир
С самого начала мы придумали историю — мы не просто запускаем очередной квест, мы запускаем мини-вселенную.Тема – увлекательная и многогранная – возникла сразу: «Звездные войны»! Все задания легко вписались в общий сюжет, даже призы были по теме и пришлись по вкусу всем победителям.
И «Звездные войны» стали «СтарМиром».
Задачи по категориям Красивая картинка и «легенда» — отличный способ привлечь участников, но главное — наполнение.
Все задачи были разделены на довольно классические CTF-темы: Интернет Начиная от простых жестко закодированных паролей в html и js скриптах, заканчивая умопомрачительными задачами по реализации SSRF и RaceCondition. Крипто&стегано Кейсы с криво реализованными алгоритмами шифрования и слабыми входными параметрами.
Здесь мы также добавили пару задач, связанных со стеганографией, чтобы познакомить участников с этой областью.
Сеть Примеры различных популярных протоколов передачи данных, которые не обеспечивают должной защиты.
судебно-медицинская экспертиза Задачи, связанные с исследованием предоставленных данных: секреты, хранящиеся в метаданных документа, сложные кодировки, защищенные архивы.
Обеспечить регресс Категория задач со звездочкой, направленная на реверс-инжиниринг скомпилированных приложений.
Пустяки Набор задач без единого направления, которые на первый взгляд не кажутся сложными.
Простые задачи, требующие поиска данных, изобретательности, а иногда и удачи.
В выборе задач нам было важно соблюсти баланс между тем, чтобы они отражали наши «болевые точки», но в то же время «мы не получили другой курс» или «не перешли в другой курс» в котором мы анализируем классические недостатки.
Сложность задач подбиралась таким образом, чтобы первые задачи в категориях решались либо практически сразу, либо после непродолжительного поиска в Интернете, и любой участник мог решить хоть что-то, независимо от уровня своих первоначальных знаний.
Это позволило нам сделать барьер входа в игру достаточно небольшим и привлечь специалистов с любым уровнем начальных знаний в теме безопасности.
Распределение задач по количеству решенных в ходе игры Для тех, кто уверенно чувствует себя в теме безопасности, подготовлены более сложные задания, а несколько заданий изначально созданы трудно решаемые, чтобы всю игру нельзя было пройти за один раз и интерес участников сохранялся на протяжении всего времени.
весь период игры.
Горшок с медом
Во время разработки игры мы понимали, что нашей целевой аудиторией являются все ИТ-специалисты из Мира Плат.Форм, а значит, попыток выйти за границы, очерченные игрой, не избежать и было бы полезно подумать об определении альтернативных методов решения.На всякий случай мы решили выполнить одно из заданий с заведомо неправильным ответом и внести в журнал ответ, который невозможно было получить, решив задачу.
И действительно, через несколько дней после начала игры ажиотаж накалился и начался вход неустановленными способами (сложность в том, что некоторые потенциальные участники имеют административный доступ к серверам развернутого решения).
В результате один из участников принял злополучное решение.
Мы некоторое время следили за его деятельностью, а когда окончательно убедились в мошенничестве, представили доказательства и с чистой совестью понизили его в турнирной таблице.
Поддержка участников
Важным фактором проведения «СтарМира» стала поддержка участников.Для этого в мессенджере была организована группа с практически круглосуточным дежурством организаторов.
Это помогало снизить барьер входа в игру, решить возникающие проблемы, а иногда понять, что формулировка задачи не совсем очевидна и исправить ее.
Бонусный вопрос в чате мессенджера Одной из функций группы было поддержание общего интереса к игре на протяжении всего времени игры – подведение промежуточных результатов, сборники забавных неправильных ответов, бонусные задания для участников группы.
Результаты игры
Приятным фактом для нас, как организаторов, было то, что на протяжении всей игры не было единого лидера - ребята активно соревновались друг с другом и так увлеклись, что в какой-то момент нерешенные задачи начали заканчиваться и мы решили добавить еще несколько.«Мозговые» задания для лидеров забега.
До последних дней игры сохранялась интрига, кто займет первое место.
Рейтинг Топ-10 участников во время игры В результате победитель решил все предоставленные задачи, но сделал это буквально в последний день — задач хватило ровно на время игры.
Заключительной частью стало награждение победителя и ТОП-20 итогового рейтинга.
Ребята получили крутые конструкторы Lego StarWars, а организаторы в очередной раз пожалели, что сами не смогли принять участие в игре.
В конце активности мы собрали отзывы игроков.
Всем понравилось: участники отмечали, что узнали для себя много нового, писали в личных сообщениях, что понятия не имеют, насколько легко можно реализовать безобидные на первый взгляд недостатки.
Дополнительно мы собрали и проанализировали все допущенные недостатки и услышали пожелания участников.
На этот год мы планируем аналогичную игру, но с учетом прошлого опыта и, самое главное, разделенную на две категории — для ИТ-специалистов и для бизнес-пользователей.
Цель состоит в том, чтобы даже сотрудники, не являющиеся ИТ-специалистами, могли в игровой форме изучить основные требования информационной гигиены и безопасности.
Думаю, этому событию мы посвятим отдельную статью.
Теги: #информационная безопасность #игры #Образовательный процесс в сфере ИТ #обучение #appsec #ctf #SDLC
-
Нокиа Н900. Будущее Потеряно В Прошлом
19 Oct, 24 -
Рит-2008: Ощущения После Приземления
19 Oct, 24 -
Почему Jboss As 7 Такой Быстрый?
19 Oct, 24
