Scroll untuk baca artikel
Networking

Pelanggaran di Pantai: Mainkan Ultimate Entra ID CTF

4
×

Pelanggaran di Pantai: Mainkan Ultimate Entra ID CTF

Share this article
pelanggaran-di-pantai:-mainkan-ultimate-entra-id-ctf
Pelanggaran di Pantai: Mainkan Ultimate Entra ID CTF

Pahlawan

Temukan bagaimana Varonis Threat Labs menciptakan Breach at the Beach, pengalaman pelatihan Entra ID yang unik. Tingkatkan keterampilan keamanan siber Anda melalui pembelajaran langsung dengan CTF ini.

Example 300x600

Keamanan siber bisa terasa seperti lautan. Ada perasaan tenang di permukaan, namun kemungkinan besar ada sesuatu yang tidak diketahui yang mengintai di bawah air.

Lab Ancaman Pahlawan peneliti Pendorong Kapas Dan Tandai Vaitsman mengetahui kenyataan ini secara langsung. Sebagian besar hari-hari mereka melibatkan penelitian bagaimana ancaman mengambil data sensitif di lingkungan cloud-native.

Dan mengetahui bahwa AI telah mengembangkan manajemen identitas dan bagaimana ancaman menyerang organisasi, keduanya ingin menciptakan pengalaman pelatihan Entra ID yang memberikan pengetahuan langsung kepada praktisi keamanan lainnya tentang seperti apa eksfiltrasi data di Entra ID di garis depan. Dengan demikian, Pelanggaran di Pantai lahir.

Pixel, kucing pendeteksi ancaman milik Varonis, sedang berlibur di pantai saat dia mengetahui adanya pelanggaran di Entra ID dan beralih ke mode penyelidik. Pemain menelusuri langkah-langkah pelaku ancaman melalui Pixel untuk mengungkap data sensitif apa yang dicari penyerang, dan diharapkan dapat menghentikannya sebelum terlambat.

Lanjutkan membaca untuk mempelajari lebih lanjut tentang kasus nyata yang menginspirasi Breach at the Beach, bagaimana AI telah mengembangkan deteksi ancaman dan memperkuat kebutuhan akan pendidikan langsung, dan bagaimana Anda bisa mendapatkan kredit CPE dengan menyelesaikan Breach at the Beach.

Mengapa Masuk ID?

Entra ID bukan hanya penyedia identitas; itu adalah bidang kendali untuk seluruh perusahaan. Ini menghubungkan pengguna, aplikasi, izin, otomatisasi, dan alur kerja yang semakin didukung AI. Munculnya identitas non-manusia – agen AI, perwakilan layanan, alur kerja otomatis – telah mengubah bentuk kompromi dalam Entra ID.

“Di era AI saat ini, banyak identitas yang merupakan identitas non-manusia. Jika ada kompromi di Entra, pelaku ancaman dapat mengubah dirinya menjadi identitas non-manusia, dan hal ini dapat dengan cepat berubah menjadi upaya eksfiltrasi data yang tersembunyi dan terukur,” kata Tandai VaitsmanKetua Tim Riset Keamanan di Varonis.

Teknik yang dijalin dalam Breach at the Beach tidak bersifat hipotetis. Tantangan-tantangan tersebut mencerminkan kasus-kasus yang dialami Doron dan Mark secara langsung di lingkungan pelanggan nyata, menjadikan setiap tantangan sebagai pelajaran yang didasarkan pada apa yang dihadapi para pembela HAM saat ini.

“Identitas non-manusia dengan cepat berkembang melampaui identitas manusia, sehingga memperluas permukaan serangan. Pelaku ancaman dapat memperoleh dan meningkatkan akses sekaligus menciptakan tantangan besar dalam pemantauan dan deteksi,” kata Doron.

Doron juga menunjukkan bahwa organisasi terjebak di antara tekanan untuk melakukan hal tersebut mengadopsi AI dengan cepat dan infrastruktur keamanan yang belum bisa mengimbangi AI, sehingga menciptakan kompleksitas yang secara mendasar mengubah pendekatan defensif.

Berbagi pengetahuan melalui kacamata KKP

Mengetahui bahwa para pembela HAM saat ini membutuhkan kesadaran serangan modern di Entra ID, Doron dan Mark ingin memberikan pengalaman langsung kepada para pemain bertahan untuk menunjukkan seperti apa serangan modern.

Dengan Breach at the Beach, mereka memastikan hal-hal berikut diajarkan kepada para pemain:

  • Bagaimana ancaman menyalahgunakan fitur, bukan kesalahan konfigurasi: Pemain tidak mencari sesuatu yang rusak. Mereka belajar mengenali kapan fungsi sah dijadikan senjata.
  • Cara mendeteksi ancaman tanpa AI: Doron dan Mark sengaja merancang KKP untuk menghindari kemampuan LLM dalam memecahkan tantangan, sesuatu yang tidak terpikirkan oleh para peneliti satu atau dua tahun lalu. Penghapusan bantuan AI membantu pemain menyerap pelajaran yang tertanam dalam pengalaman dibandingkan mempelajarinya dengan cepat untuk bersaing.
  • Cara menghilangkan kebisingan: Bekerja melalui log Entra mentah adalah kenyataan bagi sebagian besar pembela HAM. Dengan menciptakan lingkungan kompleks tempat data terus berkembang, pemain diuji untuk menciptakan kejelasannya sendiri.

Di luar pelajaran spesifik, Mark juga mengetahui secara langsung bagaimana pembelajaran langsung memberikan para pembela HAM praktik di dunia nyata.

“Anda tidak akan memahami apa pun jika Anda tidak langsung menggunakan keyboard, mengeklik, dan melihat cara kerjanya. Membaca saja tidak cukup,” kata Vaitsman.

Mark juga berbagi bagaimana pengalaman CTF membantu pemain merasakan dampaknya, tidak hanya memahaminya secara konseptual.

“Anda merasa bahwa ini sebenarnya adalah perusahaan Anda dengan KKP. Jika Anda tidak memahami alur serangan atau teknik di dalamnya, Anda kehilangan lebih dari sekedar tantangan,” jelas Vaitsman.

Dibuat untuk semua profesional keamanan siber

Menambah pengetahuan baru tentang Entra ID dan AI adalah sebuah anugerah bagi Mark dan Doron, dan memastikan bahwa menyelesaikan pengalaman tersebut berguna di semua peran keamanan, termasuk tim merah, tim biru, CISO, peran intelijen ancaman, dan banyak lagi.

“Tidak mungkin Anda bisa menjadi pemain tim merah yang baik atau sempurna jika Anda tidak mengenal sisi tim biru, dan Anda mungkin tidak akan bisa menjadi CISO yang baik jika Anda tidak mengenal sisi penyerang,” lanjut Vaitsman.

Doron juga menyoroti bahwa ketika menyangkut AI dan mengaudit kesenjangan visibilitas, hal ini bukanlah sesuatu yang dialami oleh setiap praktisi keamanan dalam pekerjaan sehari-hari mereka. Memasukkan hal tersebut ke dalam KKP membantu mengidentifikasi kesenjangan yang mungkin terlewatkan.

“Tidak semua profesional keamanan terpapar pada log audit dari sistem seperti Dataverse, Copilot, atau mekanisme yang mendasari cara kerja sistem AI ini. CTF ini memberi mereka kesempatan untuk melihat betapa menantangnya membangun pendekatan defensif ketika bekerja dengan agen AI,” jelas Doron Kapah, Peneliti Keamanan di Varonis.

“Ini juga membantu mereka memahami seperti apa kebersihan identitas yang baik dan bagaimana menerapkan hak istimewa paling rendah di lingkungan mereka sendiri,” tambah Kapah.

Pada awal pengembangan Breach at the Beach, tim membawanya ke Cloud Village di RSAC 2026. Masukan yang dibagikan dari para pemain menyoroti betapa hal ini tidak terasa seperti sebuah tugas, namun sebuah tantangan kreatif yang membuat mereka tetap terhibur dan terinspirasi.

“Kami mendapat tanggapan bahwa tantangannya berat, namun juga sangat mendidik. Bahkan staf KKP yang berpengalaman di stan mengatakan kepada kami bahwa mereka mempelajari sesuatu yang baru,” kata Kapah.

Mainkan Breach di Pantai hari ini

Baik Anda berada di tim merah, tim biru, atau perlu mendapatkan kredit CPE, inilah kesempatan Anda untuk belajar sambil melakukan.

Pelanggaran di Pantai gratis dan tersedia untuk dimainkan online: https://breachatthebeach.com.

Menyelesaikan setiap tahap penghargaan KKP kepada pemain dengan 1 kredit CPE dan lencana bertema. Setelah keempat tahap selesai, pemain menerima sertifikat penyelesaian untuk dibagikan di LinkedIn. Jika Anda ingin mendapatkan kredit CPE, harap gunakan alamat email yang aktif.

Doron dan Mark juga menuju ke Las Vegas untuk Black Hat USA dan DEF CON 34, di mana mereka akan menjelaskan bagaimana CTF dibangun dan membantu pemain menjalani latihan secara langsung. Temukan detail acara tersebut di bawah.

Bermain di Black Hat USA 2026:

  • 3-6 Agustus 2026
  • Terletak di stan Varonis (#2948)
  • Pemain online dan peserta Black Hat yang menyelesaikan CTF pada tanggal 6 Agustus akan diikutsertakan dalam pengundian untuk mendapatkan kartu hadiah $2.000 USD ke Hotel Marriott
  • Lebih detail tentang Varonis di Topi Hitam

Mainkan di DEF CON 34 di Cloud Village

  • 6-9 Agustus 2026
  • Pusat Konvensi Las Vegas
  • Lebih detail tentang Desa Awan
  • Peserta akan memiliki kesempatan untuk berkompetisi dengan peserta lain dalam tantangan Capture the Flag di Cloud Village, dengan pemain top berhak mendapatkan berbagai hadiah.
  • Pendaftaran untuk bermain di DEF CON akan dibuka sebelum acara

Anda juga bisa bermain Pelanggaran di Pantai online dari mana saja!

Disponsori dan ditulis oleh Pahlawan.