盤點(diǎn)國(guó)內(nèi)四大網(wǎng)絡(luò)安全對(duì)抗賽
網(wǎng)絡(luò)安全對(duì)抗賽這一國(guó)際流行的競(jìng)技形式,2014年起便在國(guó)內(nèi)開始慢慢升溫;發(fā)展至今日,已十分受國(guó)內(nèi)高校和安全企業(yè)的青睞。
在剛剛過去的2016年,網(wǎng)絡(luò)安全對(duì)抗賽在國(guó)內(nèi)各地仍是如火如荼地進(jìn)行。而這其中,因其聯(lián)賽賽制而規(guī)模最大,舉辦時(shí)間最早,歷時(shí)最長(zhǎng)的XCTF聯(lián)賽,便是我們要談的第一個(gè)賽事。
1. XCTF聯(lián)賽
2015年11月至2016年7月,第二屆XCTF聯(lián)賽舉行,設(shè)立了3站國(guó)內(nèi)賽和4站國(guó)際賽。其上海站與擁有中國(guó)大陸區(qū)唯一DEFCON CTF外卡賽資格的0CTF合辦,冠軍隊(duì)伍可直接入圍DEFCON CTF這一世界公認(rèn)代表CTF最高水準(zhǔn)的總決賽賽場(chǎng)。
賽制上XCTF聯(lián)賽結(jié)合線上解題和線下實(shí)時(shí)攻防兩種模式,以各隊(duì)總得分進(jìn)行積分排名。而對(duì)DEFCON CTF等高水平國(guó)際賽事多采用的現(xiàn)場(chǎng)攻防競(jìng)技模式的引入,也是XCTF聯(lián)賽相較于之前國(guó)內(nèi)同類型賽事(多以Web滲透方向解題為主)最突出的特點(diǎn)。除了更注重各團(tuán)隊(duì)的整體實(shí)力以及場(chǎng)上隊(duì)員間的分工配合外,在內(nèi)容設(shè)計(jì)上XCTF還將二進(jìn)制逆向、零日漏洞挖掘和利用等類別作為核心競(jìng)技內(nèi)容。
在比賽的運(yùn)營(yíng)方面,XCTF聯(lián)賽一直盡可能少的摻雜商業(yè)內(nèi)容,各站賽事均有部分工作由當(dāng)?shù)馗咝3薪?,?jìng)技/優(yōu)秀戰(zhàn)隊(duì)選拔的氛圍也更為純粹。
從比賽結(jié)果來看,XCTF國(guó)際聯(lián)賽給前三甲開出了總和為3.5萬美元的獎(jiǎng)金。在清華藍(lán)蓮花戰(zhàn)隊(duì)未參與的情況下,第二屆XCTF上海站的外卡門票被俄羅斯戰(zhàn)隊(duì)LC↯BC拿到, 0ops戰(zhàn)隊(duì)則獲得了XCTF國(guó)際聯(lián)賽決賽季軍。而之后,在8月份DEFCON CTF 2016總決賽的現(xiàn)場(chǎng),0ops在與藍(lán)蓮花戰(zhàn)隊(duì)組成的“b1o0p戰(zhàn)隊(duì)”拿下了總分第二名的成績(jī),并刷新了中國(guó)戰(zhàn)隊(duì)在DEFCON CTF的排名記錄。
2. WCTF大師賽
與XCTF的“報(bào)名參與、積分晉級(jí)”不同,去年6月,由360舉辦的世界黑客大師賽(WCTF),因其全部參賽隊(duì)伍均為“參照CTFTime 排名”邀請(qǐng)而來的“邀請(qǐng)賽”,且前三名獎(jiǎng)金總額高達(dá)10萬美金(為目前全世界CTF比賽獎(jiǎng)金設(shè)置之最),而吸引全球的CTF強(qiáng)隊(duì)匯聚一堂。
在賽制方面,與XCTF等傳統(tǒng)CTF類競(jìng)賽最大的不同,他的出題方式結(jié)合引用了由PoC開創(chuàng)的Belluminar CTF(戰(zhàn)爭(zhēng)與分享)賽制,即出題方從主辦方轉(zhuǎn)移到了各個(gè)參賽隊(duì)伍。十只世界級(jí)CTF戰(zhàn)隊(duì)所出的十道世界級(jí)CTF難題,使得WCTF堪稱史上最困難的CTF“比武場(chǎng)”。與其它強(qiáng)隊(duì)真刀真槍的比拼硬實(shí)力,想必這也是WCTF吸引這些CTF強(qiáng)者的重要一點(diǎn)。
當(dāng)然,為了保證題目設(shè)計(jì)的合理性,主辦方在比賽最后一天加入了“賽題分享會(huì)”環(huán)節(jié)這一制約機(jī)制。除了各參賽戰(zhàn)隊(duì)要對(duì)自己所出題目的解題思路進(jìn)行講解外,還有主辦方特邀裁判對(duì)各隊(duì)所出題目的“精彩程度”進(jìn)行打分,而各隊(duì)的出題分將占到各隊(duì)總得分的30%。
3. 信息安全鐵人三項(xiàng)賽
鐵人三項(xiàng)賽不是傳統(tǒng)的CTF類網(wǎng)絡(luò)安全競(jìng)賽,而是針對(duì)中國(guó)網(wǎng)絡(luò)安全行業(yè)在人才培養(yǎng)和輸送方面“大部分應(yīng)屆生難以和企業(yè)對(duì)安全能力的真正需求對(duì)接”這一痛點(diǎn),將傳統(tǒng)網(wǎng)絡(luò)安全競(jìng)賽模式改良后的嘗試。
信息安全鐵人三項(xiàng)賽與CTF類競(jìng)賽最大的不同,在于其要求所有隊(duì)伍必須以“企業(yè)+高校”組成聯(lián)合戰(zhàn)隊(duì)的形式參與。即企業(yè)方和高校至少派出1名技術(shù)人員和在職老師做參賽隊(duì)伍的導(dǎo)師,而參賽選手也必須為在校全日制學(xué)生。通過組建聯(lián)合戰(zhàn)隊(duì)而形成的密切的校企合作關(guān)系,來打通企業(yè)和高校師生間聯(lián)系的紐帶,是鐵人三項(xiàng)賽最大的特點(diǎn)。
特別的,在比賽內(nèi)容上,鐵人三項(xiàng)賽分為“個(gè)人計(jì)算環(huán)境安全對(duì)抗”、“企業(yè)計(jì)算環(huán)境安全對(duì)抗”和“信息安全數(shù)據(jù)分析對(duì)抗”這三大比賽項(xiàng)目。其中企業(yè)典型生產(chǎn)環(huán)境的安全對(duì)抗,如工控網(wǎng)絡(luò),云平臺(tái)等,這一對(duì)企業(yè)真實(shí)網(wǎng)絡(luò)安全環(huán)境的模擬,是其相較于其它網(wǎng)絡(luò)安全比賽所獨(dú)有的。
鐵人三項(xiàng)賽主要發(fā)起人,啟明星辰首席戰(zhàn)略官潘柱廷曾表示,打通人才對(duì)接的最后一公里,基于大賽機(jī)制建立人才培養(yǎng)和選拔生態(tài)鏈,實(shí)現(xiàn)人才從高校到企業(yè)的無縫對(duì)接,是信息安全鐵人三項(xiàng)比賽的核心意義。
不難看出,通過網(wǎng)絡(luò)安全競(jìng)賽建立起的校企交流平臺(tái),正是作為企業(yè)/行業(yè)與高校的間的一塊木板。除了幫助企業(yè)擴(kuò)大在高校和信息安全行業(yè)的品牌影響力,提升品牌效應(yīng)外,它同時(shí)還承載著企業(yè)挖掘、培養(yǎng)安全人才,高校相關(guān)專業(yè)與行業(yè)對(duì)接并進(jìn)行大批量人才定向輸送,以及專業(yè)學(xué)生提前接觸真實(shí)網(wǎng)絡(luò)安全行業(yè),了解相關(guān)技術(shù)和職業(yè)前景這三方的愿景。
4. 騰訊TCTF
上個(gè)月末,由騰訊安全發(fā)起,騰訊安全聯(lián)合實(shí)驗(yàn)室主辦,上海交通大學(xué)0ops戰(zhàn)隊(duì)和北京郵電大學(xué)協(xié)辦的騰訊信息安全爭(zhēng)霸賽(TCTF)正式宣布啟動(dòng)。
此次TCTF分為國(guó)際賽(即0CTF)和新人邀請(qǐng)賽(RisingStar CTF)兩大板塊。國(guó)際賽預(yù)賽rank積分的前12名隊(duì)伍,將晉級(jí)線下決賽,且冠軍隊(duì)伍將獲得今年7月末直接參加DEFCON CTF總決賽的門票。在賽制方面,預(yù)賽與決賽都采用解題模式(Jeopardy),題目類型也多集中在破解、逆向、密碼學(xué)、Web安全、編程、移動(dòng)安全等領(lǐng)域,但不同的是決賽會(huì)對(duì)每個(gè)隊(duì)伍的上場(chǎng)人數(shù)加以限制(不超過4人)。
至于為何要全程采用解題模式,騰訊EEE戰(zhàn)隊(duì)隊(duì)長(zhǎng),同時(shí)也是此次TCTF技術(shù)負(fù)責(zé)人的謝天義曾表示,相較于國(guó)內(nèi)常見的實(shí)時(shí)攻防,解題模式題目的難度會(huì)更大,更側(cè)重于對(duì)參賽人員技術(shù)實(shí)力的考察,而不是一味的拼速度。攻防模式的題目有些為了解題速度會(huì)設(shè)置的比較簡(jiǎn)單,而有些則會(huì)“走火入魔”,成為了腦筋急轉(zhuǎn)彎。
還有一個(gè)非常重要的亮點(diǎn),就是此次的TCTF導(dǎo)師團(tuán)隊(duì)將由騰訊七大安全實(shí)驗(yàn)室負(fù)責(zé)人聯(lián)合高校組成。在整個(gè)比賽期間,騰訊安全聯(lián)合實(shí)驗(yàn)室的七位負(fù)責(zé)人會(huì)聯(lián)合各參與高校,通過增加課程元素的方式,將部分交流納入到學(xué)生的課程體系中。同時(shí),在與國(guó)際隊(duì)伍的交流中,騰訊安全聯(lián)合實(shí)驗(yàn)室也會(huì)組建專家團(tuán),來提供更多的關(guān)于技術(shù)層面的指導(dǎo),分享和交流。
除此以外,此次騰訊在人才的后續(xù)培養(yǎng)方面,提出了與比賽相關(guān)聯(lián)的“百人計(jì)劃”,即將從整個(gè)TCTF參與的選手中,挑選出百位安全人才,并通過專業(yè)的技術(shù)、資源、機(jī)會(huì)等方面提供支持。這些支持包括:騰訊及活動(dòng)支持企業(yè)的就業(yè)機(jī)會(huì)、DEFCON CTF等國(guó)際安全賽事的觀摩、與國(guó)際一流CTF戰(zhàn)隊(duì)的技術(shù)交流以及頂尖安全極客的技術(shù)培訓(xùn)等。
網(wǎng)絡(luò)安全的對(duì)抗是人與人之間的,理論教學(xué)不是人才培養(yǎng)的全部,而要與一線的實(shí)踐和最新威脅趨勢(shì)結(jié)合在一起去培養(yǎng),面向未來地選拔優(yōu)秀人才。 |
但行好事 莫問前程
了解完了國(guó)內(nèi)目前最火的四個(gè)網(wǎng)絡(luò)安全對(duì)抗賽,最后談?wù)勥@種的競(jìng)技形式與人才培養(yǎng)這兩者間的關(guān)系。
高校、企業(yè)與學(xué)生這三方的需求,使得CTF在近兩年異?;鸨?。雖然其在成立之初可能是作為一種“游戲”,但發(fā)展至今,其內(nèi)涵和意義已經(jīng)變得更為豐富。而這種形式,也可以更好地被用來進(jìn)行人才培養(yǎng);選手在參與過程中,也可以獲得更多的成長(zhǎng)和樂趣。
但是,談及安全人才的成長(zhǎng)與進(jìn)化,騰訊安全玄武實(shí)驗(yàn)室的負(fù)責(zé)人TK(于旸)認(rèn)為有4點(diǎn)要首先明確:
- 信息安全攻防對(duì)抗的不只是技術(shù)和人才的對(duì)抗:相關(guān)技術(shù)和人才的儲(chǔ)備,是進(jìn)入對(duì)抗戰(zhàn)場(chǎng)的門票;
- 人才是有梯隊(duì)的:互聯(lián)網(wǎng)企業(yè)和第三方安全公司對(duì)人才的需求是不完全一樣的;這個(gè)行業(yè)需要高端專業(yè)人士,也需要將安全技能和知識(shí)進(jìn)行普及;
- 安全人才短缺問題對(duì)于全球都已經(jīng)非常嚴(yán)重:國(guó)家層面也已經(jīng)開始投資信息安全教育,許多人才短缺嚴(yán)重的企業(yè)甚至表示愿意雇傭有網(wǎng)絡(luò)犯罪前科的人;
- 安全人才要隨著信息世界一同以極快的速度進(jìn)化,以應(yīng)對(duì)日趨復(fù)雜的跨協(xié)議、跨系統(tǒng)、跨業(yè)務(wù)和跨平臺(tái)安全問題:這需要具有更好合作能力的特定領(lǐng)域的專精人才,也需要擁有跨界領(lǐng)悟力能夠整合信息和資源來解決快領(lǐng)域安全問題的復(fù)合型人才。
綜合來看,網(wǎng)絡(luò)安全人才培養(yǎng)的目標(biāo)應(yīng)是適應(yīng)進(jìn)化、面向未來的。他們應(yīng)能夠適應(yīng)網(wǎng)絡(luò)安全形勢(shì)的發(fā)展,安全和信息技術(shù)的變革,以及安全威脅和攻擊方式的不斷進(jìn)化。
而在騰訊對(duì)于網(wǎng)絡(luò)安全競(jìng)賽這一人才培養(yǎng)形式的探索方面,騰訊副總裁丁珂也表示,此次TCTF屬于首次嘗試,還需要很長(zhǎng)的時(shí)間才能評(píng)判它對(duì)行業(yè)的影響,而騰訊也已經(jīng)做好了這個(gè)準(zhǔn)備。雖然最終事情的走向無法完全把握,但安全知識(shí)的普及、國(guó)內(nèi)安全氣氛乃至極客文化的調(diào)動(dòng)、人才梯隊(duì)的建立以及其跨界成長(zhǎng),才是當(dāng)下最重要的。“但行好事,莫問前程。這是目前騰訊要做的,也是我們能做的。”