【51CTO.com原創(chuàng)稿件】近幾年，網(wǎng)絡(luò)安全賽事不斷，競(jìng)賽的主要形式不外乎破解和攻防對(duì)抗。在這些賽事中，XCTF國(guó)際網(wǎng)絡(luò)安全技術(shù)對(duì)抗聯(lián)賽(簡(jiǎn)稱(chēng)：XCTF聯(lián)賽)因其聯(lián)賽賽制規(guī)模最大，最早將國(guó)際CTF賽事賽制引入國(guó)內(nèi)，且賽程歷時(shí)最長(zhǎng)，讓人熟知。

記者了解到，2017年8月24日-25日，第三屆XCTF聯(lián)賽將在新加坡舉辦HITB GSEC CTF，正式走向海外，這也將是國(guó)內(nèi)的安全團(tuán)隊(duì)首次走出國(guó)門(mén)辦比賽。此站比賽由賽寧網(wǎng)安、藍(lán)蓮花、XCTF聯(lián)賽與HITBSecConf聯(lián)合舉辦。

為何選在新加坡舉行比賽，而不是別的國(guó)家?除了在海外舉辦分站比賽，第三屆XCTF聯(lián)賽還做了哪些創(chuàng)新?前兩屆參賽的優(yōu)秀選手最終去了哪里?帶著這些疑問(wèn)，記者采訪了XCTF聯(lián)賽發(fā)起人與執(zhí)行組織者、清華大學(xué)碩士生導(dǎo)師諸葛建偉博士和網(wǎng)絡(luò)安全對(duì)抗賽CTF最早的實(shí)踐者、美國(guó)喬治亞大學(xué)終身教授李康教授。

[[195697]]

網(wǎng)絡(luò)安全對(duì)抗賽CTF最早的實(shí)踐者、美國(guó)喬治亞大學(xué)終身教授李康教授

[[195698]]

XCTF聯(lián)賽發(fā)起人與執(zhí)行組織者、清華大學(xué)碩士生導(dǎo)師諸葛建偉博士

據(jù)諸葛建偉博士向記者介紹，第三屆XCTF聯(lián)賽由之前的大而全的比賽，轉(zhuǎn)為面向地方產(chǎn)業(yè)特點(diǎn)的、有針對(duì)性的區(qū)域賽事。通過(guò)XCTF聯(lián)賽區(qū)域賽，挖掘發(fā)現(xiàn)地方的網(wǎng)安人才苗子,進(jìn)行深度、方向性培養(yǎng)。在前兩屆的基礎(chǔ)上，本屆聯(lián)賽決賽將結(jié)合人工智能這一熱點(diǎn)技術(shù)做一些創(chuàng)新。諸葛建偉表示，近兩年XCTF聯(lián)賽的優(yōu)秀選手要么進(jìn)入BAT的安全研究團(tuán)隊(duì)，要么選擇了自主創(chuàng)業(yè)或者留學(xué)海外深造。

對(duì)于此次在新加坡站HITB GSEC CTF的舉辦，李康教授表示，這次賽事有著重要的意義。首先，HITB與XCTF聯(lián)合舉辦此次比賽，這是XCTF聯(lián)賽賽制、賽題和平臺(tái)等各方面實(shí)力受到認(rèn)可的體現(xiàn)。其次，為XCTF聯(lián)賽擴(kuò)大影響力提供機(jī)會(huì)，有利于其進(jìn)一步的發(fā)展探索。最后，為海外人才的引入提供了機(jī)會(huì)。

采訪實(shí)錄如下：

51CTO記者：相較于Pwn2Own、DEFCON CTF奪旗賽這種國(guó)際上的安全競(jìng)賽，XCTF聯(lián)賽有何特色?舉辦XCTF聯(lián)賽的目的是什么?

諸葛建偉：Pwn2Own是安全破解賽，不是隊(duì)伍直接面對(duì)面的對(duì)抗，而是針對(duì)同一目標(biāo)，尋找并利用漏洞進(jìn)行比拼。DEFCON CTF奪旗賽主要是攻防對(duì)抗賽，每年只有兩場(chǎng)比賽：資格賽和總決賽。

XCTF聯(lián)賽立足于國(guó)內(nèi)，采用攻防對(duì)抗賽的賽制，聯(lián)賽機(jī)制，目的是為了讓國(guó)內(nèi)隊(duì)伍有更多的機(jī)會(huì)與國(guó)際隊(duì)伍比拼。XCTF聯(lián)賽更多是通過(guò)社區(qū)的方式，在不同的城市組織各站的選拔賽，整個(gè)聯(lián)賽采用冠軍獲得外卡入圍和積分入圍的方式。冠軍隊(duì)伍與積分隊(duì)伍總體進(jìn)行排名，選取參加決賽的隊(duì)伍。每屆聯(lián)賽長(zhǎng)達(dá)十個(gè)月左右，設(shè)置8到10站比賽。聯(lián)賽的目的在于，通過(guò)為高校學(xué)生和愛(ài)好者提供高水準(zhǔn)的國(guó)際水競(jìng)賽平臺(tái)，挖掘與培養(yǎng)實(shí)戰(zhàn)型技術(shù)人才，提升我國(guó)網(wǎng)絡(luò)安全技術(shù)人才水平，推動(dòng)網(wǎng)絡(luò)安全行業(yè)的健康可持續(xù)發(fā)展，并最終輔助增強(qiáng)我國(guó)網(wǎng)絡(luò)空間安全的整體防御能力。我們期望未來(lái)XCTF聯(lián)賽的影響力和技術(shù)水平，能夠比肩甚至超過(guò)DEFCON CTF奪旗賽。

李康：DEFCON起源最早，主要是安全從業(yè)者和愛(ài)好者，想看看誰(shuí)最厲害而形成的比賽，自發(fā)組織。而XCTF能夠在國(guó)內(nèi)連續(xù)舉行一系列的比賽，這種聯(lián)賽的形式可以對(duì)比賽隊(duì)伍的素質(zhì)及技術(shù)水平的提高有很大的幫助。未來(lái)，必將會(huì)對(duì)全國(guó)網(wǎng)絡(luò)安全技術(shù)發(fā)展提供很大幫助。

51CTO記者：第三屆XCTF聯(lián)賽較前兩屆，聯(lián)賽做了哪些改進(jìn)與創(chuàng)新?

諸葛建偉：第一屆是全國(guó)聯(lián)賽，主要面向國(guó)內(nèi)。第二屆關(guān)鍵詞是國(guó)際化，其中有五站面向國(guó)際，最后的總決賽也是國(guó)際總決賽。相較于前兩屆，總體來(lái)說(shuō)，第三屆XCTF聯(lián)賽有兩個(gè)重要的變化：一是，強(qiáng)調(diào)下沉。通過(guò)在全國(guó)各地舉辦區(qū)域型的賽事，為中級(jí)及中級(jí)以下的安全戰(zhàn)隊(duì)提供鍛煉機(jī)會(huì)。通過(guò)各省區(qū)域賽事，帶動(dòng)政府、機(jī)構(gòu)、企業(yè)來(lái)參與其中，從而挖掘本地網(wǎng)絡(luò)安全人才隊(duì)伍，同時(shí)加強(qiáng)高校和企業(yè)的安全人才對(duì)接交流。二是，堅(jiān)持國(guó)際化，讓賽事走出國(guó)門(mén)。在國(guó)際上，組織面向國(guó)際隊(duì)伍的競(jìng)賽，同時(shí)在本屆聯(lián)賽的總決賽將會(huì)借鑒去年的CGC賽事做些創(chuàng)新，在CTF賽事中加入智能攻防，緊跟國(guó)際上人工智能在安全領(lǐng)域的應(yīng)用這一發(fā)展趨勢(shì)。

51CTO記者：這些創(chuàng)新在總決賽中體現(xiàn)在哪里?具體決賽賽制是怎樣的?

諸葛建偉：第三屆XCTF聯(lián)賽決賽，最大的創(chuàng)新就是AI和類(lèi)似CGC(網(wǎng)絡(luò)超級(jí)挑戰(zhàn)賽)賽制的引入。要求參賽隊(duì)伍設(shè)計(jì)AI，進(jìn)行安全攻防對(duì)戰(zhàn)。這個(gè)問(wèn)題，最適合讓李康教授來(lái)回答。

李康： CGC大賽由美國(guó)國(guó)防部先進(jìn)項(xiàng)目研究局(DARPA)發(fā)起的，旨在推動(dòng)計(jì)算機(jī)程序自動(dòng)攻防的能力，這也是美國(guó)政府應(yīng)對(duì)日漸緊缺的安全技術(shù)人才的一項(xiàng)舉措。在去年的CGC賽場(chǎng)上，比賽開(kāi)始后，自動(dòng)攻防系統(tǒng)在不依靠人力的情況下，自行根據(jù)對(duì)場(chǎng)景的判斷發(fā)起攻擊。這考驗(yàn)的是程序本身如何在充分理解賽制的前提下對(duì)場(chǎng)景做出判斷，從而自動(dòng)進(jìn)行滲透或加固等攻防行為。

在本屆XCTF聯(lián)賽決賽前兩個(gè)月，每個(gè)參加決賽的戰(zhàn)隊(duì)可以著手研究，用于漏洞挖掘的AI程序。在決賽第一天，在特定的比賽環(huán)境下，各個(gè)參賽隊(duì)伍啟動(dòng)事先研發(fā)的AI程序，讓其獨(dú)立工作自動(dòng)尋找網(wǎng)絡(luò)服務(wù)上的漏洞，在查出漏洞后，再由參賽選手去利用漏洞?？傊?，這一天以AI的漏洞挖掘能力為主。在決賽第二天，采用傳統(tǒng)的攻防模式，參賽選手與自研的AI程序相配合進(jìn)行比賽。

諸葛建偉：是的。個(gè)人認(rèn)為，這樣的比賽形式更具有實(shí)用性，可以直接針對(duì)真實(shí)環(huán)境就行漏洞的挖掘。

51CTO記者：為何選擇在新加坡舉行比賽?舉辦XCTF聯(lián)賽新加坡站國(guó)際賽有著怎樣的意義?

諸葛建偉：之所以選擇在新加坡舉行比賽，主要從地域因素和網(wǎng)絡(luò)安全文化氛圍兩個(gè)方面來(lái)考慮。基于我國(guó)的“一帶一路”政策，以及“海上絲綢之路”的演化，從中亞到遠(yuǎn)東，中東，東亞上的路線選擇上，最終確定了新加坡這個(gè)國(guó)際化的都市。新加坡的網(wǎng)絡(luò)安全的交流氛圍，以及國(guó)家網(wǎng)絡(luò)安全基礎(chǔ)相比東亞等地區(qū)更好些。此外，我們與亞洲地區(qū)歷史最悠久、影響面最廣的安全大會(huì)HITB達(dá)成了合作。相當(dāng)于借船出海的方式，在XCTF資源有限的情況下，實(shí)現(xiàn)一個(gè)有效的互補(bǔ)。

HITB是非常知名的亞太區(qū)的安全技術(shù)會(huì)議，近兩年舉辦地點(diǎn)都在阿姆斯特丹。而HITB GSEC是由HITB主辦，從2015年開(kāi)始每年固定在新加坡舉辦的安全盛會(huì)，包括三天的培訓(xùn)和兩天的技術(shù)議題分享。在議題方面，HITB GSEC相較于其它安全會(huì)議最大的特點(diǎn)就是整場(chǎng)會(huì)議的所有議題由注冊(cè)參會(huì)者通過(guò)線上投票的方式從所有候選議題中選出。

李康：這次選擇在新加坡舉辦XCTF聯(lián)賽有著重要的意義。首先，HITB與XCTF聯(lián)合舉辦此次比賽，這是XCTF聯(lián)賽賽制、賽題和平臺(tái)等各方面實(shí)力受到認(rèn)可的體現(xiàn)。其次，此次海外賽事的舉辦，也為XCTF聯(lián)賽擴(kuò)大影響力提供機(jī)會(huì)，有利于其進(jìn)一步的發(fā)展探索。第三，為海外人才的引入提供了機(jī)會(huì)。在“一帶一路”的戰(zhàn)略下，通過(guò)在海外設(shè)置比賽，創(chuàng)造了一個(gè)以武會(huì)友的網(wǎng)絡(luò)空間，提供了一個(gè)良性的交流和深入合作的機(jī)會(huì)，也為來(lái)到比賽現(xiàn)場(chǎng)的百度、360、阿里等國(guó)內(nèi)企業(yè)提供海外安全人才引進(jìn)的機(jī)會(huì)，在技術(shù)交流同時(shí)，也將促進(jìn)國(guó)家間的互信。

51CTO記者：目前，參加新加坡站比賽的25支戰(zhàn)隊(duì)來(lái)自哪里?通過(guò)怎樣的方式篩選出來(lái)?

諸葛建偉：XCTF聯(lián)賽新加坡站的賽事僅僅宣布了3天時(shí)間，25個(gè)參賽名額就被一搶而空，他們來(lái)自13個(gè)國(guó)家和地區(qū)。這些戰(zhàn)隊(duì)并非是篩選出來(lái)的，而是在網(wǎng)站上直接報(bào)名參與的，而且這些參賽隊(duì)伍需要自己承擔(dān)參賽產(chǎn)生的費(fèi)用。

此外，XCTF聯(lián)賽同樣歡迎全球的CTF戰(zhàn)隊(duì)在XCTF社區(qū)報(bào)名參與線上比拼，線上線下比賽同步進(jìn)行。雖然線下去新加坡參加比賽的名額已滿，但感興趣的其他安全戰(zhàn)隊(duì)可以選擇參與線上賽，即使無(wú)法贏取獎(jiǎng)金，也可贏取第一名獲得進(jìn)入決賽的資格。

51CTO記者：據(jù)了解，本次比賽由XCTF-OJ實(shí)訓(xùn)平臺(tái)提供技術(shù)支持，能否介紹下這個(gè)平臺(tái)?

諸葛建偉：XCTF-OJ實(shí)訓(xùn)平臺(tái)是由賽寧通過(guò)多年XCTF賽事經(jīng)驗(yàn)積累自主研發(fā)的，實(shí)現(xiàn)了CTF比賽、網(wǎng)上安全練兵、網(wǎng)上教學(xué)等功能。目前OJ平臺(tái)提供于XCTF國(guó)際聯(lián)賽分站賽，并為國(guó)內(nèi)大型企業(yè)，安全機(jī)構(gòu)提供安全賽事演練服務(wù)以及可靠保障?，F(xiàn)在，主要有社區(qū)版和商業(yè)版兩種。社區(qū)版支持高校、企業(yè)合作，提供技術(shù)支撐，并面向白帽聯(lián)盟免費(fèi)開(kāi)放。商業(yè)版實(shí)訓(xùn)平臺(tái)，在內(nèi)容上，提供了CTF賽事的技術(shù)方向、講義課程、每屆XCTF聯(lián)賽的真題、比賽資源等。此外，實(shí)訓(xùn)平臺(tái)提供了真實(shí)的漏洞環(huán)境，進(jìn)入平臺(tái)的學(xué)習(xí)者可以選擇自己的身份，是攻擊者還是防御者。最終，從攻防兩個(gè)角度，培養(yǎng)實(shí)訓(xùn)人員的實(shí)際操作能力。

51CTO記者：本屆XCTF聯(lián)賽也將延續(xù)去年的XMan特訓(xùn)夏令營(yíng)活動(dòng)，該活動(dòng)是否收費(fèi)?2017年XMan特訓(xùn)夏令營(yíng)有哪些規(guī)劃?

諸葛建偉：XMan特訓(xùn)夏令營(yíng)去年是免費(fèi)的，今年將會(huì)面向?qū)W員收費(fèi)。再有，去年的夏令營(yíng)主要面向中級(jí)及以上技術(shù)水平的安全人才，而今年主要面對(duì)中級(jí)及以下水平的安全人才。

今年的XMan將在南京航空航天大學(xué)和北京航空航天大學(xué)分別設(shè)置兩個(gè)特訓(xùn)營(yíng)，特訓(xùn)營(yíng)學(xué)員每班50人，自2017年7月31日開(kāi)班，為期21天。夏令營(yíng)主要面向全國(guó)信息安全競(jìng)賽愛(ài)好者，報(bào)名者近半年內(nèi)有一定的CTF競(jìng)賽經(jīng)驗(yàn)并有良好表現(xiàn)，善于團(tuán)隊(duì)溝通交流。報(bào)名并通過(guò)摸底測(cè)試后即可進(jìn)入XMan(立即前往報(bào)名：https://www.xctf.org.cn/xman/)。

為了加強(qiáng)團(tuán)隊(duì)合作和拓展極客思維技能，今年的XMan特訓(xùn)夏令營(yíng)除了知名企業(yè)技術(shù)大拿親自設(shè)置課程，強(qiáng)隊(duì)主力隊(duì)員親自講授課程外，我們還特別設(shè)置了極客密室逃脫、真人CS極客版、汽車(chē)、無(wú)人機(jī)破解等環(huán)節(jié)，歡迎大家的參與。

51CTO記者：我們知道，現(xiàn)在全球的安全人才極為稀缺。輸送安全人才的渠道，除了學(xué)校，培訓(xùn)機(jī)構(gòu)外，通過(guò)安全競(jìng)賽的形式也培養(yǎng)了不少安全人才。那么，經(jīng)過(guò)這幾屆的XCTF聯(lián)賽選拔出的優(yōu)秀安全人才，都主要去向了哪里?

諸葛建偉：通過(guò)XCTF聯(lián)賽選拔出的優(yōu)秀安全人才主要走向了三個(gè)方向：一是，約有五十多位高端人才，進(jìn)入了以BAT為代表的企業(yè)安全研究團(tuán)隊(duì)。二是，有的聯(lián)賽隊(duì)伍走向了自主創(chuàng)業(yè)之路。比如：藍(lán)蓮花戰(zhàn)隊(duì)成員創(chuàng)立的長(zhǎng)亭科技公司。三是，留學(xué)海外，進(jìn)行深造。

【簡(jiǎn)介】

李康教授，現(xiàn)任喬治亞大學(xué)終身教授，360網(wǎng)絡(luò)安全北美研究院負(fù)責(zé)人，網(wǎng)絡(luò)安全對(duì)抗賽CTF最早的實(shí)踐者，組建的Disket在2015年美國(guó)國(guó)防部DARPA組織的CGC (Cyber Grand Challenge)資格賽中闖入決賽。

諸葛建偉博士，副研究員，碩士生導(dǎo)師。目前就職于清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院(網(wǎng)研院)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室(NISL)。藍(lán)蓮花戰(zhàn)隊(duì)共同創(chuàng)始人與領(lǐng)隊(duì)，XCTF聯(lián)賽共同發(fā)起人與執(zhí)行組織者，國(guó)內(nèi)網(wǎng)絡(luò)安全領(lǐng)域的知名技術(shù)書(shū)籍作者與譯者。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】