CTF（奪旗賽）起源于1996年DEFCON全球黑客大會(huì)，是全球范圍網(wǎng)絡(luò)安全圈流行的競(jìng)賽形式，DEFCON作為CTF賽制的發(fā)源地，是全球最高技術(shù)水平和影響力的CTF競(jìng)賽，類(lèi)似于CTF賽場(chǎng)中的“世界杯”。

CTF之所以在全球網(wǎng)絡(luò)安全界流行，是因?yàn)樵摫荣愋问郊婢呷の缎?、?shí)用性和教育意義，為網(wǎng)絡(luò)安全專(zhuān)業(yè)人員提供了一種展示黑客技能的方法，同時(shí)又能在建設(shè)性、安全的環(huán)境中學(xué)習(xí)新概念。成功的CTF賽事對(duì)于設(shè)計(jì)者和參賽者來(lái)說(shuō)都是巨大的挑戰(zhàn)，可激發(fā)出新穎的攻擊路徑和創(chuàng)造性場(chǎng)景，并被企業(yè)攻防安全專(zhuān)業(yè)人員應(yīng)用到日常工作中。

設(shè)計(jì)高質(zhì)量CTF賽事除了技術(shù)挑戰(zhàn)之外，還需要考慮環(huán)境設(shè)置、實(shí)際競(jìng)賽操作、設(shè)置引人入勝的游戲所需的創(chuàng)意規(guī)劃，以及游戲化相關(guān)的細(xì)節(jié)因素，例如評(píng)分結(jié)構(gòu)和權(quán)重的設(shè)置等。

Netskope威脅研究實(shí)驗(yàn)室團(tuán)隊(duì)首席研究員Jenko Hwong是2023年DEF CON Cloud Village CTF的團(tuán)隊(duì)負(fù)責(zé)人，他表示：“作為一名設(shè)計(jì)師，我希望CTF具有挑戰(zhàn)性和樂(lè)趣，同時(shí)又具備相關(guān)性和實(shí)用性?！?/p>

Hwong指出，雖然CTF賽事非常流行，但是比賽設(shè)計(jì)和最佳實(shí)踐方面的信息卻非常匱乏，這導(dǎo)致很多CTF賽事設(shè)計(jì)者反復(fù)“踩坑”。以下，Hwong分享了他設(shè)計(jì)DEF CON CTF賽事的七點(diǎn)經(jīng)驗(yàn)教訓(xùn)：

一、講好故事是關(guān)鍵

Hwong表示，為了增加CTF賽事的趣味性和吸引力，DEF CON Cloud Village團(tuán)隊(duì)花大力氣編寫(xiě)引人入勝且有趣的故事情節(jié)。這里的“故事”可以看作是一個(gè)內(nèi)置了現(xiàn)實(shí)的網(wǎng)絡(luò)安全場(chǎng)景的電影劇本。這次DEF CON CTF活動(dòng)他們選擇了“矮人”主題，趣味性十足。但重要的不僅是編寫(xiě)故事情節(jié)，故事中融入的技術(shù)挑戰(zhàn)也很重要。

“在妖精和矮人的故事場(chǎng)景中，作為設(shè)計(jì)者，你需要提出安全專(zhuān)業(yè)人員可能遇到的合理場(chǎng)景，包括潛在的攻擊路徑和合理的防御，”Hwong指出：“作為CTF設(shè)計(jì)師，編故事的能力越強(qiáng)，CTF賽事就越有趣，對(duì)參賽者的吸引力就越大?！?/p>

二、采用軟件開(kāi)發(fā)方法設(shè)計(jì)賽題技術(shù)元素

Hwong建議，CTF設(shè)計(jì)者應(yīng)該采用軟件開(kāi)發(fā)方法來(lái)設(shè)計(jì)賽題的技術(shù)元素。

“你必須考慮設(shè)計(jì)、實(shí)施和測(cè)試，”Hwong解釋說(shuō)，他和他的團(tuán)隊(duì)經(jīng)歷了慘痛的教訓(xùn)才領(lǐng)悟，在一個(gè)復(fù)雜的，由眾多參與者用各種方法操縱的CTF環(huán)境中進(jìn)行測(cè)試是一個(gè)巨大的挑戰(zhàn)。

“（比賽前）我們沒(méi)能完成陰性測(cè)試和可行性檢查工作，作為主要設(shè)計(jì)者，我沒(méi)有指導(dǎo)測(cè)試，負(fù)有主要責(zé)任，”Hwong說(shuō)：“部分原因是我們沒(méi)有足夠的時(shí)間進(jìn)行測(cè)試，所以我在比賽正在進(jìn)行時(shí)鎖定了一些環(huán)境，避免比賽過(guò)于容易（找到漏洞）。

Hwong學(xué)到的重要教訓(xùn)之一是，CTF設(shè)計(jì)人員需要將軟件開(kāi)發(fā)的嚴(yán)謹(jǐn)性帶到CTF環(huán)境測(cè)試和可行性工作的整個(gè)流程中。

三、操作嚴(yán)謹(jǐn)性也很重要

嚴(yán)謹(jǐn)?shù)能浖_(kāi)發(fā)并不是唯一重要的技術(shù)能力，運(yùn)行CTF賽事的工作人員也需要嚴(yán)格遵守操作要求。

“我們有一些出色的人員來(lái)運(yùn)行服務(wù)器、AWS帳戶以及Google和Azure帳戶，并確保一切保持運(yùn)行，并且我們能監(jiān)控一切，”Hwong說(shuō)：“所有這些問(wèn)題都必須得到處理。如果你忽視它，就可能意味著失敗、破壞，或性能問(wèn)題?！?/p>

Hwong遇到的運(yùn)營(yíng)問(wèn)題之一是參賽者和賽事平臺(tái)間的一些沖突，因?yàn)楸荣惌h(huán)境受到限制，無(wú)法為AWS、Google和Azure上的每個(gè)參與者創(chuàng)建獨(dú)立的環(huán)境。隨著CTF比賽的推進(jìn)，Hwong和他的團(tuán)隊(duì)重新調(diào)整了政策，為參與者提供真正隔離的環(huán)境，避免互相干擾。

Hwong指出，在運(yùn)營(yíng)方面，CTF設(shè)計(jì)者還必須積極促進(jìn)組織者和參賽者之間的持續(xù)溝通。

四、難度分級(jí)和評(píng)分系統(tǒng)

Hwong警告說(shuō)，CTF組織者往往會(huì)低估賽題難度級(jí)別設(shè)定及開(kāi)發(fā)公平評(píng)分系統(tǒng)的困難程度。在實(shí)際比賽中，Hwong的團(tuán)隊(duì)設(shè)計(jì)的一些看似簡(jiǎn)單的關(guān)卡實(shí)際上難度很大，而一些看上去很難的賽題的成功完成者數(shù)量卻比預(yù)期得多。

CTF的另一個(gè)挑戰(zhàn)是找出一個(gè)有意義的評(píng)分系統(tǒng)?；贒EF CON的實(shí)操經(jīng)驗(yàn)，Hwong推薦使用鐘形曲線評(píng)分系統(tǒng)。還有一個(gè)問(wèn)題是如何規(guī)范和平衡大型CTF團(tuán)隊(duì)在獲得挑戰(zhàn)點(diǎn)方面的優(yōu)勢(shì)。

“如果一個(gè)戰(zhàn)隊(duì)人數(shù)較多，挑戰(zhàn)任務(wù)可以拆分由多個(gè)隊(duì)員并行完成。如果你的團(tuán)隊(duì)有10個(gè)人，速度就會(huì)提高10倍。所以人數(shù)絕對(duì)是一個(gè)優(yōu)勢(shì)，”Whong指出：“我們需要某種動(dòng)態(tài)評(píng)分來(lái)稍微平衡一下?！?/p>

一種選擇是讓挑戰(zhàn)連續(xù)進(jìn)行，但其缺點(diǎn)是可能會(huì)使CTF過(guò)于僵化和線性，并且可能會(huì)產(chǎn)生瓶頸或依賴關(guān)系，從而破壞一個(gè)或多個(gè)賽事。Hwong表示，他還希望看到更多的CTF對(duì)參與者的技術(shù)進(jìn)行獎(jiǎng)勵(lì)，例如在環(huán)境中的秘密行動(dòng)能力（是否留下太多腳印和指紋）。

五、藍(lán)隊(duì)更看中CTF的實(shí)用性

Hwong認(rèn)為普通的CTF已經(jīng)不足以吸引藍(lán)隊(duì)參與挑戰(zhàn)。

“藍(lán)隊(duì)演習(xí)往往是這樣的：‘我們的環(huán)境有配置錯(cuò)誤，存在很多漏洞。你能修復(fù)它們嗎？’”Hwong說(shuō)：“藍(lán)隊(duì)所做的只是測(cè)試這些配置是否被更改，或者紅隊(duì)是否可以訪問(wèn)某個(gè)公共存儲(chǔ)桶。一旦將其離線，就意味著藍(lán)隊(duì)修復(fù)了漏洞并獲得積分。

對(duì)藍(lán)隊(duì)來(lái)說(shuō)，實(shí)用性更強(qiáng)，更貼近實(shí)戰(zhàn)的挑戰(zhàn)是這樣的：紅隊(duì)已經(jīng)成功進(jìn)入環(huán)境，藍(lán)隊(duì)必須找到他們并將他們踢出環(huán)境?；蛘?，檢測(cè)到正在發(fā)生事件，紅隊(duì)已經(jīng)獲得賬號(hào)憑據(jù)。此場(chǎng)景中，藍(lán)隊(duì)只有注銷(xiāo)攻擊者的訪問(wèn)權(quán)限才有機(jī)會(huì)獲得最高分?！?/p>

Hwong指出，這些CTF場(chǎng)景更難實(shí)現(xiàn)，但對(duì)于防御者來(lái)說(shuō)更真實(shí)，也更有價(jià)值。

六、CTF需要更多新鮮組件

Hwong呼吁CTF設(shè)計(jì)者在CTF賽題中引入更多新漏洞利用和漏洞信息。這是Hwong在第一次參加DEF CON Cloud Village時(shí)強(qiáng)調(diào)的問(wèn)題，他決心在明年的CTF大賽中改進(jìn)這一點(diǎn)。

“這是把CTF變成實(shí)用的學(xué)習(xí)和培訓(xùn)工具的一個(gè)關(guān)鍵舉措，”Hwong解釋道：“我們很樂(lè)意使用研究人員的最新成果、甚至包括在當(dāng)界DEF CON上提出的相關(guān)漏洞利用方法和成果。”

七、通過(guò)模塊化開(kāi)發(fā)提高可復(fù)用性

最后，Hwong透露他汲取的最大教訓(xùn)之一是，業(yè)界需要找到更多方法來(lái)為CTF開(kāi)發(fā)可重用組件，就像軟件開(kāi)發(fā)人員為應(yīng)用程序所做的那樣。Hwong夢(mèng)想建設(shè)一個(gè)開(kāi)放的GitHub存儲(chǔ)庫(kù)，其中包含CTF代碼，作為開(kāi)發(fā)CTF的基礎(chǔ)模塊。

“CTF開(kāi)發(fā)模塊支持定制，能夠省去60%的重復(fù)工作，這樣CTF組織者和設(shè)計(jì)者就可以專(zhuān)注于真正的創(chuàng)新工作，例如添加新技術(shù)、場(chǎng)景和故事情節(jié)?！?/p>