第二届北京网络安全技术大赛已经尘埃落地半月有余,但围绕本次比赛的话题却并未平息,在行业内持续引起关注。大家关注的焦点不是本次技术大赛多达60支队伍180人的参赛规模,也不是参赛选手高超的竞技水平,而是这次安全大赛采用的全新竞赛方式。
传统安全竞技大赛CTF模式的利与弊
国内外网络安全大赛目前采用的流行竞技方式均为CTF方式,即Capture The Flag的简称,中文一般译作夺旗赛。比赛形式有点类似于考试,所有选手面对同样的题目,一般试题会涉及逆向工程、密码学、ACM编程、web漏洞、二进制练习、网络和取证等,参赛选手在限定时间内 解决这些问题,谁先得出答案谁就是获胜者。
CTF起 源于1996年DEFCON全球黑客大会,发展至今已经成为全球范围网络安全圈流行的竞赛形式。目前全球举办的国际性网络安全大赛,基本上采用CTF方式,赛事数量超过五十场。
CTF方式作为一种已经发展了十余年的安全竞技方式,其特点优势是非常明显的。CTF的特点有两个:第一是人机对抗,第二是竞速,也就是以速度取胜。这样的比赛形式简单、公平,赛事组织相对较容易。
但利与弊总是硬币的两面。随着时间的推移,CTF 这种人机对抗的"应试教育"的弊端也日益明显,首先是试题本身对成绩的影响会越来越大,尤其安全问题的种类越来越多,所 以发展的趋势只能是题目越来越难、越来越偏。其次,也是一个相当致命的问题就是,CTF方式只强调攻击,没办法提升和比较参赛人员的防御能力!这个弊端导致CTF竞技越来越变成黑客之间的较量,却无法综合衡量网络安全专业人员的综合水平。
全新AWD模式揭开安全竞技新篇章
作为第二届“429首都网络安全日”的重头戏,北京网络安全技术大赛希望实 现的是全面衡量网络安全专业人员的水平——除了进攻,还有防御!因此,传统的CTF竞技方式就显得力不从心。对此,受委托 对本次大赛进行支撑的永信至诚公司提出了一套全新的方案:采用以“联合对抗、共同防御”为核心的人人对抗新模式——他们将这套方案称为AWD,即Attack With Defence,中文译名为“攻防兼备”。
与CTF相比,AWD的核心思想完全不同,那就是要在确保防御展开进攻,考察的是一个团队的综合安全能力。如果说CTF就像角色扮演游戏的话,那么AWD就像一个即时战略游戏。比赛规则不再是大家各自为战、闷头答题;而是相互攻击、同时也承担相互的攻击。攻破别人的主机将获得加分,但同时如果被别人攻破,也将被扣分。各比赛队伍的主机环境包括了各种历史上或最新出现的经典漏洞,参赛选手既要了解如何利用这些漏洞进行攻击,也必须了解如何快速将这些漏洞打上补丁;同一个团队的三名成员不再像CTF模式中分别完成不同的题目,而是必须抱 成一团,有人负责攻击,有人负责防守,也就是“联合对抗、共同防御”。
实践证明,采用了全新模式的第二届北京网络安全技术大赛取得了非常好的效果。现场战况由此变得紧张激烈,竞争结果也更加可信。用北京网络行业协会发给永信至诚的感谢信上所说:“本次技 术大赛规模宏大、内容精彩、技术含量高,获得了领导、业界人士、参赛选手、观众和广大群众的一致好评”,为行业的类似大赛建立了新的样板。
为这种新模式叫好的不仅是大赛组委会和参赛选手,还有关注网络安全和信息安全实用型人才的企业界人士。传统CTF模式的胜出者,往往是比赛攻题型技术人才,关注的往往是一些专注于安全技术研究的团队;但AWD模式下脱颖而出的,却是充分了解攻击原理的综合防御的实用型人才,正是对广大企业来说最急需的对口人才。因此,AWD模式对企业选拔人才的机制来说,也堪称是一个革 命性的颠覆与福利。
AWD模式目前还不成熟,但这种模式及其背后的“联合对抗、共同防御”的思路,也许将引发整个安全竞技模式乃至安全人才选拔的革 命。