网络安全对抗赛这一国际流行的竞技形式,2014年起便在国内开始慢慢升温;发展至今日,已十分受国内高校和安全企业的青睐。
在刚刚过去的2016年,网络安全对抗赛在国内各地仍是如火如荼地进行。而这其中,因其联赛赛制而规模最大,举办时间最早,历时最长的XCTF联赛,便是我们要谈的第一个赛事。
1. XCTF联赛
2015年11月至2016年7月,第二届XCTF联赛举行,设立了3站国内赛和4站国际赛。其上海站与拥有中国大陆区唯一DEFCON CTF外卡赛资格的0CTF合办,冠军队伍可直接入围DEFCON CTF这一世界公认代表CTF最高水准的总决赛赛场。
赛制上XCTF联赛结合线上解题和线下实时攻防两种模式,以各队总得分进行积分排名。而对DEFCON CTF等高水平国际赛事多采用的现场攻防竞技模式的引入,也是XCTF联赛相较于之前国内同类型赛事(多以Web渗透方向解题为主)最突出的特点。除了更注重各团队的整体实力以及场上队员间的分工配合外,在内容设计上XCTF还将二进制逆向、零日漏洞挖掘和利用等类别作为核心竞技内容。
在比赛的运营方面,XCTF联赛一直尽可能少的掺杂商业内容,各站赛事均有部分工作由当地高校承接,竞技/优秀战队选拔的氛围也更为纯粹。
从比赛结果来看,XCTF国际联赛给前三甲开出了总和为3.5万美元的奖金。在清华蓝莲花战队未参与的情况下,第二届XCTF上海站的外卡门票被俄罗斯战队LC↯BC拿到, 0ops战队则获得了XCTF国际联赛决赛季军。而之后,在8月份DEFCON CTF 2016总决赛的现场,0ops在与蓝莲花战队组成的“b1o0p战队”拿下了总分第二名的成绩,并刷新了中国战队在DEFCON CTF的排名记录。
2. WCTF大师赛
与XCTF的“报名参与、积分晋级”不同,去年6月,由360举办的世界黑客大师赛(WCTF),因其全部参赛队伍均为“参照CTFTime 排名”邀请而来的“邀请赛”,且前三名奖金总额高达10万美金(为目前全世界CTF比赛奖金设置之最),而吸引全球的CTF强队汇聚一堂。
在赛制方面,与XCTF等传统CTF类竞赛最大的不同,他的出题方式结合引用了由PoC开创的Belluminar CTF(战争与分享)赛制,即出题方从主办方转移到了各个参赛队伍。十只世界级CTF战队所出的十道世界级CTF难题,使得WCTF堪称史上最困难的CTF“比武场”。与其它强队真刀真枪的比拼硬实力,想必这也是WCTF吸引这些CTF强者的重要一点。
当然,为了保证题目设计的合理性,主办方在比赛最后一天加入了“赛题分享会”环节这一制约机制。除了各参赛战队要对自己所出题目的解题思路进行讲解外,还有主办方特邀裁判对各队所出题目的“精彩程度”进行打分,而各队的出题分将占到各队总得分的30%。
3. 信息安全铁人三项赛
铁人三项赛不是传统的CTF类网络安全竞赛,而是针对中国网络安全行业在人才培养和输送方面“大部分应届生难以和企业对安全能力的真正需求对接”这一痛点,将传统网络安全竞赛模式改良后的尝试。
信息安全铁人三项赛与CTF类竞赛最大的不同,在于其要求所有队伍必须以“企业+高校”组成联合战队的形式参与。即企业方和高校至少派出1名技术人员和在职老师做参赛队伍的导师,而参赛选手也必须为在校全日制学生。通过组建联合战队而形成的密切的校企合作关系,来打通企业和高校师生间联系的纽带,是铁人三项赛最大的特点。
特别的,在比赛内容上,铁人三项赛分为“个人计算环境安全对抗”、“企业计算环境安全对抗”和“信息安全数据分析对抗”这三大比赛项目。其中企业典型生产环境的安全对抗,如工控网络,云平台等,这一对企业真实网络安全环境的模拟,是其相较于其它网络安全比赛所独有的。
铁人三项赛主要发起人,启明星辰首席战略官潘柱廷曾表示,打通人才对接的最后一公里,基于大赛机制建立人才培养和选拔生态链,实现人才从高校到企业的无缝对接,是信息安全铁人三项比赛的核心意义。
不难看出,通过网络安全竞赛建立起的校企交流平台,正是作为企业/行业与高校的间的一块木板。除了帮助企业扩大在高校和信息安全行业的品牌影响力,提升品牌效应外,它同时还承载着企业挖掘、培养安全人才,高校相关专业与行业对接并进行大批量人才定向输送,以及专业学生提前接触真实网络安全行业,了解相关技术和职业前景这三方的愿景。
4. 腾讯TCTF
上个月末,由腾讯安全发起,腾讯安全联合实验室主办,上海交通大学0ops战队和北京邮电大学协办的腾讯信息安全争霸赛(TCTF)正式宣布启动。
此次TCTF分为国际赛(即0CTF)和新人邀请赛(RisingStar CTF)两大板块。国际赛预赛rank积分的前12名队伍,将晋级线下决赛,且冠军队伍将获得今年7月末直接参加DEFCON CTF总决赛的门票。在赛制方面,预赛与决赛都采用解题模式(Jeopardy),题目类型也多集中在破解、逆向、密码学、Web安全、编程、移动安全等领域,但不同的是决赛会对每个队伍的上场人数加以限制(不超过4人)。
至于为何要全程采用解题模式,腾讯EEE战队队长,同时也是此次TCTF技术负责人的谢天义曾表示,相较于国内常见的实时攻防,解题模式题目的难度会更大,更侧重于对参赛人员技术实力的考察,而不是一味的拼速度。攻防模式的题目有些为了解题速度会设置的比较简单,而有些则会“走火入魔”,成为了脑筋急转弯。
还有一个非常重要的亮点,就是此次的TCTF导师团队将由腾讯七大安全实验室负责人联合高校组成。在整个比赛期间,腾讯安全联合实验室的七位负责人会联合各参与高校,通过增加课程元素的方式,将部分交流纳入到学生的课程体系中。同时,在与国际队伍的交流中,腾讯安全联合实验室也会组建专家团,来提供更多的关于技术层面的指导,分享和交流。
除此以外,此次腾讯在人才的后续培养方面,提出了与比赛相关联的“百人计划”,即将从整个TCTF参与的选手中,挑选出百位安全人才,并通过专业的技术、资源、机会等方面提供支持。这些支持包括:腾讯及活动支持企业的就业机会、DEFCON CTF等国际安全赛事的观摩、与国际一流CTF战队的技术交流以及顶尖安全极客的技术培训等。
网络安全的对抗是人与人之间的,理论教学不是人才培养的全部,而要与一线的实践和最新威胁趋势结合在一起去培养,面向未来地选拔优秀人才。 |
但行好事 莫问前程
了解完了国内目前最火的四个网络安全对抗赛,最后谈谈这种的竞技形式与人才培养这两者间的关系。
高校、企业与学生这三方的需求,使得CTF在近两年异常火爆。虽然其在成立之初可能是作为一种“游戏”,但发展至今,其内涵和意义已经变得更为丰富。而这种形式,也可以更好地被用来进行人才培养;选手在参与过程中,也可以获得更多的成长和乐趣。
但是,谈及安全人才的成长与进化,腾讯安全玄武实验室的负责人TK(于旸)认为有4点要首先明确:
- 信息安全攻防对抗的不只是技术和人才的对抗:相关技术和人才的储备,是进入对抗战场的门票;
- 人才是有梯队的:互联网企业和第三方安全公司对人才的需求是不完全一样的;这个行业需要高端专业人士,也需要将安全技能和知识进行普及;
- 安全人才短缺问题对于全球都已经非常严重:国家层面也已经开始投资信息安全教育,许多人才短缺严重的企业甚至表示愿意雇佣有网络犯罪前科的人;
- 安全人才要随着信息世界一同以极快的速度进化,以应对日趋复杂的跨协议、跨系统、跨业务和跨平台安全问题:这需要具有更好合作能力的特定领域的专精人才,也需要拥有跨界领悟力能够整合信息和资源来解决快领域安全问题的复合型人才。
综合来看,网络安全人才培养的目标应是适应进化、面向未来的。他们应能够适应网络安全形势的发展,安全和信息技术的变革,以及安全威胁和攻击方式的不断进化。
而在腾讯对于网络安全竞赛这一人才培养形式的探索方面,腾讯副总裁丁珂也表示,此次TCTF属于首次尝试,还需要很长的时间才能评判它对行业的影响,而腾讯也已经做好了这个准备。虽然最终事情的走向无法完全把握,但安全知识的普及、国内安全气氛乃至极客文化的调动、人才梯队的建立以及其跨界成长,才是当下最重要的。“但行好事,莫问前程。这是目前腾讯要做的,也是我们能做的。”