【51CTO.com原创稿件】近几年,网络安全赛事不断,竞赛的主要形式不外乎破解和攻防对抗。在这些赛事中,XCTF国际网络安全技术对抗联赛(简称:XCTF联赛)因其联赛赛制规模最大,最早将国际CTF赛事赛制引入国内,且赛程历时最长,让人熟知。
记者了解到,2017年8月24日-25日,第三届XCTF联赛将在新加坡举办HITB GSEC CTF,正式走向海外,这也将是国内的安全团队首次走出国门办比赛。此站比赛由赛宁网安、蓝莲花、XCTF联赛与HITBSecConf联合举办。
为何选在新加坡举行比赛,而不是别的国家?除了在海外举办分站比赛,第三届XCTF联赛还做了哪些创新?前两届参赛的优秀选手最终去了哪里?带着这些疑问,记者采访了XCTF联赛发起人与执行组织者、清华大学硕士生导师诸葛建伟博士和网络安全对抗赛CTF最早的实践者、美国乔治亚大学终身教授李康教授。
网络安全对抗赛CTF最早的实践者、美国乔治亚大学终身教授李康教授
XCTF联赛发起人与执行组织者、清华大学硕士生导师诸葛建伟博士
据诸葛建伟博士向记者介绍,第三届XCTF联赛由之前的大而全的比赛,转为面向地方产业特点的、有针对性的区域赛事。通过XCTF联赛区域赛,挖掘发现地方的网安人才苗子,进行深度、方向性培养。在前两届的基础上,本届联赛决赛将结合人工智能这一热点技术做一些创新。诸葛建伟表示,近两年XCTF联赛的优秀选手要么进入BAT的安全研究团队,要么选择了自主创业或者留学海外深造。
对于此次在新加坡站HITB GSEC CTF的举办,李康教授表示,这次赛事有着重要的意义。首先,HITB与XCTF联合举办此次比赛,这是XCTF联赛赛制、赛题和平台等各方面实力受到认可的体现。其次,为XCTF联赛扩大影响力提供机会,有利于其进一步的发展探索。最后,为海外人才的引入提供了机会。
采访实录如下:
51CTO记者:相较于Pwn2Own、DEFCON CTF夺旗赛这种国际上的安全竞赛,XCTF联赛有何特色?举办XCTF联赛的目的是什么?
诸葛建伟:Pwn2Own是安全破解赛,不是队伍直接面对面的对抗,而是针对同一目标,寻找并利用漏洞进行比拼。DEFCON CTF夺旗赛主要是攻防对抗赛,每年只有两场比赛:资格赛和总决赛。
XCTF联赛立足于国内,采用攻防对抗赛的赛制,联赛机制,目的是为了让国内队伍有更多的机会与国际队伍比拼。XCTF联赛更多是通过社区的方式,在不同的城市组织各站的选拔赛,整个联赛采用冠军获得外卡入围和积分入围的方式。冠军队伍与积分队伍总体进行排名,选取参加决赛的队伍。每届联赛长达十个月左右,设置8到10站比赛。联赛的目的在于,通过为高校学生和爱好者提供高水准的国际水竞赛平台,挖掘与培养实战型技术人才,提升我国网络安全技术人才水平,推动网络安全行业的健康可持续发展,并最终辅助增强我国网络空间安全的整体防御能力。我们期望未来XCTF联赛的影响力和技术水平,能够比肩甚至超过DEFCON CTF夺旗赛。
李康:DEFCON起源最早,主要是安全从业者和爱好者,想看看谁最厉害而形成的比赛,自发组织。而XCTF能够在国内连续举行一系列的比赛,这种联赛的形式可以对比赛队伍的素质及技术水平的提高有很大的帮助。未来,必将会对全国网络安全技术发展提供很大帮助。
51CTO记者:第三届XCTF联赛较前两届,联赛做了哪些改进与创新?
诸葛建伟:第一届是全国联赛,主要面向国内。第二届关键词是国际化,其中有五站面向国际,最后的总决赛也是国际总决赛。相较于前两届,总体来说,第三届XCTF联赛有两个重要的变化:一是,强调下沉。通过在全国各地举办区域型的赛事,为中级及中级以下的安全战队提供锻炼机会。通过各省区域赛事,带动政府、机构、企业来参与其中,从而挖掘本地网络安全人才队伍,同时加强高校和企业的安全人才对接交流。二是,坚持国际化,让赛事走出国门。在国际上,组织面向国际队伍的竞赛,同时在本届联赛的总决赛将会借鉴去年的CGC赛事做些创新,在CTF赛事中加入智能攻防,紧跟国际上人工智能在安全领域的应用这一发展趋势。
51CTO记者:这些创新在总决赛中体现在哪里?具体决赛赛制是怎样的?
诸葛建伟:第三届XCTF联赛决赛,最大的创新就是AI和类似CGC(网络超级挑战赛)赛制的引入。要求参赛队伍设计AI,进行安全攻防对战。这个问题,最适合让李康教授来回答。
李康: CGC大赛由美国国防部先进项目研究局(DARPA)发起的,旨在推动计算机程序自动攻防的能力,这也是美国政府应对日渐紧缺的安全技术人才的一项举措。在去年的CGC赛场上,比赛开始后,自动攻防系统在不依靠人力的情况下,自行根据对场景的判断发起攻击。这考验的是程序本身如何在充分理解赛制的前提下对场景做出判断,从而自动进行渗透或加固等攻防行为。
在本届XCTF联赛决赛前两个月,每个参加决赛的战队可以着手研究,用于漏洞挖掘的AI程序。在决赛第一天,在特定的比赛环境下,各个参赛队伍启动事先研发的AI程序,让其独立工作自动寻找网络服务上的漏洞,在查出漏洞后,再由参赛选手去利用漏洞。总之,这一天以AI的漏洞挖掘能力为主。在决赛第二天,采用传统的攻防模式,参赛选手与自研的AI程序相配合进行比赛。
诸葛建伟:是的。个人认为,这样的比赛形式更具有实用性,可以直接针对真实环境就行漏洞的挖掘。
51CTO记者:为何选择在新加坡举行比赛?举办XCTF联赛新加坡站国际赛有着怎样的意义?
诸葛建伟:之所以选择在新加坡举行比赛,主要从地域因素和网络安全文化氛围两个方面来考虑。基于我国的“一带一路”政策,以及“海上丝绸之路”的演化,从中亚到远东,中东,东亚上的路线选择上,最终确定了新加坡这个国际化的都市。新加坡的网络安全的交流氛围,以及国家网络安全基础相比东亚等地区更好些。此外,我们与亚洲地区历史最悠久、影响面最广的安全大会HITB达成了合作。相当于借船出海的方式,在XCTF资源有限的情况下,实现一个有效的互补。
HITB是非常知名的亚太区的安全技术会议,近两年举办地点都在阿姆斯特丹。而HITB GSEC是由HITB主办,从2015年开始每年固定在新加坡举办的安全盛会,包括三天的培训和两天的技术议题分享。在议题方面,HITB GSEC相较于其它安全会议最大的特点就是整场会议的所有议题由注册参会者通过线上投票的方式从所有候选议题中选出。
李康:这次选择在新加坡举办XCTF联赛有着重要的意义。首先,HITB与XCTF联合举办此次比赛,这是XCTF联赛赛制、赛题和平台等各方面实力受到认可的体现。其次,此次海外赛事的举办,也为XCTF联赛扩大影响力提供机会,有利于其进一步的发展探索。第三,为海外人才的引入提供了机会。在“一带一路”的战略下,通过在海外设置比赛,创造了一个以武会友的网络空间,提供了一个良性的交流和深入合作的机会,也为来到比赛现场的百度、360、阿里等国内企业提供海外安全人才引进的机会,在技术交流同时,也将促进国家间的互信。
51CTO记者:目前,参加新加坡站比赛的25支战队来自哪里?通过怎样的方式筛选出来?
诸葛建伟:XCTF联赛新加坡站的赛事仅仅宣布了3天时间,25个参赛名额就被一抢而空,他们来自13个国家和地区。这些战队并非是筛选出来的,而是在网站上直接报名参与的,而且这些参赛队伍需要自己承担参赛产生的费用。
此外,XCTF联赛同样欢迎全球的CTF战队在XCTF社区报名参与线上比拼,线上线下比赛同步进行。虽然线下去新加坡参加比赛的名额已满,但感兴趣的其他安全战队可以选择参与线上赛,即使无法赢取奖金,也可赢取第一名获得进入决赛的资格。
51CTO记者:据了解,本次比赛由XCTF-OJ实训平台提供技术支持,能否介绍下这个平台?
诸葛建伟:XCTF-OJ实训平台是由赛宁通过多年XCTF赛事经验积累自主研发的,实现了CTF比赛、网上安全练兵、网上教学等功能。目前OJ平台提供于XCTF国际联赛分站赛,并为国内大型企业,安全机构提供安全赛事演练服务以及可靠保障。现在,主要有社区版和商业版两种。社区版支持高校、企业合作,提供技术支撑,并面向白帽联盟免费开放。商业版实训平台,在内容上,提供了CTF赛事的技术方向、讲义课程、每届XCTF联赛的真题、比赛资源等。此外,实训平台提供了真实的漏洞环境,进入平台的学习者可以选择自己的身份,是攻击者还是防御者。最终,从攻防两个角度,培养实训人员的实际操作能力。
51CTO记者:本届XCTF联赛也将延续去年的XMan特训夏令营活动,该活动是否收费?2017年XMan特训夏令营有哪些规划?
诸葛建伟:XMan特训夏令营去年是免费的,今年将会面向学员收费。再有,去年的夏令营主要面向中级及以上技术水平的安全人才,而今年主要面对中级及以下水平的安全人才。
今年的XMan将在南京航空航天大学和北京航空航天大学分别设置两个特训营,特训营学员每班50人,自2017年7月31日开班,为期21天。夏令营主要面向全国信息安全竞赛爱好者,报名者近半年内有一定的CTF竞赛经验并有良好表现,善于团队沟通交流。报名并通过摸底测试后即可进入XMan(立即前往报名:https://www.xctf.org.cn/xman/)。
为了加强团队合作和拓展极客思维技能,今年的XMan特训夏令营除了知名企业技术大拿亲自设置课程,强队主力队员亲自讲授课程外,我们还特别设置了极客密室逃脱、真人CS极客版、汽车、无人机破解等环节,欢迎大家的参与。
51CTO记者:我们知道,现在全球的安全人才极为稀缺。输送安全人才的渠道,除了学校,培训机构外,通过安全竞赛的形式也培养了不少安全人才。那么,经过这几届的XCTF联赛选拔出的优秀安全人才,都主要去向了哪里?
诸葛建伟:通过XCTF联赛选拔出的优秀安全人才主要走向了三个方向:一是,约有五十多位高端人才,进入了以BAT为代表的企业安全研究团队。二是,有的联赛队伍走向了自主创业之路。比如:蓝莲花战队成员创立的长亭科技公司。三是,留学海外,进行深造。
【简介】
李康教授,现任乔治亚大学终身教授,360网络安全北美研究院负责人,网络安全对抗赛CTF最早的实践者,组建的Disket在2015年美国国防部DARPA组织的CGC (Cyber Grand Challenge)资格赛中闯入决赛。
诸葛建伟博士,副研究员,硕士生导师。目前就职于清华大学网络科学与网络空间研究院(网研院)网络与信息安全实验室(NISL)。蓝莲花战队共同创始人与领队,XCTF联赛共同发起人与执行组织者,国内网络安全领域的知名技术书籍作者与译者。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】