靜動之美/攻防兼備 2015安全攻防賽實錄

2024-04-03 22:43:07

    2015年5月26日的武漢，小雨霏霏。某酒店數百平米的會議大廳裡，擺著四十多張桌子，每三人一組面對面坐著，每人面前都擺著一臺筆記本——這樣的場景維持了5個多小時。與其說這是一場比賽，看起來更像是一個會議，或者說一節自習課。

    這就是國家網際網路應急中心（CNCert）舉辦的「2015中國網絡安全攻防大賽」比賽現場。作為全程旁觀本次大賽的媒體人，這是記者第一次零距離接觸這種比賽……

一場激烈和專業的對抗

    外表看起來，安全攻防大賽的現場完全沒有那種激烈的對抗氣氛，每個人都對著自己面前的電腦，或者沉思良久，或者運指如飛——看不到眼睛赤紅，也看不到揮汗如雨。但現場的攻防狀況演示圖卻直觀體現出現場對抗的激烈程度。事實上，從開始比賽的第一分鐘到最後一分鐘，各隊之間的相互攻擊就始終沒有停止。

圖註：與其說是一場比賽，對抗賽現場更像一個會議、一節課堂。

    這種激烈程度得到了「久經沙場」的紫禁城、長亭外等隊的認可，但也讓不少首次參賽的隊伍有點吃不消。最後的得分也許能說明攻防對抗的慘烈：有3支隊伍被打成負分，而前三名達到2000分左右。

    激烈對抗還體現在比賽的過程上。現場前三名的排名和名單幾經變化。PowerTime隊率先成功突破，但很快被金陵CWX超越；而比賽進行2個小時後，紫禁城隊開始發力，一陣得分狂潮之後佔據領先；比賽進入最後1個小時前後，排名第4的長亭外後程加速，迅速躥升至第2位，而且一直向第1名發起追趕……

 圖註：現場比賽實時展示屏，記錄著平靜背後的波瀾壯闊。圖中的線條標誌著參賽隊之間的攻擊和防禦狀況；左側是實時積分榜。

    激烈的背後是參賽隊員的水平和比賽專業性的提升。金陵CWX隊也參加了去年CNCERT組織的上屆比賽，他們評價說，本屆比賽無論是參賽隊伍的數量還是質量都比去年有不小的提升。紫禁城的參賽隊員、北京知道創宇公司安全研究院龐偉對記者說，他看到參賽名單後，睡覺都不踏實了，因此他們做了精細的準備工作，包括現場的分工和比賽策略。比賽中他們三個人分工明確，一個人負責二進位，一個人負責挖掘漏洞並修補漏洞，另一個人專門負責寫exp。同時他們建立了一個內部小wiki平臺，三人協作分享；而在戰術方面，他們事先就明確了先修補漏洞、防禦自己，後利用exp批量攻擊的方式。事實證明，這些分工和戰術非常成功，成為他們成功的關鍵因素。

    與之相比，長亭外的隊員在比賽後最大的遺憾就是準備不足和戰術錯誤。他們在開場有點糾結於某幾個漏洞，總體進度受到影響，到中午前後調整策略，但雖然後程持續發力且奇招迭出，但由於落後太多，沒能追趕的上。——但顯然，長亭外對第二名的成績並不滿意。賽後，長亭外隊員、北京長亭科技有限公司的陳宇森在自己的微信上還表達了對連續兩次比賽獲得第二名的遺憾……

圖註：長亭外代表隊（本次榮獲第二名）在比賽中

一場更貼近實戰的競賽

    這種對抗的激烈化與比賽規則的改變有莫大的關係。與國內傳統網絡安全比賽方式不同，本次比賽採用現場各隊的人人直接對抗方式進行。每個隊伍擁有一個防守機，參賽隊要首先做好本防守機的漏洞修補等防禦工作，然後向其他任何防守機發起攻擊；在攻擊成功得5分、被攻破失10分且初始分數達到1000分的規則下。大會主辦方在和記者的交流中也特意提到，他們希望參賽隊乃至更多領域對「防禦」的重視程度。主辦方將這種方式稱為AWD（Attack With Defence），中文譯名為「攻防兼備」。而記者看到的一張賽前海報，也把這種思路彰顯的非常清楚，其主題詞就是：「聯合對抗、共同防禦」。

    這種轉變顯然得到了參賽選手的認可。在記者進行交流的十餘個參賽隊員中，幾乎所有人在提到這種方式時都表示了肯定。金陵CWX的隊員表示，傳統比賽方式就像（數學）奧賽一樣，更強調知識性；而現在這種形式則相對靈活，也更加刺激。一位不原透露自己隊名的參賽隊員在比賽結束前15分鐘就在會場的茶歇區吃起了水果，他對記者苦笑著表示，此前傳統答題比賽方式就是答不出來也顯現不出來，現在的比賽方式「更刺激了，但防守不好那是真沒面子呀……」

    參賽隊PowerTime來自國網智能電網研究院信息安全實驗室。該實驗室的郝增帥先生在現場對記者說，相對而言，傳統比賽模式更考驗參賽人員的基礎知識和能力，例如逆向、日誌分析、解密等等，而本次比賽的AWD模式更接近於實戰，更考驗綜合能力。當然，他也提到，這對他們自己也是個不小的挑戰。龐偉也表示，此前的傳統奪旗比賽方式剛開始還是蠻有樂趣的，但後來競爭越來越激烈，要想拉開差距，題目就要越來越難、越來越偏，自然也就距離實際應用越來越遠，趣味性也會削弱。本次比賽的AWD模式其實沒有什麼偏題怪題，都是比較常見的漏洞，非常貼近實戰；但由於是實時的，比較考較綜合能力；同時，這種形式大大提升了比賽的趣味性。

圖註：本次冠軍隊紫禁城隊在比賽中

    在本次比賽的AWD模式下，對防守的重視與否直接影響到了最終比賽的分數。甚至仔細分析最後的成績發現，最終排名的榜單與失分（防守）榜單的接近程度比得分（進攻）榜單的接近程度更甚。例如最終排名第3的金陵CWX，其攻擊得分和PowerTime不相上下，但防守更佳；而最終第7的虎糾隊，其進攻得分排在10名開外，但其防守排在第7名，最終成績不錯。談到這種對防守重視的比賽規則，記者問到的幾支參賽隊都表示認可。郝增帥表示，防禦對企業來說更為重要，既知攻又知防才是企業需要的。龐偉也表示，企業應該加強對防禦的重視程度，尤其是傳統企業，在Web安全方面往往重視程度不夠，很容易造成損失。

    採訪中記者也了解到，這種AWD模式在國內尚未大面積鋪開。主辦方介紹說，他們去年舉辦第一屆攻防大賽時也是採用傳統的奪旗戰模式，今年也是一種改進和創新；但對應的，本次比賽在搭建複雜度和技術支持難度上都提升了不少。龐偉也提到，對比傳統的奪旗，本次比賽模式的推廣，首先是一個對進攻和防守的認識和思維問題，其次也有網絡環境和虛擬環境搭建難度和成本的問題。

一場不僅為了參賽的交流

    比賽結束之後的採訪讓記者感受到，與其他比賽還有一點更大的不同，是網絡攻防對抗大賽是一場沒有失敗者的比賽。比賽進行到最後10分鐘，大部分名次已經基本成定局，現場的氣氛開始活躍起來。有的參賽隊選手甚至已經開始交流起來。來自北京的一支研究所金陵CWX的對面，比賽還沒結束就和對手交流起了技術問題。當記者問起來他們的感受時，他們說的都是自己的問題：經驗不足、水平不夠，並且指著對面的三個比明顯比他們年齡小的小夥子說：他們實力很強，非常不錯！來自中國科學院信息工程研究所的夏葳是參賽的114名比賽選手中僅有的四位美女（絕非客套，參賽的四位女選手都堪稱美女）之一，在記者的採訪中也笑著表示自己就是為了學習而來，本次參賽的其他選手水平都很強，自己還有不小的差距。比賽尚未結束時有隊伍選擇整體提前離場，記者追上去試圖和他們溝通詢問感受，對方苦笑著婉拒：「的確是我們自己水平不夠……」。

    這種對技術的尊重、對高手的尊重和對自己提高的期待絕非個案，甚至可以說是整個比賽的氛圍。正如記者問到郝增帥參賽目的時他脫口而出一句話：「我們是為了檢驗水平、提高水平而來」。整個採訪過程，記者沒有聽到哪怕一句對比賽環境、比賽規則的抱怨，有的只是對自己的反省，以及一些遺憾和改進。長亭外這次雖然後程發力但未能追上，對獲得第二名稍有遺憾，但比賽結束後他們一直在反省自己的戰術，同時和技術支持部門交流他們對比賽進程的感受和改進意見。而在最後的頒獎儀式上，獲得優勝的6支隊伍上臺領獎，並手執大大的獎金支票拍照，都能收穫到由衷的掌聲。這種激烈競爭和平和交流的反差，讓記者頗有點不太適應。

圖註：獲獎選手（前6名）合影

    除了檢驗水平和技術交流之外，還有不少參賽和到現場觀摩的人也是為了吸取經驗，為自身團隊的人才提升做準備。郝增帥就提到，他們也希望借鑑類似的方式，在其內部逐步完善人才水平提升的體系。現場觀摩的一位行業內人士也向記者表示，安全攻防大賽對人才的選拔和水平提升幫助很大，他們也在關注類似形式，評估和了解相應的組織方式，也許會在今後組織類似的活動。記者在現場看到，長達5個小時的比賽時間內，現場的觀摩和交流區基本上人來人往從未停止，這張比賽，其實也便變成了一個現場觀摩和交流的平臺。

    傍晚的武漢，小雨已經停止，空氣很好。但比空氣更好的，是和我一起走出酒店的參賽者的心情。這是個收穫的日子——他們，還有我自己。■