顛覆人機對抗 網絡安全對抗賽新模式
2024-04-03 21:18:05
第二屆北京網絡安全技術大賽已經塵埃落地半月有餘,但圍繞本次比賽的話題卻並未平息,在行業內持續引起關注。大家關注的焦點不是本次技術大賽多達60支隊伍180人的參賽規模,也不是參賽選手高超的競技水平,而是這次安全大賽採用的全新競賽方式。
傳統安全競技大賽CTF模式的利與弊
國內外網絡安全大賽目前採用的流行競技 方式均為CTF方式,即Capture The Flag的簡稱,中文一般譯作奪旗賽。比賽形式有點類似於考試,所有選手面對同樣的題目,一般試題會涉及逆向工程、密碼學、ACM編程、web漏洞、二進位練習、網絡和取證等,參賽選手在限定時間內 解決這些問題,誰先得出答案誰就是獲勝者。
CTF起 源於1996年DEFCON全球黑客大會,發展至今已經成為全球範圍網絡安全圈流行的競賽形式。目前全球舉辦的國際性網絡安全大賽,基本上採用CTF方式,賽事數量超過五十場。
CTF方式作為一種已經發展了十餘年的安全競技方式,其特點優勢是非常明顯的。CTF的特點有兩個:第一是人機對抗,第二是競速,也就是以速度取勝。這樣的比賽形式簡單、公平,賽事組織相對較容易。
但利與弊總是硬幣的兩面。隨著時間的推移,CTF 這種人機對抗的"應試教育"的弊端也日益明顯,首先是試題本身對成績的影響會越來越大,尤其安全問題的種類越來越多,所 以發展的趨勢只能是題目越來越難、越來越偏。其次,也是一個相當致命的問題就是,CTF方式只強調攻擊,沒辦法提升和比較參賽人員的防禦能力!這個弊端導致CTF競技越來越變成黑客之間的較量,卻無法 綜合衡量網絡安全專業人員的綜合水平。
全新AWD模式揭開安全競技新篇章
作為第二屆「429首都網絡安全日」的重頭戲,北京網絡安全技術大賽希望實 現的是全面衡量網絡安全專業人員的水平——除了進攻,還有防禦!因此,傳統的CTF競技方式就顯得力不從心。對此,受委託 對本次大賽進行支撐的永信至誠公司提出了一套全新的方案:採用以「聯合對抗、共同防禦」為核心的人人對抗新模式——他們將這套方案稱為AWD,即Attack With Defence,中文譯名為「攻防兼備」。
與CTF相 比,AWD的核心思想完全不同,那就是要在確保防禦展開進攻,考察的是一個團隊的綜合安全能力。如果說CTF就像角色扮演遊戲的話,那麼AWD就像一個即時戰略遊戲。比賽規則不再是大家各自為戰、悶頭答題;而是相互攻擊、同時也承擔相互的攻擊。攻破別人的主機將獲得加分,但同時如果被別人攻破,也將被扣分。各比賽隊伍的主機環境包括了各種歷史上或最新出現的經典漏洞,參賽選手既要了解如何利用這些漏洞進行攻擊,也必須了解如何快速將這些漏洞打上補丁;同一個團隊的三名成員不再像CTF模式中分別完成不同的題目,而是必須抱 成一團,有人負責攻擊,有人負責防守,也就是「聯合對抗、共同防禦」。
實踐證明,採用了全新模式的第二屆北京網絡安全技術大賽 取得了非常好的效果。現場戰況由此變得緊張激烈,競爭結果也更加可信。用北京網絡行業協會發給永信至誠的感謝信上所說:「本次技 術大賽規模宏大、內容精彩、技術含量高,獲得了領導、業界人士、參賽選手、觀眾和廣大群眾的一致好評」,為行業的類似大賽建立了新的樣板。
為這種新模式叫好的不僅是大賽組委會和參賽選手,還有關注網絡安全和信息安全實用型人才的企業界人士。傳統CTF模式的勝出者,往往是比賽攻題型技術人才,關注的往往是一些專注於安全技術研究的團隊;但AWD模式下脫穎而出的,卻是充分了解攻擊原理的綜合防禦的實用型人才,正是對廣大企業來說最急需的對口人才。因此,AWD模式對企業選拔人才的機制來說,也堪稱是一個革命性的顛覆與福利。
AWD模式目前還不成熟,但這種模式及其背後的「聯合對抗、共同防禦」的思路,也許將引發整個安全競技模式乃至安全人才選拔的革命。■