網路安全對抗賽創新模式 人人對抗將顛覆人機對抗
- 發佈時間:2015-05-22 14:59:00 來源:賽迪網 責任編輯:書海
第二屆北京網路安全技術大賽已經塵埃落地半月有餘,但圍繞本次比賽的話題卻並未平息,在行業內持續引起關注。大家關注的焦點不是本次技術大賽多達60支隊伍180人的參賽規模,也不是參賽選手高超的競技水準,而是這次安全大賽採用的全新競賽方式。
傳統安全競技大賽CTF模式的利與弊
國內外網路安全大賽目前採用的流行競技方式均為CTF方式,即CaptureTheFlag的簡稱,中文一般譯作奪旗賽。比賽形式有點類似于考試,所有選手面對同樣的題目,一般試題會涉及逆向工程、密碼學、ACM編程、web漏洞、二進位練習、網路和取證等,參賽選手在限定時間內解決這些問題,誰先得出答案誰就是獲勝者。
CTF起源於1996年DEFCON全球駭客大會,發展至今已經成為全球範圍網路安全圈流行的競賽形式。目前全球舉辦的國際性網路安全大賽,基本上採用CTF方式,賽事數量超過五十場。
CTF方式作為一種已經發展了十餘年的安全競技方式,其特點優勢是非常明顯的。CTF的特點有兩個:第一是人機對抗,第二是競速,也就是以速度取勝。這樣的比賽形式簡單、公平,賽事組織相對較容易。
但利與弊總是硬幣的兩面。隨著時間的推移,CTF這種人機對抗的"應試教育"的弊端也日益明顯,首先是試題本身對成績的影響會越來越大,尤其安全問題的種類越來越多,所以發展的趨勢只能是題目越來越難、越來越偏。其次,也是一個相當致命的問題就是,CTF方式只強調攻擊,沒辦法提升和比較參賽人員的防禦能力!這個弊端導致CTF競技越來越變成駭客之間的較量,卻無法綜合衡量網路安全專業人員的綜合水準。
全新AWD模式揭開安全競技新篇章
作為第二屆“429首都網路安全日”的重頭戲,北京網路安全技術大賽希望實現的是全面衡量網路安全專業人員的水準——除了進攻,還有防禦!因此,傳統的CTF競技方式就顯得力不從心。對此,受委託對本次大賽進行支撐的永信至誠公司提出了一套全新的方案:採用以“聯合對抗、共同防禦”為核心的人人對抗新模式——他們將這套方案稱為AWD,即AttackWithDefence,中文譯名為“攻防兼備”。
與CTF相比,AWD的核心思想完全不同,那就是要在確保防禦展開進攻,考察的是一個團隊的綜合安全能力。如果説CTF就像角色扮演遊戲的話,那麼AWD就像一個即時戰略遊戲。比賽規則不再是大家各自為戰、悶頭答題;而是相互攻擊、同時也承擔相互的攻擊。攻破別人的主機將獲得加分,但同時如果被別人攻破,也將被扣分。各比賽隊伍的主機環境包括了各種歷史上或最新出現的經典漏洞,參賽選手既要了解如何利用這些漏洞進行攻擊,也必須了解如何快速將這些漏洞打上補丁;同一個團隊的三名成員不再像CTF模式中分別完成不同的題目,而是必須抱成一團,有人負責攻擊,有人負責防守,也就是“聯合對抗、共同防禦”。
實踐證明,採用了全新模式的第二屆北京網路安全技術大賽取得了非常好的效果。現場戰況由此變得緊張激烈,競爭結果也更加可信。用北京網路行業協會發給永信至誠的感謝信上所説:“本次技術大賽規模宏大、內容精彩、技術含量高,獲得了領導、業界人士、參賽選手、觀眾和廣大群眾的一致好評”,為行業的類似大賽建立了新的樣板。
為這種新模式叫好的不僅是大賽組委會和參賽選手,還有關注網路安全和資訊安全實用型人才的企業界人士。傳統CTF模式的勝出者,往往是比賽攻題型技術人才,關注的往往是一些專注於安全技術研究的團隊;但AWD模式下脫穎而出的,卻是充分了解攻擊原理的綜合防禦的實用型人才,正是對廣大企業來説最急需的對口人才。因此,AWD模式對企業選拔人才的機制來説,也堪稱是一個革命性的顛覆與福利。
AWD模式目前還不成熟,但這種模式及其背後的“聯合對抗、共同防禦”的思路,也許將引發整個安全競技模式乃至安全人才選拔的革命。