)摘要:
现在,各种网络安全竞赛正在世界各地如火如荼地举办,吸引了众多网络安全企业、高等院校和学生的积极参与。网络安全竞赛是网络安全人才发现、培养和选拔的重要手段,也是完善网络安全教育培训体系中的关键部分。界小编特地梳理了一些国内外重要的网络安全竞赛,供大家了解!
网络安全竞赛最早起源于“BBS黑客竞赛”,它由DEFCON创始人Jeff Moss于1993年发起。此后,在各界的广泛参与下,各类网络安全竞赛开始蓬勃发展。发展至今,网络安全竞赛主要有夺旗赛(CTF)、运维赛、取证赛、论文赛和政策赛等几个方面的内容。
网络安全竞赛的特点主要体现在模拟真实场景和环境安全可控两个方面。模拟真实场景,能够有效提升参赛人员的技术、沟通、领导、协调等各方面能力;环境安全可控,不会造成实际破坏和损失。
一、通过网络安全竞赛 加强人才培养
随着信息化的快速发展,网络安全问题更加突出,对网络安全人才建设不断提出新的要求。网络空间的竞争,归根结底是人才竞争。从总体上看,我国网络安全人才还存在数量缺口较大、能力素质不高、结构不尽合理等问题,与维护国家网络安全、建设网络强国的要求不相适应。网络安全竞赛正是进行网络安全人才队伍建设的途径之一,可以有效解决我国网络安全人才缺口问题。通过竞赛既可以提升人才技术水平,也能提升各方的协作能力。
1.技术技能和软技能齐头并进
有专家认为,在团队合作中,软技能和技术技能一样重要。这两类技能在网络安全竞赛中均能得以充分体现。人们普遍认为,当前的网络安全竞赛参赛人员和网络安全从业人员都应接受过技术培训,或至少对网络威胁和恶意软件拥有基本的认知。网络安全岗位招聘时,最受欢迎的专业为计算机科学和计算机工程。但是,领导力、沟通能力(将技术内容转化为业务语言)、批判性/分析性思维的能力、团队合作能力,以及创新能力也是网络安全人员需要具备的特点,这也是用人单位通过竞赛进行招聘时非常看重的特质。
2.个人技能可以提升团队技能
在网络安全竞赛中,关于个人作用和团队作用孰轻孰重的问题,一直存在着比较对立的观点。竞赛是网络安全人才的一大来源,但是网络安全专业人员被用人单位录用后,必然要参与到团队合作中。有专家提出,“白衣骑士”或“单打独斗的网络战士”只是好莱坞影视作品塑造出的形象。也有观点认为,针对个人开展的网络安全培训和资质认定有可能加深这种印象。当前,对人员能力的需求在整体上还无法完全满足,因此,有必要通过模拟真实环境场景,以团队为对象加强相关技能的培训和演练。
3.应该攻防兼备
在“维基解密”和“国家级攻击”时代,有人认为,实践攻击活动可能培养出恶意攻击者。与之对应的观点则认为,在网络空间对抗中“未知攻,焉知防”,了解攻击者的思维至关重要,攻防双方应轮流交换位置。这也是网络安全竞赛较之于传统教育的优势,它能够迫使参赛人员使用批判性思维和逆向思维,切换攻防双方视角,将基础技能运用在实践中,这些体验都是在书本或教室中无法得到的。
4.网安人才培养应重长远
树立长远目标必须重构教育系统,扩大网络安全人才供应。实现这一目标需要采取比STEM教育更加进取的策略。STEM教育是为了扭转美国经济在全球中地位不断下降的状况,而网络安全教育则是为了解决美国当前必须直面的、真实的攻击威胁。如20世纪80年代电气工程师紧缺时引发的人才大战和人才培养情况,人才在各方面的需求均能得到满足:高校修改课程,美国系统网络安全学会(SANS)介入,人才待遇大幅提升。
5.加强课外活动促进人才发展
网络安全竞赛不仅是在校学生的课外活动,也可以作为现在、未来网络安全专业人员的人力发展工具。鼓励在校学生参与、培养网络安全储备人才属于长远目标,与此同时,面向从业人员的短期目标也亟待得到回应。绝大多数专家支持通过专业竞赛的方式提升从业人员的技能和能力。对于CISSP等资质证书提供方,可以将网络安全竞赛作为持证人员的积分项,供其维持证书使用。对于企业来说,可以将网络安全竞赛整合进自己的人力发展计划,成为一项标准流程。如通用电气(GE)公司的Ghost Red竞赛最初只是一项内部自发发起的夺旗比赛,现在已经发展成为公司人才招聘的正式流程。
6.提升师资队伍的整体质量
教育系统中存在一项显著不足,即由于教师数量和质量的制约,学生认识不到网络安全是一个专门的研究领域或一条职业发展路径。在这样的现状下,有必要对教师、家长、教练,以及其他教育角色加强培训,提高其网络安全意识水平。在典型的企业环境中,高层管理人员和董事会成员往往也不了解企业面临的网络安全威胁、安全防护必要性,以及应该采取什么样的应对措施。改变学校的教育系统是很困难的,很多学校的教育系统遵从的都是风险规避原则,而且需要在大量互相冲突的目标中进行权衡。但是,如果教育的目的是优先教授最关键的技能,学校教育体系就应该输出社会需求最迫切的人才。当务之急是首先对教师进行培训,所有的教育人员都应该对网络安全具备整体上的认知。
7.比赛需增强趣味性
网络安全竞赛的趣味性来自于参赛人员完成挑战、学到新的技能、团队协同合作、与对手及赛事组织者的互动,以及最终获胜带来的成就感。但是,竞赛的目的不仅限于教育和学习,而且也是人才发现和选拔的重要手段。尤其是大学生和专业人员级别的竞赛已成为政府、国防部门,以及私营领域发现人才的理想场所,网络安全竞赛优胜者往往受到多方争夺。
二、国内主要网络安全竞赛
近年来中国出现了多个与网络安全相关的竞赛,吸引了众多网络安全公司和高校的积极参与。国内相关比赛目的为选拔和培训人才,内容主要是传统信息安全,竞赛形式为理论答题和攻防对抗,技术领域针对性弱但覆盖面广,奖项是证书为主现金奖为辅。
1.ISG信息安全技能竞赛
ISG信息安全技能竞赛由中央网络安全和信息化领导小组办公室网络安全协调局、上海市网络与信息安全协调小组办公室指导,信息安全技能竞赛(上海)组委会主办,上海市信息安全行业协会承办,打造成为国内集信息安全培训、教育、宣传和人才选拔为一体的信息安全综合赛事。该赛事是国内最早由政府牵头主办的信息安全竞赛,在业内拥有很高的影响力,被媒体誉为“中国版黑客大赛”。
赛事分成管理运维赛和技术挑战赛。
管理运维赛分为初赛和决赛两个阶段初赛分为两部分,一是智能终端安全、病毒防护、网站安全、系统安全等操作技能;二是信息安全管理相关知识。操作技能和管理知识两部分成绩累加,每行业前六名队伍入围决赛。决赛分为论文编写和热点辩论两个阶段,每行业前六名团队需根据要求完成论文,由专家评委评定后参与热点辩论。
技术挑战赛也分为初赛和决赛两个阶段,采用CTF国际比赛规则,覆盖基础知识、Web攻击、漏洞挖掘、逆向工程及杂项等五类知识领域,参赛选手可自由组团参赛。初赛形式为网络实战操作竞赛,内容是智能终端安全、渗透测试、病毒防护、应用安全,初赛成绩前十名晋级决赛;决赛为信息安全集中对抗竞赛,内容为信息安全对抗实战,并最终争夺服务器控制权。
2.信息安全铁人三项赛
信息安全铁人三项赛主要针对中国网络安全行业在人才培养和输送方面“大部分应届生难以和企业对安全能力的真正需求对接”这一痛点,将传统网络安全竞赛模式改良后的尝试。
信息安全铁人三项赛要求所有队伍必须以“企业+高校”组成联合战队的形式参与。即企业方和高校至少派出1名技术人员和在职老师做参赛队伍的导师,而参赛选手也必须为在校全日制学生。通过组建联合战队而形成的密切的校企合作关系,来打通企业和高校师生间联系的纽带,是铁人三项赛最大的特点。
3.XCTF联赛
XCTF联赛全称XCTF国际网络安全技术对抗联赛,CTF(Capture The Flag)一般译为夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。XCTF联赛是由网络空间安全人才基金和国家创新与发展战略研究会联合主办,南京赛宁信息技术有限公司总体承办,由高校、科研院所、安全企业、社会团体等共同组织,由业界知名企业赞助与支持,面向高校及科研院所学生、企业技术人员、网络安全技术爱好者等群体,旨在发现和培养网络安全技术人才的竞赛活动。
赛制上,XCTF联赛结合线上解题和线下实时攻防两种模式,以各队总得分进行积分排名。而对DEFCON CTF等高水平国际赛事多采用的现场攻防竞技模式的引入,也是XCTF联赛相较于之前国内同类型赛事(多以Web渗透方向解题为主)最突出的特点。除了更注重各团队的整体实力以及场上队员间的分工配合外,在内容设计上XCTF还将二进制逆向、零日漏洞挖掘和利用等类别作为核心竞技内容。
4.WCTF大师赛
与XCTF的“报名参与、积分晋级”不同,去年6月,由360举办的WCTF(世界黑客大师赛)。邀请了来自中、美、韩等七国的十支国际顶级黑客战队,争夺前三名共十万美元奖金。奖金将以50%、30%和20%的比例分配给比赛得分最高的前三支队伍。最终由“韩国神童”Lokihardt带领的KeyResolve韩美联合战队拿下冠军,夺得5万美元高额奖金。
在赛制方面,与XCTF等传统CTF类竞赛最大的不同,XCTF的出题方式结合引用了由PoC开创的Belluminar CTF(战争与分享)赛制,即出题方从主办方转移到了各个参赛队伍。十只世界级CTF战队所出的十道世界级CTF难题,使得WCTF堪称史上最困难的CTF“比武场”。与其它强队真刀真枪的比拼硬实力,想必这也是WCTF吸引这些CTF强者的重要一点。
5.腾讯信息安全争霸赛(TCTF)
腾讯信息安全争霸赛(TCTF)由腾讯安全发起,腾讯安全联合实验室主办,上海交通大学0ops战队和北京邮电大学协办。TCTF分为国际赛(即0CTF)和新人邀请赛(RisingStar CTF)两大板块。国际赛预赛rank积分的前12名队伍,将晋级线下决赛,且今年的冠军队伍将获得今年7月末直接参加DEFCON CTF总决赛的门票。
在赛制方面,预赛与决赛都采用解题模式(Jeopardy),题目类型也多集中在破解、逆向、密码学、Web安全、编程、移动安全等领域,但不同的是决赛会对每个队伍的上场人数加以限制(不超过4人)。
6. 信息安全与对抗技术竞赛
北京理工大学信息信息安全与对抗技术竞赛(ISCC)于2004年首次举办。经过多年的发展,ISCC已发展成为一项具有较高影响力的技术性竞赛。
信息安全与对抗技术竞赛的个人挑战赛采取线上通关挑战的方式进行比赛,包括答题关、基础关、脚本关、破题关、溢出关、内核关等。分组对抗赛为线下对抗,比赛拟采取阵地夺旗与占领高地的模式进行攻防比拼。
三、 国外知名网络安全竞赛
国外相关比赛主要由民间组织主办,企业赞助,目的为增进技术交流信息共享,内容不限制技术领域,方式为不限制领域的技术切磋、展示、交流和攻防实战,技术领域针对性强、技术新颖,以现金奖励为主。
1.Pwn2Own&Pwnium
Pwn2Own是世界顶级黑客大赛之一,由安全研究机构TippingPointDVLabs赞助,自2007年以来已有8年历史。参赛黑客以四大浏览器(IE、Firefox、Chrome以及Safari)为挑战目标,攻破一个主流浏览器即可获得1万美元奖金,共4万,参赛者不允许使用Adobe Flash等第三方外挂。
2012年,Pwn2Own主办方不再要求获胜者公布漏洞发掘及攻破过程,导致Google反对并撤出对Pwn2Own的资金赞助,并于同年3月主办Pwnium大赛,并提供100万奖金鼓励黑客攻击Chrome,同年10月,Google再掷出200万用于奖励计划。
2.DEFCON黑客大会
DEFCON是世界上最大、最古老的地下黑客大会,和BlackHat的创始人相同,但相比于Black Hat要随意得多。DEFCON以小规模讨论及技术切磋为主,会上最流行的活动是若干人组成一个局域网,然后互打攻防战(CTF),参赛者的目标是进攻对手的网络,但同时保护好自己的地盘。由于想参赛的队伍都得经过会前淘汰赛,因此参赛者都有相当高的实力。
与Black Hat风格相反,以小规模讨论为主,设计如何破解XBOX、解锁Apple产品固件,甚至如何入侵卫星系统,并讨论、实验各种极具危险的技术元素。参会者也很随意,打扮举止没有任何限制。
3.日本信息安全知识技术竞赛
该竞赛由日本政府主导,对国内有一定的借鉴意义。和韩国一样,黑客在日本的名声同样不佳,因此竞赛通常也被限制为“防御”竞赛。日本信息安全知识技术竞赛以模拟网络战的形式,让参赛者通过黑客技术入侵对方网络,或者抵御对方的攻击。
各地选拔竞赛采用提问形式,要求选手以网络攻防所必需的知识作答。选手们须在10个小时内挑战并完成有关密码、程序和网络等方面的50个问题。最后各地优胜者以对战形式参加全国总决赛。
4.Black Hat(黑帽子)
Black Hat是信息安全领域的顶级盛会,是一个具有很强技术性的信息安全会议,会议甚至会引领安全思想和技术的走向,参会人员包括各个企业和政府的研究人员,也包括一些民间团队。
5.Facebook黑客杯
Facebook黑客杯是Facebook组织的一场国际编程竞赛,目的在于帮助公司抢在Google等竞争对手之前找到最聪明的年轻软件工程师。
6.POC安全大会
POC安全大会全称Power of Community,是由韩国黑客及安全专家发起的国际安全及黑客会议,以追求创新、交流和安全技术为名,崇尚知识分享,相信社区的力量可以使世界更安全。2012年POC安全大会的亮点在于女子组成的CTF大赛。
7.Code Gate防黑客大赛
Code Gate防黑客大赛则是由韩国知识经济部和韩国情报保护振兴院赞助,因为黑客在韩国的形象并不好,因此大赛指定了以“防御”为主的比赛规则。
8.PHDays CTF
全称Positive Hack Days CTF,是一个国际性信息安全竞赛,竞赛规则基于CTF,但更贴近网络实战环境。
9.CodeMeter大赛
CodeMeter大赛是少有的由公司举办、目的在于破解自家产品的比赛,主办方是德国威步公司。参赛者不仅免费得到保护应用程序,还可以获得具有许可的CmStick硬件加密狗。1000多名来自世界各地的参赛者参与竞争32768欧元(合约40000美元)的奖金。
10.Chaos CommunicationCamp
ChaosCommunication Camp也被称为“欧洲黑客大会”,是由Chaos ComputerClub(CCC)主办的为期5天的露天黑客交流活动,每5年举办一次。会议以技术及社会话题为主,包括隐私、信息自由、数据安全等方面。
结语:
网络安全竞赛对参与各方都有积极作用。对于政府而言,网络安全竞赛是提升保卫国家、行业及公民能力的手段;对于行业资质认定机构而言,网络安全竞赛越来越多地被视为资质维持所需的相关工作经验;对于专业人员而言,网络安全竞赛能够锻炼和展示专业技能、评估人员能力、提升意识和士气,进而提高生产效率;对于学生而言,中学和大学开展各种级别的竞赛,在教学中补充动手实训课程,能够丰富学习形式;对于整个网络安全领域而言,开展网络安全竞赛有利于技术和战术层面,以及在攻防两个方面促进创新,推动知识、技术、技能和实践的共享。
注:本文由网安视界(网络空间安全情报站和智库)独家创作整理,转载请注明出处。更多精华文章请观看公众号:网安视界
我来说两句排行榜