175
XCTF聯賽邁出走向海外第一步,為安全人才提供國際交流機會
近幾年,網絡安全賽事不斷,競賽的主要形式不外乎破解和攻防對抗。在這些賽事中,XCTF國際網絡安全技術對抗聯賽(簡稱:XCTF聯賽)因其聯賽賽製規模最大,最早將國際CTF賽事賽製引入國內,且賽程曆時最長,讓人熟知。
記者了解到,2017年8月24日-25日,第三屆XCTF聯賽將在新加坡舉辦HITB GSEC CTF,正式走向海外,這也將是國內的安全團隊首次走出國門辦比賽。此站比賽由賽寧網安、藍蓮花、XCTF聯賽與HITBSecConf聯合舉辦。
為何選在新加坡舉行比賽,而不是別的國家?除了在海外舉辦分站比賽,第三屆XCTF聯賽還做了哪些創新?前兩屆參賽的優秀選手最終去了哪裏?帶著這些疑問,記者采訪了XCTF聯賽發起人與執行組織者、清華大學碩士生導師諸葛建偉博士和網絡安全對抗賽CTF最早的實踐者、美國喬治亞大學終身教授李康教授。
網絡安全對抗賽CTF最早的實踐者、美國喬治亞大學終身教授李康教授
XCTF聯賽發起人與執行組織者、清華大學碩士生導師諸葛建偉博士
據諸葛建偉博士向記者介紹,第三屆XCTF聯賽由之前的大而全的比賽,轉為麵向地方產業特點的、有針對性的區域賽事。通過XCTF聯賽區域賽,挖掘發現地方的網安人才苗子,進行深度、方向性培養。在前兩屆的基礎上,本屆聯賽決賽將結合人工智能這一熱點技術做一些創新。諸葛建偉表示,近兩年XCTF聯賽的優秀選手要麼進入BAT的安全研究團隊,要麼選擇了自主創業或者留學海外深造。
對於此次在新加坡站HITB GSEC CTF的舉辦,李康教授表示,這次賽事有著重要的意義。首先,HITB與XCTF聯合舉辦此次比賽,這是XCTF聯賽賽製、賽題和平台等各方麵實力受到認可的體現。其次,為XCTF聯賽擴大影響力提供機會,有利於其進一步的發展探索。最後,為海外人才的引入提供了機會。
采訪實錄如下:
51CTO記者:相較於Pwn2Own、DEFCON CTF奪旗賽這種國際上的安全競賽,XCTF聯賽有何特色?舉辦XCTF聯賽的目的是什麼?
諸葛建偉:Pwn2Own是安全破解賽,不是隊伍直接麵對麵的對抗,而是針對同一目標,尋找並利用漏洞進行比拚。DEFCON CTF奪旗賽主要是攻防對抗賽,每年隻有兩場比賽:資格賽和總決賽。
XCTF聯賽立足於國內,采用攻防對抗賽的賽製,聯賽機製,目的是為了讓國內隊伍有更多的機會與國際隊伍比拚。XCTF聯賽更多是通過社區的方式,在不同的城市組織各站的選拔賽,整個聯賽采用冠軍獲得外卡入圍和積分入圍的方式。冠軍隊伍與積分隊伍總體進行排名,選取參加決賽的隊伍。每屆聯賽長達十個月左右,設置8到10站比賽。聯賽的目的在於,通過為高校學生和愛好者提供高水準的國際水競賽平台,挖掘與培養實戰型技術人才,提升我國網絡安全技術人才水平,推動網絡安全行業的健康可持續發展,並最終輔助增強我國網絡空間安全的整體防禦能力。我們期望未來XCTF聯賽的影響力和技術水平,能夠比肩甚至超過DEFCON CTF奪旗賽。
李康:DEFCON起源最早,主要是安全從業者和愛好者,想看看誰最厲害而形成的比賽,自發組織。而XCTF能夠在國內連續舉行一係列的比賽,這種聯賽的形式可以對比賽隊伍的素質及技術水平的提高有很大的幫助。未來,必將會對全國網絡安全技術發展提供很大幫助。
51CTO記者:第三屆XCTF聯賽較前兩屆,聯賽做了哪些改進與創新?
諸葛建偉:第一屆是全國聯賽,主要麵向國內。第二屆關鍵詞是國際化,其中有五站麵向國際,最後的總決賽也是國際總決賽。相較於前兩屆,總體來說,第三屆XCTF聯賽有兩個重要的變化:一是,強調下沉。通過在全國各地舉辦區域型的賽事,為中級及中級以下的安全戰隊提供鍛煉機會。通過各省區域賽事,帶動政府、機構、企業來參與其中,從而挖掘本地網絡安全人才隊伍,同時加強高校和企業的安全人才對接交流。二是,堅持國際化,讓賽事走出國門。在國際上,組織麵向國際隊伍的競賽,同時在本屆聯賽的總決賽將會借鑒去年的CGC賽事做些創新,在CTF賽事中加入智能攻防,緊跟國際上人工智能在安全領域的應用這一發展趨勢。
51CTO記者:這些創新在總決賽中體現在哪裏?具體決賽賽製是怎樣的?
諸葛建偉:第三屆XCTF聯賽決賽,最大的創新就是AI和類似CGC(網絡超級挑戰賽)賽製的引入。要求參賽隊伍設計AI,進行安全攻防對戰。這個問題,最適合讓李康教授來回答。
李康: CGC大賽由美國國防部先進項目研究局(DARPA)發起的,旨在推動計算機程序自動攻防的能力,這也是美國政府應對日漸緊缺的安全技術人才的一項舉措。在去年的CGC賽場上,比賽開始後,自動攻防係統在不依靠人力的情況下,自行根據對場景的判斷發起攻擊。這考驗的是程序本身如何在充分理解賽製的前提下對場景做出判斷,從而自動進行滲透或加固等攻防行為。
在本屆XCTF聯賽決賽前兩個月,每個參加決賽的戰隊可以著手研究,用於漏洞挖掘的AI程序。在決賽第一天,在特定的比賽環境下,各個參賽隊伍啟動事先研發的AI程序,讓其獨立工作自動尋找網絡服務上的漏洞,在查出漏洞後,再由參賽選手去利用漏洞。總之,這一天以AI的漏洞挖掘能力為主。在決賽第二天,采用傳統的攻防模式,參賽選手與自研的AI程序相配合進行比賽。
諸葛建偉:是的。個人認為,這樣的比賽形式更具有實用性,可以直接針對真實環境就行漏洞的挖掘。
51CTO記者:為何選擇在新加坡舉行比賽?舉辦XCTF聯賽新加坡站國際賽有著怎樣的意義?
諸葛建偉:之所以選擇在新加坡舉行比賽,主要從地域因素和網絡安全文化氛圍兩個方麵來考慮。基於我國的“一帶一路”政策,以及“海上絲綢之路”的演化,從中亞到遠東,中東,東亞上的路線選擇上,最終確定了新加坡這個國際化的都市。新加坡的網絡安全的交流氛圍,以及國家網絡安全基礎相比東亞等地區更好些。此外,我們與亞洲地區曆史最悠久、影響麵最廣的安全大會HITB達成了合作。相當於借船出海的方式,在XCTF資源有限的情況下,實現一個有效的互補。
HITB是非常知名的亞太區的安全技術會議,近兩年舉辦地點都在阿姆斯特丹。而HITB GSEC是由HITB主辦,從2015年開始每年固定在新加坡舉辦的安全盛會,包括三天的培訓和兩天的技術議題分享。在議題方麵,HITB GSEC相較於其它安全會議最大的特點就是整場會議的所有議題由注冊參會者通過線上投票的方式從所有候選議題中選出。
李康:這次選擇在新加坡舉辦XCTF聯賽有著重要的意義。首先,HITB與XCTF聯合舉辦此次比賽,這是XCTF聯賽賽製、賽題和平台等各方麵實力受到認可的體現。其次,此次海外賽事的舉辦,也為XCTF聯賽擴大影響力提供機會,有利於其進一步的發展探索。第三,為海外人才的引入提供了機會。在“一帶一路”的戰略下,通過在海外設置比賽,創造了一個以武會友的網絡空間,提供了一個良性的交流和深入合作的機會,也為來到比賽現場的百度、360、阿裏等國內企業提供海外安全人才引進的機會,在技術交流同時,也將促進國家間的互信。
51CTO記者:目前,參加新加坡站比賽的25支戰隊來自哪裏?通過怎樣的方式篩選出來?
諸葛建偉:XCTF聯賽新加坡站的賽事僅僅宣布了3天時間,25個參賽名額就被一搶而空,他們來自13個國家和地區。這些戰隊並非是篩選出來的,而是在網站上直接報名參與的,而且這些參賽隊伍需要自己承擔參賽產生的費用。
此外,XCTF聯賽同樣歡迎全球的CTF戰隊在XCTF社區報名參與線上比拚,線上線下比賽同步進行。雖然線下去新加坡參加比賽的名額已滿,但感興趣的其他安全戰隊可以選擇參與線上賽,即使無法贏取獎金,也可贏取第一名獲得進入決賽的資格。
51CTO記者:據了解,本次比賽由XCTF-OJ實訓平台提供技術支持,能否介紹下這個平台?
諸葛建偉:XCTF-OJ實訓平台是由賽寧通過多年XCTF賽事經驗積累自主研發的,實現了CTF比賽、網上安全練兵、網上教學等功能。目前OJ平台提供於XCTF國際聯賽分站賽,並為國內大型企業,安全機構提供安全賽事演練服務以及可靠保障。現在,主要有社區版和商業版兩種。社區版支持高校、企業合作,提供技術支撐,並麵向白帽聯盟免費開放。商業版實訓平台,在內容上,提供了CTF賽事的技術方向、講義課程、每屆XCTF聯賽的真題、比賽資源等。此外,實訓平台提供了真實的漏洞環境,進入平台的學習者可以選擇自己的身份,是攻擊者還是防禦者。最終,從攻防兩個角度,培養實訓人員的實際操作能力。
51CTO記者:本屆XCTF聯賽也將延續去年的XMan特訓夏令營活動,該活動是否收費?2017年XMan特訓夏令營有哪些規劃?
諸葛建偉:XMan特訓夏令營去年是免費的,今年將會麵向學員收費。再有,去年的夏令營主要麵向中級及以上技術水平的安全人才,而今年主要麵對中級及以下水平的安全人才。
今年的XMan將在南京航空航天大學和北京航空航天大學分別設置兩個特訓營,特訓營學員每班50人,自2017年7月31日開班,為期21天。夏令營主要麵向全國信息安全競賽愛好者,報名者近半年內有一定的CTF競賽經驗並有良好表現,善於團隊溝通交流。報名並通過摸底測試後即可進入XMan(立即前往報名:https://www.xctf.org.cn/xman/)。
為了加強團隊合作和拓展極客思維技能,今年的XMan特訓夏令營除了知名企業技術大拿親自設置課程,強隊主力隊員親自講授課程外,我們還特別設置了極客密室逃脫、真人CS極客版、汽車、無人機破解等環節,歡迎大家的參與。
51CTO記者:我們知道,現在全球的安全人才極為稀缺。輸送安全人才的渠道,除了學校,培訓機構外,通過安全競賽的形式也培養了不少安全人才。那麼,經過這幾屆的XCTF聯賽選拔出的優秀安全人才,都主要去向了哪裏?
諸葛建偉:通過XCTF聯賽選拔出的優秀安全人才主要走向了三個方向:一是,約有五十多位高端人才,進入了以BAT為代表的企業安全研究團隊。二是,有的聯賽隊伍走向了自主創業之路。比如:藍蓮花戰隊成員創立的長亭科技公司。三是,留學海外,進行深造。
【簡介】
李康教授,現任喬治亞大學終身教授,360網絡安全北美研究院負責人,網絡安全對抗賽CTF最早的實踐者,組建的Disket在2015年美國國防部DARPA組織的CGC (Cyber Grand Challenge)資格賽中闖入決賽。
諸葛建偉博士,副研究員,碩士生導師。目前就職於清華大學網絡科學與網絡空間研究院(網研院)網絡與信息安全實驗室(NISL)。藍蓮花戰隊共同創始人與領隊,XCTF聯賽共同發起人與執行組織者,國內網絡安全領域的知名技術書籍作者與譯者。
本文作者:杜美潔
來源:51CTO
最後更新:2017-11-03 16:34:36