目前国内高水平竞技类信息安全竞赛普遍以夺旗赛(CTF)形式存在。经过20年左右的发展,如今每年的高水平国际CTF安全竞赛有近百个,以美国、德国、俄罗斯、韩国、日本为代表的国家组织的安全竞赛由于其高水平的赛题,受到了全球对计算机和网络安全感兴趣的学生和安全行业从业者的热烈参与和推崇,一批批安全人才在激烈的比赛中成长起来。
一、竞赛与安全团队的能力关系密切
安全团队的竞赛水平能很好地代表这个团队人员的基础素质水平和团队协作能力。许多在校大学生通过大量赛事训练,在Web安全渗透测试、二进制漏洞挖掘与利用、密码学等许多网络信息安全相关的实践技能方面获得了很大的提高,这是最直接的影响。CTF能够给不能层次的人在技术上带来提高。没有网络信息安全基础的学生通过CTF,建立了安全攻防的概念;有初步基础的学生,通过高质量赛题的实践练习,提升了实战能力;已经学有所成的学生,通过国际CTF大赛和国际强队比拼,开阔了视野。
在高水平的竞赛中,选手的智力和执行力起主导作用,创新思维和想象力配合之,知识储备起辅助作用。国内顶尖安全竞赛团队的选手,已在全球最前沿的漏洞研究和Pwn赛事上崭露头角。足见这些参赛者在竞赛中训练出来的能力,能够支撑起跻身国际前沿的安全研究。CTF给参赛者带来的直接影响是技术水平的提高、视野的开阔。长远来看,CTF赛事既能为前沿研究储备人才,也能够推动安全行业的发展。
二、高质量的竞赛需要高质量的赛题
高质量的竞赛题至少需要做到以下几点:
一是,原创性。避免直接抄袭旧题,这是最基本的要求。二是,健壮性。正确答案唯一无多解,无非预期漏洞,无编程BUG。三是,难度合理有挑战性。既不是简单到无趣约等于送分,又不是故意刁难导致无人解出。四是,思路新颖有创新性和趣味性。题目要有可玩性,解题思路不与旧题重复。五是,解法合理而有学术和应用价值。选手通过做出题目能够学到有价值的思想和知识。六是,内涵丰富且有思想深度。能通过题目把思想和观点传达给选手,富有哲理,能引导选手进一步深入思考。
赛题首先是网络信息安全基本概念、攻防技术、技巧的浓缩和提炼。通过解题,参赛者会快速掌握题目中所包含的概念和技术点,而这些知识在真实环境中可能比较分散、难以学习。高水平竞赛都是由业内专家命题,往往凝聚着他们多年积累出来的技能。
赛题同时要注重实际操作,并与基础理论知识相结合。每道题都需要实际动手才能找到答案,并且讲究速度,这对攻防实操的能力会有极高的锻炼。除此以外,高质量的题一般需要在理解基本原理的基础上,自己编写代码来求解,而不可以直接使用现成脚本或安全工具解出。这个过程会加深和巩固计算机基础知识的理解。
三、高水平竞赛形式的对比和选择建议
高水平的竞赛主要包括解题模式、攻防模式,两者在题目难度、对选手能力考验、竞赛公平性、观赏性等方面存在一定的区别。
(一)解题模式
题目的难度和技术含量可以很高;
主要考验选手的技术水平和难度攻坚能力;
竞赛公平性比较合理,更多比拼难度而不是速度;
观赏性可能略有不足;
此种模式更能反映选手真实技术水平,也是未来竞赛的大趋势。
(二)攻防模式
题目难度和技术含量比较受限;
主要考验选手的实战经验与即时反应,以及战队成员间的团队协作与配合能力;
竞赛公平性略有欠缺,先解出题的队伍优势太大,并且还有其他各种影响公平的因素;
观赏性比较好;
国内现在的攻防模式竞赛泛滥,有一些进入误区的引导。
(三)选择合适的竞赛
对参赛者首先要参加符合自身技术水平的竞赛。目前各种竞赛水平差异较大,直接参加高于自身技术过多的竞赛犹如空中楼阁,不仅很难学到东西,也可能会打击自信;参加过于简单的竞赛则会浪费时间而无所得。
其次,有趣的题目会激发大家的积极性,带动大家的兴趣,尤其对于刚入门的参赛选手。乏味的题目会起到副作用,例如包含过多的猜谜或者暴力破解的题。如果题目所考察的技术具有一定通用性和代表性,对选手提高非常有帮助。
(四)国内外高水平安全竞赛的共同特点
●要形成不同难度级别的竞赛体系
●题目要有趣味性,创新性,挑战性
●命题人拥有丰富的参赛经历,或者是安全研究经验丰富的专家
●摒弃过分追求攻防(Attack & Defense),而需要专注解题(Jeopardy)
四、国内外高水平安全竞赛对培养人才和发现人才的推动
竞赛不仅需要一次性的比拼,还需要长期的学习和训练进阶作为基础,学习和训练不能封闭,要以开放的心态,充分交流沟通,相互学习借鉴,促进能力提升。
打造社区,促进交流。以往的竞赛学习平台功能比较单一,大部分是对历届赛题的整理、复现,缺少了大家交流的过程,而大部分优秀人才本身就是历届竞赛的参与者,所以要形成社区,促进大家交流,培养学习氛围,互相学习提高。
引入荣誉、排行机制。对于技术爱好者而言,展示自身能力是一个比较强烈的需求,可以将线下战队积分排名引入到到竞赛平台,促进参赛者为提高自己团队荣誉而努力,激励大家进行更多的学习、实践。
形成知识分享循环体系。参赛者在竞赛学习平台中学习后产生的新想法,可以题目的形式分享给大家,不仅可以展示自己能力,还可以提高活跃度,形成良好的知识分享循环。在保证学习质量的同时加入一定的娱乐性,边玩边学,边学边玩,促进大家思考。在社区中普通参赛者也可以与一线高手交流、互动、学习。
有了上述的规则后,自然会吸引感兴趣的参赛团队到平台上来,而平台中优秀团队的成员、排行前列的参赛者必然是具备了丰富知识和经验的高端安全人才。(上海交通大学高级工程师 姜开达)