原标题:战术攻防对抗比赛大赛哪家强全球网络安全竞赛解析盘点
现在,各种网络安全竞赛正在世界各地如火如荼地举办吸引了众多网络安全企业、高等院校和学生嘚积极参与。网络安全竞赛是网络安全人才发现、培养和选拔的重要手段也是完善网络安全教育培训体系中的关键部分。界小编特地梳悝了一些国内外重要的网络安全竞赛供大家了解!
网络安全竞赛最早起源于“BBS黑客竞赛”,它由DEFCON创始人Jeff Moss于1993年发起此后,在各界的广泛參与下各类网络安全竞赛开始蓬勃发展。发展至今网络安全竞赛主要有夺旗赛(CTF)、运维赛、取证赛、论文赛和政策赛等几个方面的內容。
网络安全竞赛的特点主要体现在模拟真实场景和环境安全可控两个方面模拟真实场景,能够有效提升参赛人员的技术、沟通、领導、协调等各方面能力;环境安全可控不会造成实际破坏和损失。
一、通过网络安全竞赛 加强人才培养
随着信息化的快速发展网络安铨问题更加突出,对网络安全人才建设不断提出新的要求网络空间的竞争,归根结底是人才竞争从总体上看,我国网络安全人才还存茬数量缺口较大、能力素质不高、结构不尽合理等问题与维护国家网络安全、建设网络强国的要求不相适应。网络安全竞赛正是进行网絡安全人才队伍建设的途径之一可以有效解决我国网络安全人才缺口问题。通过竞赛既可以提升人才技术水平也能提升各方的协作能仂。
1.技术技能和软技能齐头并进
有专家认为在团队合作中,软技能和技术技能一样重要这两类技能在网络安全竞赛中均能得以充分体現。人们普遍认为当前的网络安全竞赛参赛人员和网络安全从业人员都应接受过技术培训,或至少对网络威胁和恶意软件拥有基本的认知网络安全岗位招聘时,最受欢迎的专业为计算机科学和计算机工程但是,领导力、沟通能力(将技术内容转化为业务语言)、批判性/分析性思维的能力、团队合作能力以及创新能力也是网络安全人员需要具备的特点,这也是用人单位通过竞赛进行招聘时非常看重的特质
2.个人技能可以提升团队技能
在网络安全竞赛中,关于个人作用和团队作用孰轻孰重的问题一直存在着比较对立的观点。竞赛是网絡安全人才的一大来源但是网络安全专业人员被用人单位录用后,必然要参与到团队合作中有专家提出,“白衣骑士”或“单打独斗嘚网络战士”只是好莱坞影视作品塑造出的形象也有观点认为,针对个人开展的网络安全培训和资质认定有可能加深这种印象当前,對人员能力的需求在整体上还无法完全满足因此,有必要通过模拟真实环境场景以团队为对象加强相关技能的培训和演练。
在“维基解密”和“国家级攻击”时代有人认为,实践攻击活动可能培养出恶意攻击者与之对应的观点则认为,在网络空间对抗中“未知攻焉知防”,了解攻击者的思维至关重要战术攻防对抗比赛双方应轮流交换位置。这也是网络安全竞赛较之于传统教育的优势它能够迫使参赛人员使用批判性思维和逆向思维,切换战术攻防对抗比赛双方视角将基础技能运用在实践中,这些体验都是在书本或教室中无法嘚到的
4.网安人才培养应重长远
树立长远目标必须重构教育系统,扩大网络安全人才供应实现这一目标需要采取比STEM教育更加进取的策略。STEM教育是为了扭转美国经济在全球中地位不断下降的状况而网络安全教育则是为了解决美国当前必须直面的、真实的攻击威胁。如20世纪80姩代电气工程师紧缺时引发的人才大战和人才培养情况人才在各方面的需求均能得到满足:高校修改课程,美国系统网络安全学会(SANS)介入人才待遇大幅提升。
5.加强课外活动促进人才发展
网络安全竞赛不仅是在校学生的课外活动也可以作为现在、未来网络安全专业人員的人力发展工具。鼓励在校学生参与、培养网络安全储备人才属于长远目标与此同时,面向从业人员的短期目标也亟待得到回应绝夶多数专家支持通过专业竞赛的方式提升从业人员的技能和能力。对于CISSP等资质证书提供方可以将网络安全竞赛作为持证人员的积分项,供其维持证书使用对于企业来说,可以将网络安全竞赛整合进自己的人力发展计划成为一项标准流程。如通用电气(GE)公司的Ghost Red竞赛最初只是一项内部自发发起的夺旗比赛现在已经发展成为公司人才招聘的正式流程。
6.提升师资队伍的整体质量
教育系统中存在一项显著不足即由于教师数量和质量的制约,学生认识不到网络安全是一个专门的研究领域或一条职业发展路径在这样的现状下,有必要对教师、家长、教练以及其他教育角色加强培训,提高其网络安全意识水平在典型的企业环境中,高层管理人员和董事会成员往往也不了解企业面临的网络安全威胁、安全防护必要性以及应该采取什么样的应对措施。改变学校的教育系统是很困难的很多学校的教育系统遵從的都是风险规避原则,而且需要在大量互相冲突的目标中进行权衡但是,如果教育的目的是优先教授最关键的技能学校教育体系就應该输出社会需求最迫切的人才。当务之急是首先对教师进行培训所有的教育人员都应该对网络安全具备整体上的认知。
网络安全竞赛嘚趣味性来自于参赛人员完成挑战、学到新的技能、团队协同合作、与对手及赛事组织者的互动以及最终获胜带来的成就感。但是竞賽的目的不仅限于教育和学习,而且也是人才发现和选拔的重要手段尤其是大学生和专业人员级别的竞赛已成为政府、国防部门,以及私营领域发现人才的理想场所网络安全竞赛优胜者往往受到多方争夺。
二、国内主要网络安全竞赛
近年来中国出现了多个与网络安全相關的竞赛吸引了众多网络安全公司和高校的积极参与。国内相关比赛目的为选拔和培训人才内容主要是传统信息安全,竞赛形式为理論答题和战术攻防对抗比赛对抗技术领域针对性弱但覆盖面广,奖项是证书为主现金奖为辅
1.ISG信息安全技能竞赛
ISG信息安全技能竞赛由中央网络安全和信息化领导小组办公室网络安全协调局、上海市网络与信息安全协调小组办公室指导,信息安全技能竞赛(上海)组委会主辦上海市信息安全行业协会承办,打造成为国内集信息安全培训、教育、宣传和人才选拔为一体的信息安全综合赛事该赛事是国内最早由政府牵头主办的信息安全竞赛,在业内拥有很高的影响力被媒体誉为“中国版黑客大赛”。
赛事分成管理运维赛和技术挑战赛
管悝运维赛分为初赛和决赛两个阶段初赛分为两部分,一是智能终端安全、病毒防护、网站安全、系统安全等操作技能;二是信息安全管理楿关知识操作技能和管理知识两部分成绩累加,每行业前六名队伍入围决赛决赛分为论文编写和热点辩论两个阶段,每行业前六名团隊需根据要求完成论文由专家评委评定后参与热点辩论。
技术挑战赛也分为初赛和决赛两个阶段采用CTF国际比赛规则,覆盖基础知识、Web攻击、漏洞挖掘、逆向工程及杂项等五类知识领域参赛选手可自由组团参赛。初赛形式为网络实战操作竞赛内容是智能终端安全、渗透测试、病毒防护、应用安全,初赛成绩前十名晋级决赛;决赛为信息安全集中对抗竞赛内容为信息安全对抗实战,并最终争夺服务器控制权
2.信息安全铁人三项赛
信息安全铁人三项赛主要针对中国网络安全行业在人才培养和输送方面“大部分应届生难以和企业对安全能力的真正需求对接”这一痛点,将传统网络安全竞赛模式改良后的尝试
信息安全铁人三项赛要求所有队伍必须以“企业+高校”组成联匼战队的形式参与。即企业方和高校至少派出1名技术人员和在职老师做参赛队伍的导师而参赛选手也必须为在校全日制学生。通过组建聯合战队而形成的密切的校企合作关系来打通企业和高校师生间联系的纽带,是铁人三项赛最大的特点
Flag)一般译为夺旗赛,在网络安铨领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式XCTF联赛是由网络空间安全人才基金和国家创新与发展战略研究会联合主办,南京赛宁信息技术有限公司总体承办由高校、科研院所、安全企业、社会团体等共同组织,由业界知名企业赞助与支持面向高校及科研院所学生、企业技术人员、网络安全技术爱好者等群体,旨在发现和培养网络安全技术人才的竞赛活动
赛制上,XCTF联赛结合线上解题和线下实时战术攻防对抗比赛两种模式以各队总得分进行积分排名。而对DEFCON CTF等高水平国际赛事多采用的现场战术攻防对抗比赛竞技模式的引入也是XCTF联赛相较于之前国内同类型赛事(多以Web渗透方向解题为主)最突出的特点。除了更注重各团队的整体实力以及场上队员间嘚分工配合外在内容设计上XCTF还将二进制逆向、零日漏洞挖掘和利用等类别作为核心竞技内容。
与XCTF的“报名参与、积分晋级”不同去年6朤,由360举办的WCTF(世界黑客大师赛)邀请了来自中、美、韩等七国的十支国际顶级黑客战队,争夺前三名共十万美元奖金奖金将以50%、30%和20%的仳例分配给比赛得分最高的前三支队伍。最终由“韩国神童”Lokihardt带领的KeyResolve韩美联合战队拿下冠军夺得5万美元高额奖金。
在赛制方面与XCTF等传統CTF类竞赛最大的不同,XCTF的出题方式结合引用了由PoC开创的Belluminar CTF(战争与分享)赛制即出题方从主办方转移到了各个参赛队伍。十只世界级CTF战队所出嘚十道世界级CTF难题使得WCTF堪称史上最困难的CTF“比武场”。与其它强队真刀真枪的比拼硬实力想必这也是WCTF吸引这些CTF强者的重要一点。
5.腾訊信息安全争霸赛(TCTF)
腾讯信息安全争霸赛(TCTF)由腾讯安全发起腾讯安全联合实验室主办,上海交通大学0ops战队和北京邮电大学协办TCTF分为国际赛(即0CTF)和新人邀请赛(RisingStar CTF)两大板块。国际赛预赛rank积分的前12名队伍将晋级线下决赛,且今年的冠军队伍将获得今年7月末直接参加DEFCON CTF总决赛的门票
在賽制方面,预赛与决赛都采用解题模式(Jeopardy)题目类型也多集中在破解、逆向、密码学、Web安全、编程、移动安全等领域,但不同的是决赛会对烸个队伍的上场人数加以限制(不超过4人)
6. 信息安全与对抗技术竞赛
北京理工大学信息信息安全与对抗技术竞赛(ISCC)于2004年首次举办。经過多年的发展ISCC已发展成为一项具有较高影响力的技术性竞赛。
信息安全与对抗技术竞赛的个人挑战赛采取线上通关挑战的方式进行比赛包括答题关、基础关、脚本关、破题关、溢出关、内核关等。分组对抗赛为线下对抗比赛拟采取阵地夺旗与占领高地的模式进行战术攻防对抗比赛比拼。
三、 国外知名网络安全竞赛
国外相关比赛主要由民间组织主办企业赞助,目的为增进技术交流信息共享内容不限淛技术领域,方式为不限制领域的技术切磋、展示、交流和战术攻防对抗比赛实战技术领域针对性强、技术新颖,以现金奖励为主
Pwn2Own是卋界顶级黑客大赛之一,由安全研究机构TippingPointDVLabs赞助自2007年以来已有8年历史。参赛黑客以四大浏览器(IE、Firefox、Chrome以及Safari)为挑战目标攻破一个主流浏覽器即可获得1万美元奖金,共4万参赛者不允许使用Adobe Flash等第三方外挂。
2012年Pwn2Own主办方不再要求获胜者公布漏洞发掘及攻破过程,导致Google反对并撤絀对Pwn2Own的资金赞助并于同年3月主办Pwnium大赛,并提供100万奖金鼓励黑客攻击Chrome同年10月,Google再掷出200万用于奖励计划
DEFCON是世界上最大、最古老的地下黑愙大会,和BlackHat的创始人相同但相比于Black Hat要随意得多。DEFCON以小规模讨论及技术切磋为主会上最流行的活动是若干人组成一个局域网,然后互打戰术攻防对抗比赛战(CTF)参赛者的目标是进攻对手的网络,但同时保护好自己的地盘由于想参赛的队伍都得经过会前淘汰赛,因此参賽者都有相当高的实力
与Black Hat风格相反,以小规模讨论为主设计如何破解XBOX、解锁Apple产品固件,甚至如何入侵卫星系统并讨论、实验各种极具危险的技术元素。参会者也很随意打扮举止没有任何限制。
3.日本信息安全知识技术竞赛
该竞赛由日本政府主导对国内有一定的借鉴意义。和韩国一样黑客在日本的名声同样不佳,因此竞赛通常也被限制为“防御”竞赛日本信息安全知识技术竞赛以模拟网络战的形式,让参赛者通过黑客技术入侵对方网络或者抵御对方的攻击。
各地选拔竞赛采用提问形式要求选手以网络战术攻防对抗比赛所必需嘚知识作答。选手们须在10个小时内挑战并完成有关密码、程序和网络等方面的50个问题最后各地优胜者以对战形式参加全国总决赛。
Black Hat是信息安全领域的顶级盛会是一个具有很强技术性的信息安全会议,会议甚至会引领安全思想和技术的走向参会人员包括各个企业和政府嘚研究人员,也包括一些民间团队
Facebook黑客杯是Facebook组织的一场国际编程竞赛,目的在于帮助公司抢在Google等竞争对手之前找到最聪明的年轻软件工程师
POC安全大会全称Power of Community,是由韩国黑客及安全专家发起的国际安全及黑客会议以追求创新、交流和安全技术为名,崇尚知识分享相信社區的力量可以使世界更安全。2012年POC安全大会的亮点在于女子组成的CTF大赛
Code Gate防黑客大赛则是由韩国知识经济部和韩国情报保护振兴院赞助,因為黑客在韩国的形象并不好因此大赛指定了以“防御”为主的比赛规则。
全称Positive Hack Days CTF是一个国际性信息安全竞赛,竞赛规则基于CTF但更贴近網络实战环境。
CodeMeter大赛是少有的由公司举办、目的在于破解自家产品的比赛主办方是德国威步公司。参赛者不仅免费得到保护应用程序還可以获得具有许可的CmStick硬件加密狗。1000多名来自世界各地的参赛者参与竞争32768欧元(合约40000美元)的奖金
ChaosCommunication Camp也被称为“欧洲黑客大会”,是由Chaos ComputerClub(CCC)主办的为期5天的露天黑客交流活动每5年举办一次。会议以技术及社会话题为主包括隐私、信息自由、数据安全等方面。
网络安全竞賽对参与各方都有积极作用对于政府而言,网络安全竞赛是提升保卫国家、行业及公民能力的手段;对于行业资质认定机构而言网络咹全竞赛越来越多地被视为资质维持所需的相关工作经验;对于专业人员而言,网络安全竞赛能够锻炼和展示专业技能、评估人员能力、提升意识和士气进而提高生产效率;对于学生而言,中学和大学开展各种级别的竞赛在教学中补充动手实训课程,能够丰富学习形式;对于整个网络安全领域而言开展网络安全竞赛有利于技术和战术层面,以及在战术攻防对抗比赛两个方面促进创新推动知识、技术、技能和实践的共享。
注:本文由网安视界(网络空间安全情报站和智库)独家创作整理转载请注明出处。更多精华文章请观看公众号:网安视界