12月1日,逐鹿中原·极客之光首届Real World国际(郑州)网络安全大赛暨逐鹿中原·极客之光国际网络安全郑州论坛将在郑州拉开帷幕。
作为在国内举行的首届国际性网络安全大赛,Real World国际(郑州)网络安全大赛采用了长亭科技官方团队全球首创CTF夺旗赛与Pwn赛相结合的全新赛制,基于真实世界软件精心设计,突破了传统CTF赛制的局限。
对于大多数互联网用户来说网络安全大赛听起来有些陌生,比什么?怎么比?谁来比?为什么比?带着这些疑问,记者采访了长亭科技首席安全研究员、联合创始人杨坤。
什么是CTF赛?
Real World国际(郑州)网络安全大赛是全球首创基于真实世界软件的全新CTF赛制,那么什么是CTF呢?
杨坤说,CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。“CTF起源于1996年DEFCON全球黑客大会,发展至今,已经成为全球范围网络安全圈流行的竞赛形式,DEFCON作为CTF赛制的发源地成了目前全球最高技术水平和影响力的CTF竞赛,被称之为CTF赛场中的‘世界杯’。”杨坤说。
CTF竞赛由主办方进行命题,参赛者以团队或者个人的形式参加,在固定时间内通过解题来比拼网络安全技能,另一类竞赛称为Pwn赛,以真实软件为目标,不设时间限制,在选定的日期通过完整的攻击演示来比拼漏洞挖掘成果。二者相比,CTF竞赛的赛题由命题方专门编写和设计,通常是一些小程序,不具备正常功能,因此解题周期短、命题思路灵活,总体来说门槛较低,更容易上手和学习,更加适合用来对初学者进行兴趣引导和基础能力培养,但是很多时候,CTF赛题中考察的知识和技巧不一定适用于真实软件攻防场景。而Pwn赛比拼的完全是真实软件的安全分析能力,竞赛目标往往是市场上商业巨头们重金打造的主流软件。
创新赛制:参赛体验更好、观赏性更强
为了解决传统CTF竞赛与Pwn赛的缺点,结合二者的优势,本次比赛设计了全新CTF赛制。
据杨坤介绍,这种模式不仅延续了传统CTF赛事中命题灵活、难度可控的特点,同时也能让参赛者在解题过程中挑战和体验Pwn赛中才会有的攻防技术。在全新CTF赛制下,线下赛将呈现出纷呈的现场效果,CTF赛制和现场完全仿真的环境搭建,真实呈现虚拟空间的网络安全技术与真实世界的息息相关。
全新赛制对命题人员提出了更高的要求,基于真实世界软件的修改或二次开发来命题要求命题人员熟悉真实世界软件的攻防,而不仅仅是丰富的CTF参赛经验。Real World 国际(郑州)网络安全大赛由长亭科技官方团队命题,长亭科技的安全团队多年来积累了面向真实软件的顶级Pwn赛经验,也通过多年的服务顶级互联网与金融客户的经历,积累了丰富的真实世界实战经验,为全新赛制下的赛题质量提供了坚实保障。
命题团队成员毕业于清华大学、浙江大学、美国麻省理工学院、美国约翰霍普金斯大学等名校网络安全相关专业,曾经获DEFCON CTF全球亚军,至今保持中国战队的最高成绩。专家们结合国际顶尖的网络安全技术,将最新研究思路与成果融入赛题,涉及多个前沿研究领域,场景新颖全面,赛题整体难度较高。
搭建网络安全人才培养选拔平台
本次大赛对网络安全人才的培养和选拔有什么重要意义?
杨坤认为,在对网络安全人才的培养中,大部分高校更偏重于理论的学习,而CTF赛则为学生提供了实操的平台,通过参加比赛,学生能逐渐补齐实操弱这一短板。“现在,许多企业在网络安全岗位的招聘中,对应聘者的参赛经历十分看中。”杨坤透漏,甚至会有企业将应聘者参赛的次数与名次当作主要参考值。
2013年“蓝莲花战队”代表中国首次打进DEFCON CTF决赛,同时也成了中国CTF网络安全赛制的引入者,2014年“蓝莲花战队”在国内首次举办了全国范围的BCTF,并从2015年开始,连续多年举办BCTF国际网络安全大赛,每年全球参赛队伍超过500支,由“蓝莲花战队”的队长杨坤和战队核心成员联合创立的长亭科技,拥有多年的国际大赛命题经验。
这些经历让杨坤意识到了CTF赛对网络安全人才培养和发掘的重要性。“让有兴趣有潜质的网络安全人才,在社会的关注下同台竞技,检验自己的技术,展示自己的能力,能极大地提高网络安全人才自身的水平,同时也让社会上的更多企业和团体拥有了选拔人才的平台。”杨坤说,希望通过对新赛制的不断探索,能够在中国办一个与DEFCON CTF匹敌的大赛。
电话:0371-67970699
邮件:zzipa0371@163.com