近几年,随着人们越来越清醒地意识到“真正的网络安全能力更多的要依靠使用这些安全产品的人而不只是产品本身”这一事实,企业对网络安全人才的需求和市场、高校、研究所等人才培养机构能提供的人才数量的矛盾也愈加凸显。无论是国内还是国外,网络安全人才匮乏的现状已经成为了不争的事实。
与此同时,一些“人才发现和培养”计划和模式先后涌现。比如启明星辰的大潘(潘柱廷)将企业和高校通过“组队”的方式联系起来的“铁人三项赛”、360结合ISC举办的“攻防训练营”、安全焦点的呆神(王英健)打造的“神话”团队、谷安天下的WebSP星火计划等等。除此以外,还有GeekPwn和HackPwn等破解赛,以及近两年在国内非常火热的CTF夺旗赛。
由清华大学网络与信息安全实验会副研究员、XCTF联赛发起人、蓝莲花领队诸葛建伟联合国内各高校和BAT3及企事业单位举办的“XCTF联赛”,从15年10月起,历经福州、西安、北京、上海、杭州五站国际赛和多站国内赛延续至今。而这持续近10个月的CTF竞赛,也在昨日国际联赛总决赛的颁奖仪式上步入尾声。
诸葛建伟
此次XCTF在线上选拔和线下攻防竞赛分别采用“解题模式”(线上解题的得分)和“攻防模式”(实时攻防得分)两种赛制。此次历经重围,共有16支队伍(包含4支国外CTF战队)“杀入”XCTF国际联赛总决赛,参与角逐。
16支参赛队伍分别是:
- 韩国神童Lokihardt坐镇的韩国CyKor战队;
- 乌克兰Duca战队;
- 俄罗斯超级连队LC↯BC;
- 美国UCSB大学Shellphish战队;
- 15年XCTF总决赛冠军台湾大学217战队;
- HITCON队长Orange率领的台湾科技大学forx战队;
- 上海交通大学0ops战队;
- 多高校联合的FlappyPig战队;
- 浙江大学AAA战队;
- 复旦大学六星战队;
- 队名源于“NULL”的Nu1L战队;
- 中科院信息工程研究所NeSE战队;
- 中科院软件研究所发起创建的WildWolf战队;
- 信息安全爱好者汇聚的NSIS战队;
- 福州大学ROIS战队;
- 北京邮电大学天枢战队。
比赛现场
经过近31个小时的激烈对抗(包含离线分析时间),最终前三名分别由CyKor、LC↯BC和0ops战队拿下,除了XCTF名人堂徽章、证书和奖杯外,这三支队伍还分别获得2万、1万和5千美元的奖金。
360企业安全集团副总裁韩笑和0ops(季军)
阿里巴巴安全部资深安全专家曲富平和LC↯BC(亚军)
百度安全事业部总经理马杰和CyKor(冠军)
除了上面这三支队伍外,还有5支优胜奖队伍,分别是217、forx、FlappyPig、六星和Nu1L战队,他们每个人将获得XCTF名人堂徽章、证书和价值3千元的手机。
XCTF带来了什么
首先,从与高校教育的区别和人才发现的角度,XCTF到底可以给这些打比赛的学生们带来什么。
长亭科技首席安全研究员、联合创始人杨坤
杨坤是蓝莲花的队长,清华在读博士生,有着四年的比赛经验的资深CTF选手,参加过Defcon CTF的决赛,同时也是长亭科技的联合创始人,有着三重身份的他,是如何从一个学生,一个参赛者的角度去理解CTF?
与高校传统课程教育的区别
可能上过大学的大家都有感受,目前大部分国内高校的传统课程教育,高校的课程培养更侧重于基础学科和研究性的学习,从实战的角度来看则更倾向于基础技术和理论的掌握。而CTF则更倾向于实战,是个掌握基础技术之后尝试考虑包括攻防对抗的安全问题,是一种应用和发挥的过程。从人才成长的角度,因为CTF比赛独特的“对抗”性质,也可以更好激发学生兴趣和潜能,有了“分数板”大家会更有动力去学习,同时也可以一边学一边用。第三点是相比几乎“一成不变”的基础知识,黑客的技术则在不断地发展,保护机制、对抗的思路也在不断改变和升级。
“我最早打CTF的时候,难度和创新度都没现在这么高。随着这两年智能硬件的兴起,对ARM和MIPS架构的考察也被加入,这些技术点和创新点也是为什么可以一直吸引着这个社区的人很本质的原因。像美国,据我了解有一帮人,从学生到安全一线从业者,坚持打了7、8年了,这也是CTF本身的魅力所在。”
CTF在人才发现方面的作用
这个要从学生和企业两个角度来说。对于学生,CTF比赛因为其参赛门槛较低,吸引了更多的人来“玩儿”这个比赛,同时也就意味着吸引了更多地人走安全这条路;同时,XCTF的平台让这些原本只局限于圈内的CTFer也渐渐变得“有名”起来,通过厂商的参与,让这些有安全人才需求的企业可以在这样一个“舞台”上从这些刚刚开始做信息安全的“学生军”中筛选一批能力比较强潜力比较大到企业做之后的培养。
当然,除了那些“一战成名”的,还有一些对信息安全感兴趣但是技术没有那么突出的人,企业也会有给这些人的发挥空间,他们通过CTF比赛所积累的实战经验和对安全知识的应用的理解,也可以帮助他们结合一些其他领域,如软件开发或者售前,做一些事情。
那么第二点,从行业的角度来看,侧重于“人才发现”的XCTF,阿里安全副总裁杜跃进谈到了他对“X”的理解,那就是变数、变量、开放和例外。
阿里巴巴安全部技术副总裁杜跃进(今亮)
因为现实的网络空间不确定的因素太多,所以我们的安全人才应该具备应对‘例外’的能力。
因为并不是事前的相关资源的储备(比如漏洞)就能够确保赢得比赛,所以攻防对抗赛最大的作用在于人才的发现。而对于目前的CTF的比赛形式,杜总认为要提高的地方在于“怎样让人才更加贴近实际需求”。关于这点,他特别提到了引入一些“社工”的手段,并向记者表示“社工应该是人才应具备的能力之一,主办方可以在比赛环节或者场外设置一些活动或题目,在比赛场外公开的环境下完成并得到一个加分,同时,主办方也可以通过认可一些社工手段拿到对手的flag的情况来做到这一点”,社工的因素引入,会让比赛变得更加真实。
除此以外,还要明确的一点是,安全的主导已经不再只是技术本身,真正的需求在于业务安全和风险控制,需要更加复杂的谋虑,考虑的角度也要从“一时一地的战役”到“长远的战争”。XCTF比赛之后的发展方向,也应该更贴近业务一些,引入一些复杂的场景,并进行对抗演练甚至发展成为类似军队的真实红蓝对抗。
不像360,安全是他的基因,由于阿里的业务特性,所以相对业务来讲安全不是那么突出,而且安全能力更多的是要贴近阿里的业务本身,在其均与“数据”相关的防御主线上,为了应对内部威胁、提升产业链安全以及其整体的安全能力,杜总表示这些都需要对现有技术能力的整合和威胁情报的支撑。
从威胁情报再到业务安全和攻防对抗,尤其是在数据领域,阿里的人才投入会在这个方向做培养,但总体上会低调一些。
第三点,从国家安全能力的角度谈一谈,XCTF之后,我们要“玩儿”些什么?对于杜总提出的“更加接近真实的红蓝对抗”,360CTO兼副总裁谭晓生更是直接给出了美国的实例,CGC(Cyber Grand Challenge)网络超级挑战赛,“网络风暴”报告以及“网络卫士”演习。
360CTO兼副总裁谭晓生
首先对于目前CTF受欢迎的原因和贡献,谭总做了概括,分别为“对抗性、好玩儿和追求自由的黑客精神”,贡献则是“攻防之事得以上台面、之后‘靶场’建立的推动作用、安全研究人员的名气以及战队形式的人才培养”。
在网络空间安全的痛点上,还有“IOT时代带来的安全挑战、系统安全/软件安全的根本问题还没解决、攻防不平衡以及仍旧存在的人才缺口问题”。除此以外,由于智能硬件和工控网络的普及和大范围应用,他们面临的安全威胁也日益凸显。谭总尤其强调了OT(Operational Technology)安全(以工控系统SCADA为例)的问题,甚至可以拓展到跟大范畴的数字安全问题。
数字安全
OT安全
“这些更多的是基于无线网络、控制平台(车联网)甚至工控网络安全的问题,我们将来都可以通过既有对抗又好玩儿的形式去做。”
谭校长表示,因为攻击与防守方的信息不对称,相比攻击人员达成攻击目标时的成就感,防御人员更多的是“挫折感”。在防御网络攻击方面,“构筑在‘沙滩’之上”的传统信息安全体系面临的问题包括:
是否有好用的工具?传统安全产品面对新型威胁的有效性挑战?是否有真正懂安全的人才来用这些安全工具?
而现在面临的困境就是“工具不够好,人也不够用”,例如企业内部的身份管理、密码更换、人员行为信息审计甚至网段划分管理都是问题,很少有专人去做维护。
而美国DARPA国防高级研究计划局的的CGC比赛和美国国土安全部关于网络空间安全的“网络风暴”报告以及“网络卫士”演习,则引入了许多的行业和企业共同来做网络空间安全事情,那么我们可不可以也搞一个类似的演习?政府和业界是否能够共同承担这个责任,一起做好网络安全?
可以看到,本次的XCTF联赛有百度,阿里巴巴,腾讯和360等互联网公司的参与,也有如长亭科技等新兴信息安全公司和启明星辰等传统信息安全公司的共同赞助,信息安全产业‘站队’的风气有所改变,有走向联防联治的希望;这是一个非常好的开始,即使是政府也不可能一家把所有问题搞定,之后一定是联防联控的局面,需要政府联合民间多个企业一起来做。
最后,谈一谈企业的人才流动问题。
为什么最后要谈这个?因为人才的生命周期毕竟不是进入了企业就截止了,而目前有这样一种现象,就是相当一部分传统安全企业培养出来的人才流向互联网公司或者初创团队,那么造成这种人才流动的背后的诱因是什么?当然,这里的“人才”和前文所谈的从毕业到入行再到最终走进企业这种人才不同,这里谈的人才是指进入企业后有一定技能、经验和资源的积累后,人才流动(出走)的现象。
启明星辰副总裁兼首席战略官潘柱廷表示,人才的流动是必然的,企业人才的困境,包括对人才流动关系的态势研究和因果的思考,业务领导应该去做这件事情。
启明星辰副总裁兼首席战略官潘柱廷(大潘)
公司的人才问题永远是一把手的问题,是业务主管者的问题,你们才是人才问题的主导者,而绝不会是人事部门。
大潘认为,要首先进行人才分类,明确是南向人才(技术导向)还是北向人才(战略、市场导向),明确人才流动的驱动力和影响力(待遇、荣誉、发展、挑战、人事、企业人文化),同时,还应从人才个人的视角(成长、环境、平台、团队、导师、风险基于、荣誉与挑战等)而不只是从“待遇”角度考虑这个问题。
对于企业人才流失的问题,大潘表示,一方面是人才流出的减缓,因为不可能不流出,但是“失血”过于严重的话企业也受不了;一方面企业要增加人才的流入的量,让人才在企业自己的池子里面流转,发挥作用的时间更长。要做到这一点就必须弄明白为什么人才会发生流动。待遇是一方面,荣誉是一方面,还有一些人事制度,比如能不能解决户口和下一代的教育问题,这些都很现实。
再有一个就是你能不能给他一个有挑战性的问题,因为人才有时候也不是光看待遇,有时候他们更关注的是有没有“最困难的问题”让我去解决。其实BAT3这些互联网公司不光是待遇高,很多更具对抗性的安全问题在这些互联网公司确实更常见。这对于这些安全人才来讲更有意思。比如说你想做云的安全,那你可能会觉得在阿里云那里更有乐趣一些。所以你要搞清楚这些人才的需求是什么,如果你能给他这些东西,他们才会在工作的过程中得到满足,才更有可能留下来。
安全牛评
安全人才的问题不仅是企业管理者和高校教育的问题,同时也是整个行业的发展乃至国家安全所面临的问题。而从国家的角度,从去年网络安全正式成为国家一级学科到今年3月份新增29所高校网络安全博士学位授权点,其重视程度可见一斑。此次XCTF联赛(第二届)在针对“安全竞赛人才”的发现上,起到了一个很积极的作用和影响,但是要从根本上解决人才匮乏的问题,还需要各个方面的共同努力。
相关阅读
谷歌AlphaGo弱爆了 人机黑客颠峰大战揭秘
WCTF 2016 结束 三大战队斩获10万美元奖金
国内最牛的网络安全技术对抗平台——XCTF全景解读
最后,现场花絮奉上。
百度安全展台的美女DJ
百度安全展台的Cosplay秀
永信至诚OPEN CTF体验赛
XCTF国际联赛决赛实况解说