来源:中国信息安全
去年9月,中央网信办发布了《关于规范促进网络安全竞赛活动的通知》,要求“网络安全竞赛要坚持国家安全和社会效益优先”,“注重以多种形式面向青少年、网络安全从业人员举办知识型、技能型、普及型竞赛”。
显然,安全竞赛发展至今,已不仅仅是单纯的竞赛,或者说是为了比赛而比赛,管理部门和社会各界都开始思考,竞赛能给产业乃至国家带来何种实实在在的价值。
“从这个意义上说,竞赛应该称作赛事更为合适。”付磊这么认为。
付磊2015年8月入职永信至诚,现担任助理总裁,伴随并负责了永信至诚网络安全赛事业务的发展、壮大,是整个网络安全赛事领域的见证者、亲历者。
那么,比赛到底是为了什么?怎样才算是一场好的网络安全赛事?
作为运营过上百场赛事的亲历者,付磊无疑拥有回答这个问题的资格。
首先来看下网络安全竞赛发展的历史。从付磊这位见证者的角度来看,国内网络安全竞赛模式经历了三个阶段:答题、对抗、场景。
答题,指的是CTF(Capture The Flag)夺旗赛,这也是国内最早和最常见的竞赛形式。
CTF起源于1996年DEFCON全球黑客大会,初衷是网络安全研究者之间的技术切磋。当这些高手云集在一处时,不仅进行技术分享,也有比赛一番的冲动,在较量中亮出自己的拿手绝活,逼出自己压箱底的本领。
这种比赛对选手的基础知识和技能掌握的程度要求比较高,考察的是对于具体问题的理解,具体技术的应用,寻找问题、判断问题、解决问题的能力。CTF形式的赛事适用范围比较广,发展最为成熟,不仅适用于国际顶尖选手的技术交流和研究切磋,譬如说像BCTF、WCTF、RealWorld CTF,还有像DEFCON CTF这种模式,同时也适用于很多初学者去了解和练习网络安全知识和技能。
对抗,AWD(Attack With Defense),也叫攻防兼备模式。选手同时具备攻击方和防守方两种角色,对选手的攻击能力、防御能力、团队协作能力及实时的应变能力都是极大的考验,更偏向实战能力的较量。付磊介绍,2015年“4.29”首都网络安全日期间,永信至诚推出了业界第一个AWD攻防赛,同时也创造了“AWD”这种攻防兼备的赛制,现在已经成了很多厂商的标准赛制和很多招标文件中对于“攻防赛”的通用说法,生命力和影响力可见一斑。
付磊认为,网络安全技术的力量就好像《星球大战》里的原力一样,有光明和黑暗两面,而AWD赛制则在寻找和利用漏洞之外,增加了分析和修复问题的鼓励。引导网络安全人理解“原力”的破坏力,同时又能让其为守护世界所用。同时,AWD赛制通过复杂的竞赛机制设计,让赛场格局变化更接近真实攻防现实。选手需要在攻击和防守间找到平衡,寻找最优出路。这种格局和真实的网络世界接近,要求选手不仅要了解各种知识技能,还必须有着丰富的实战经验,以及良好的团队协作、应变能力和策略能力才能取得佳绩。
场景,即场景实战,是近年来环境、技术以及硬件水平飞速发展之后涌现出来的一种崭新的竞技模式。通过平行仿真技术,对网络结构、安全元件、安全策略乃至业务人员、管理人员的日常工作进行还原,构建网络空间的“朱日和”。正如上文中提到的产业对竞赛的思考,网络安全竞赛发展多年,除了高手切磋以外,产业的需求也渐渐反映在赛事中。网络安全终究是一个应用和实践性很强的领域,而场景实战,则是网络安全竞赛从竞技到演习的一个演变阶段。付磊表示,企业的经验和技能,产品和策略都可以在这种演习中得到验证,从而提升系统内在的安全免疫力。
付磊介绍,经过多年赛事的不断创新,永信至诚将基于平行仿真技术的靶场平台运用于比赛中,派生出企业内网、工业互联网、城市仿真、人工智能等不同场景、不同规模的赛事,将网络安全赛事带向了推动技术进步、产业聚合、社会整体安全能力提升的阶段。
产业需求的推动,是网络安全赛事发展到实景攻防阶段的最根本动力。近两年基于实战场景的赛事越来越多,堪称国内最大规模工业互联网网络安全“大练兵”的“护网杯”,首个基于城市大规模真实场景的“巅峰极客”网络安全技能挑战赛,都是高仿真网络靶场在比赛中的成功应用。“在靶场中的攻防对抗更具实用价值,除了用于常规比赛,靶场还具有日常演练、技术验证、渗透测试、人才培养等多种作用。”付磊表示。
网络安全竞赛从顶尖极客间的擂台,随着数字化的步伐走向了各行各业,吸引越来越多的安全从业者、爱好者参与其中。从技术切磋到技能训练,网络安全赛事正在走向社会,走向行业,驱动国家整体安全能力不断进步。
当下,网络安全赛事不仅是网络安全产业的炼金石,也为产业发展提供新动能。
付磊形容,有价值的网络安全赛事就像大航海时代里的船队。一只船队出海,辗转各地进行贸易,同时带动了港口、造船、天文、地理、军事、文化等多个领域的发展。
这是网络安全赛事的价值所在。付磊认为,网络安全领域的赛事,不能为了比赛而比赛,要像体育竞技赛事一样,带动整个产业链的发展。
上游:推动技术创新,带动人才储备。赛事对选手的技术、装备等方面的要求,推动安全研究人员、安全企业、科研院校进行技术研发、产品创新,不断提升能力。赛事的影响力也促使更多的人对网络安全产生兴趣,投身其中。
中游:扩大赛事影响,刺激产业需求。在国家主管机构的关注下,通过各种国家级、行业性的大赛,各行各业、各省市之间可进行横纵向比较,促使产业提高安全意识,注重安全人才的培养和储备,改善安全体系。从而让《网络安全法》等相关法规可以切实落地,让网络安全从之前的合规性需求,变成了企业内发和自发的需求。例如“网鼎杯”和几年来一些真实业务系统测试的举行,使得行业越来越重视安全技能的提升,直接催生了对安全服务市场的需求。
下游:输送安全人才,提升安全水平。经过各种赛事锤炼和遴选出来的选手,因为较强的学习和实践能力被众多厂商所青睐,他们的能力就会转化成不同行业的安全力量。通过比赛得到的经验、验证的产品、选拔的人才,都会成为不同企业,不同行业,不同地区乃至整个国家网络安全水平提升的增益力量。
来看一场特别的比赛——“红帽杯”网络安全攻防大赛。付磊认为,这样的赛事尽管难度不是最高,但却能给行业带来真正的价值。
“红帽杯”网络安全攻防大赛到今年已经是第三届,它不仅承担着发掘、锻炼、培养网络安全人才的重任,还帮助广东省构筑全方位的网络安全防线。
今年的“红帽杯”聚焦关键信息基础设施的典型漏洞及风险,在平行仿真的网络靶场中,全面考核参赛队伍的漏洞发现、漏洞挖掘、漏洞修复、应急响应以及即时策略的能力。赛事共有1619支战队、4800多人报名参加。如此高的关注度,在于赛事日渐扩大的影响力和日臻成熟的价值链条。
在人才培养方面,作为广东“红帽先锋”人才培养计划中的重要一环,广东省公安厅联合华南理工大学、中山大学、华南师范大学等诸多高校,开启了“产、学、研、用”为一体的人才培养新模式,通过“红帽杯”,提高学生和参赛者的实战技能,输送实用型人才,缓解省内网络安全人才供需矛盾,促进就业。
在构筑网络安全防线上,结合人才培养体系的建设,广东省公安厅提出网络“安全罩”理念,搭建网络安全应急响应平台,依托“红帽先锋”和国内知名安全企业等社会力量,协助各行业各单位及时、高效预警网络新威胁新漏洞,处置网络安全事件,实现“全方位、全天候感知并处置网络风险”的目标。
付磊介绍,截至2019年10月,广东省“红帽先锋”已协助平台挖出漏洞2500多个,处置安全事件600多起,成为广东省网络安全防线的重要支撑。
以赛事培养专业人才,以人才支撑安全防线,“红帽杯”的价值显而易见。
“现在是网络安全竞赛最有生命力的时刻。”付磊认为,因为这是个人、网安产业、各行各业、国家的共同需要,赛事技术已经逐渐成熟,创新实践也在遍地开花,并且有越来越多的企业开始提供商业的网络安全竞赛服务。永信至诚从2014年开始就组建了专业的网络安全赛事运营团队,而专业的服务团队和商业公司出现,是一个领域走向成熟的标志。就像人们越来越多地为高质量的APP付费一样,当社会各界认可了网络安全赛事带来的价值,就会有越来越多的政府、行业会为专业、高品质、高标准的赛事服务而买单。付磊和他的团队——永信至诚春秋Game团队的目标就是将网络安全商业赛事领域做的更大更好。
作为已经运营了300多场网络安全赛事的永信至诚,在过去的几年里将“赛事”、“靶场”、“AWD”、“RHG”、“烽火台”等词汇几乎变成了行业标准。“网络安全赛事是一项系统性工程,它可以实现的价值有很多,首先你得知道自己想要的是什么。” 付磊解释,对如何办好一场大赛这件事, “永信至诚认为’人是安全的核心’,一切有利于培养人、训练人、选拔人、评价人的,都是我们为之努力的方向。网络安全赛事的初心也是如此。不忘初心,方得始终。”
