2015中国网络安全攻防大赛于5月26日落下帷幕,经全国范围层层选拔并进入决赛共有38支代表队,经五个小时的激烈对抗,一等奖得主为紫禁城战队。另外,在4月29日首都网络安全日的攻防赛中表现不俗的长亭外、PowerTime与ADLab战队均各有斩获。
撇开各参赛队伍的表现不谈,安全牛关心的是这种新型的网络安全竞赛形式。与传统主流的网络安全竞赛CTF(夺旗赛)的人机攻防不同,这种攻防是人人攻防,这也是得名AWD(Attack With Defence,攻防兼备)的由来。
在AWD的竞赛环境中,每支队伍有一个小型的虚拟网络,在虚拟网络的边界上会放一个虚拟的防火墙,一台防守机、一台Flag机。其中防守机上开有有十几个服务。在攻防对战中,防守的一方要保护自己防守机的上的业务能够正常打开,也就是开设的端口要能够正常访问。攻击时则是要通过各种攻击手段夺取对手Flag机上的权限。
传统的CTF比赛有着其特有的优势,形式简单、公平,赛事组织相对较容易,但缺点是难以跳出解题模式的框框。类似于人机对抗中的”应试教育”,为了增加比赛难度,遴选出精尖队伍,其出题的趋势会越来越难、越来越偏。而且,CTF过于强调攻击和破解,难以提升和比较参赛人员的防护能力。而在实际工作中,安全人员的主要工作是防护,守住自身的业务不被击垮要远远比攻击别人更重要。
CTF竞技越来越变成黑客之间的较量,却无法综合衡量网络安全专业人员的综合水平。
据本次比赛的技术支撑方永信至诚介绍,AWD的核心思想是在确保防御的基础上展开进攻,既相互攻击、也承担相互的攻击,考察的是一个团队的综合安全能力。通过将工作中可能经历的各种安全对抗,通过一种极端的竞赛环境所展示出来。各参赛队的主机环境包括了各种以前或最近出现的经典漏洞,参赛选手既要了解如何利用这些漏洞进行攻击,也必须了解如何快速将这些漏洞打上补丁。
AWD的奖惩机制设定为:拿到别人的Flag得5分,反之扣10分。
要想在这样的比赛中取得好成绩,就必须靠平时工作实践的厚重积累,比如在平时工作中的对抗能力就很强,对各种知识技能与实践应对情况都很了解,那么在比赛中便能拿到好成绩。显然,AWD的竞赛模式更符合实际工作中的防御需求。
在4月份的首都网络安全日的比赛上,安全牛曾采访过一些参赛队伍。发现大学的学生普遍在CTF中得分较高,而在人人对抗(AWD)中则显得无所适从。但对一些具备实际工作经验的参赛队伍来说,在AWD中则掌握着非常大的优势。
实际上,在去年安全牛采访多次在国际大赛上取得优异成绩的清华大学蓝莲花战队时就得知,在国际比赛中,也是具备实际工作经验或实战经验的战队成绩最为优异。
不管怎样,AWD模式毕竟是一种新型的比赛形式,目前还不成熟。但其体现出来的“注重实战,攻防兼备”的思路,无疑正在影响和推动安全人才的选拔模式,值得并已经引起整个安全行业的关注。