首页大河网讯(记者 何心悦)12月1日,逐鹿中原·极客之光首届RealWorld国际(郑州)网络安全大赛暨逐鹿中原·极客之光国际网络安全郑州论坛即将在郑州拉开帷幕。对于大多数互联网用户来说,网络安全大赛听起来有些陌生,比什么?怎么比?谁来比?为什么比?带着这些疑问,大河网记者采访了长亭科技首席安全研究员、联合创始人杨坤,让他来带领大家走进首届RealWorld国际(郑州)网络安全大赛。
什么是CTF赛?
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。“CTF起源于1996年DEFCON全球黑客大会,发展至今,已经成为全球范围网络安全圈流行的竞赛形式,DEFCON作为CTF赛制的发源地,成为了目前全球最高技术水平和影响力的CTF竞赛,被称之为CTF赛场中的‘世界杯’。”杨坤说。
CTF竞赛由主办方进行命题,参赛者以团队或者个人的形式参加,在固定时间内通过解题来比拼网络安全技能。另一类竞赛称为Pwn赛,以真实软件为目标,不设时间限制,在选定的日期通过完整的攻击演示来比拼漏洞挖掘成果。二者相比,CTF竞赛的赛题由命题方专门编写和设计,通常是一些小程序,不具备正常功能,因此解题周期短、命题思路灵活,总体来说门槛较低,更容易上手和学习,更加适合用来对初学者进行兴趣引导和基础能力培养。但是很多时候,CTF赛题中考察的知识和技巧不一定适用于真实软件攻防场景。而Pwn赛比拼的完全是真实软件的安全分析能力,竞赛目标往往是市场上商业巨头们重金打造的主流软件。
创新赛制:
参赛体验更好、观赏性更强
为了解决传统CTF竞赛与Pwn赛的缺点,结合二者的优势,本次比赛设计了全新CTF赛制。
据杨坤介绍,这种模式不仅延续了传统CTF赛事中命题灵活、难度可控的特点,同时也能让参赛者在解题过程中挑战和体验Pwn赛中才会有的攻防技术。在全新CTF赛制下,线下赛将呈现出纷呈的现场效果,CTF赛制和现场完全仿真的环境搭建,真实呈现虚拟空间的网络安全技术与真实世界的息息相关。
全新赛制对命题人员提出了更高的要求,基于真实世界软件的修改或二次开发来命题,要求命题人员熟悉真实世界软件的攻防,而不仅仅是丰富的CTF参赛经验。Real World 国际(郑州)网络安全大赛由长亭科技官方团队命题,该命题团队成员毕业于清华大学、浙江大学、美国麻省理工学院、美国约翰霍普金斯大学等名校网络安全相关专业,曾经获DEFCON CTF全球亚军,至今保持中国战队的最高成绩。
搭建网络安全人才
培养、选拔平台
杨坤认为,在对网络安全人才的培养中,大部分高校更偏重于理论的学习,而CTF赛则为学生提供了实操的平台。“现在,许多企业在网络安全岗位的招聘中,对应聘者的参赛经历十分看中。”杨坤透露。
“让有兴趣有潜质的网络安全人才,在社会的关注下同台竞技,检验自己的技术,展示自己的能力。能大大的提高网络安全人才自身的水平,同时也让社会上的更多企业和团体拥有了选拔人才的平台。”杨坤说,希望通过对新赛制的不断探索,能够在中国办一个与DEFCON CTF匹敌的大赛。