中国工程院邬江兴院士在“强网论坛”主论坛主体演讲中阐述了网络安全学科竞赛的创新与发展的思考。

从1996年开始,美国DEFCON全球黑客大会首次推出了CTF竞赛,这是一种在特定的平台上进行攻防竞技的方式代表了之前黑客们通过互相发起真实攻击进行的技术比拼。

随着进一步的发展,它在学科竞赛的字典中出现了网络安全学科竞赛这个名词,至今23年了。经过30多年的发展,CTF已经是风靡全球并在中国取得蓬勃发展,到2018年我国的CTF竞赛已经超过了1000场。

在取得成绩的同时,我们也需要思考,网络安全学科竞赛繁华之后如何发展?如何与网络强国战略有机结合?如何促进产业的发展?这是我们需要在繁华之后的一些思考。

网络安全学科竞赛的模式回顾

目前有三大类:

一是CTF类,包括三种模式:一是解题模式,这是一种CTF竞赛与ACM和信息安全类竞赛比较类似的一种方式,它的目的是解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。二是攻防模式,比赛队伍互相进行攻击和防守,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢份。三是机器对抗模式,比赛过程全自动,无任何人工干预,考验机器自动漏洞挖掘、自动软件加固、自动漏洞利用和自动网络防护水平。这有点像人工智能导入以后的机器对抗。

CTF类的模式平分,参考了CTF—time比赛的权重分数,国内比赛参考CTF —rank平分的考虑。

二是漏洞挖掘类,它有两种模式。一是企业SRC,鼓励安全从业人员,以及白帽黑客发现目的产品中存在的漏洞或安全问题并给予一定奖金。二是国家漏洞库,最早是由美国国安局支持建立的CVE漏洞库,旨在手机特别是大厂商各式各样的漏洞以攻击美国国家网络安全。我国在今年成立了CNNVD、CNVD等漏洞。

三是实网攻防类。这类比赛依托实网组织模拟攻防演练,著名的赛事活动就是美国的网络风暴演习,包括攻陷五角大楼、贵阳大数据演练,护网。

网络安全学科竞赛面临的问题

一是过渡商业化的问题。国内CTF竞赛目前过度商业化倾向有增无减,冠军将近动辄上百万,有的比赛已经喊出了2000万奖金池在高额奖金的诱惑下,有的竞赛虽然看似噱头不小,将近万人,但是在赛后评价并不高,戏称为一次高规格的推介展示会,依靠高额奖金,提高竞赛知名度的做法,已经失去了比赛的初心。

二是选手职业化问题。竞赛的功利性越来越浓,热衷于参赛且能够取得名次,趋于集中在少数的几支战队,有人戏称不少CTF竞赛已成为赛棍游走穿场的作秀场。脱颖而出的天才黑马较少。

三是赛题同质化问题。国内不少的比赛只是为了比赛而比赛,政府相关部门、竞赛组织方在自身没有出题水平的情况下,委托机构出题目往往是套路题,比赛的营养价值不高,比赛题目也毫无新意。千篇一律的竞技,一定程度上限制了对网络安全人才的选拔和培养。

四是办赛效益差。美国国防部曾经悬赏邀请民间高手挖掘五角大楼网站漏洞,当时的国防部长卡特,这比花钱请人来做要划算得多。而我国的大部分网络安全竞赛赛用脱节的问题比较严重。

五是缺乏国际化的问题。以发现漏洞、利用漏洞为基本思路的比赛,不可避免在漏洞的问题上引起各方面的焦虑,漏洞现在已成为国家战略性资源,我们的选手不能把漏洞带到国际比赛上去,国外的选手也不能顺畅地到国内参加比赛。这种竞赛资源的限制,也将使竞赛的国际化水准大打折扣。

强网杯进行的有益探索

一是突出问题导向。强网杯之所以能够发展到如此规模,一个重要的原因是以发现网络安全领域的问题作为导向,更加注重实效,无论是线上赛、线下赛,都是为最后的精英赛服务,通过揭榜挂帅方式,查找信息系统的薄弱环节。

突出在赛制创新方面,这一届强网杯挑战赛,在赛制上进行了较大创新,应该是说把传统的CTF比赛的模式全部综合在一起,做一个整体呈现。解题模式、攻防模式、挖掘模式、人工智能模式。

突出公平公正。作为一个国家级的比赛,公平公正是生命线,强网杯每队题目隔离并设置带有追溯水印的动态答案,设定了诸多反作弊、防串联的规则限制,线上赛发现了40起 21支赛队被禁赛。这次比赛还引入国家公正,进一步推进竞赛的规范化。

突出军地融合。强网杯具有天然的军民融合基因,也是综合运用社会资源为网络国防建设服务的一个探索和示范,形成了地方政府、军队院校、行业机构、骨干企业良性互动的局面,为比赛的可持续发展奠定了基础。

网络安全竞赛模式的新选择

拟态防御国际精英挑战赛,今年是第二届,有29支国际顶尖战队,20个小时,290余万次高强度攻击。赛后国际顶级刊物美国shellphish,比赛最大的亮点是建立一种人机对抗的网络安全竞赛模式,颠覆了传统人人对抗的CTF竞赛模式,坊间比喻这是国际黑客大战。这一对抗模式我们称之为BWM模式,创新网络安全竞赛的第四种模式,它不是解题游戏,也不是挖洞,也不是水平认证,而是基于开放性众测的一种竞赛模式。提供全球众测,看看真金是否不怕火练,而不是游戏。

这个竞赛的主体已经不是人与人之间,而是人与机器,所以它的对抗主题跟CTF不同,它是人机对抗。而且关键是通过设置一种合理的竞赛场景和竞赛规则。人要想战胜阿尔法狗和阿尔法zero,现在就是一个新高峰。那么这就是围棋界的阿尔法狗。

竞赛的载体不再是题目,而是在用的COST级的网络设备,让全世界来检验,如果通过了全世界检验,你美国人还有什么说法。所以BWM赛一经亮相,参赛选手第一反映就是没有赛题了。COST本身就是赛题,这是在检验一生二、二生三的中国哲学思辨能力,有着无穷无尽的赛题,选手们依靠自己的思维发现题点,依靠自己的判断攻克赛题。

竞赛的目的不仅仅是选拔锻炼人才,而是赋予了科学度量网络内生安全性的新职能。传统基于人的网络安全竞赛,其核心是发现锻炼人才。BWM赛巧妙地引入了众测的理念,大大提升了比赛的效益,使得度量网络产品的安全性成为可能。290万次攻击,无一得手。

竞赛的方式不再是一锤子买卖,而是常态化测试和集中式竞赛有机结合。这次拟态精英挑战赛同时发布了永久在线的内生安全实验场,从6.26开始,全天时的接受全球白帽黑客的有赏众测,也包括富有挑战精神的骇客。未来的比赛,特别是常态化的、无差别的常态化竞赛,与集中式的白盒、黑盒BWM竞赛相结合,鼓励更多有创意、有兴趣的技能。

竞赛的焦点不再是漏洞,而是推进网络命运共同体建设。在BWM模式下,0day漏洞后门已不是致胜法宝,你甚至可以自己去预先布设一个,那么打造网络空间命运共同体就有了可靠的抓手。

目的是要向世人证明,网络空间漏洞后门等潘多拉魔鬼是可以被制服的,技术的问题终究可以通过技术的方式来解决,网络命运共同体不再是乌托邦。

未来的网络安全学科竞赛将会多种模式共同发展,CTF类的比赛也会不断改革,BWM模式将作为非CTF模式比赛走向前台,希望大家在实践中不断创新和丰富,推动各类比赛效益最大化,为建设网络强国服务。

声明:本文来自梧桐观察,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。