记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

宝剑锋从磨砺出-XCTF国际联赛的人才培养经

2021-07-01 09:59

在中国共产党成立100周年之际,XCTF国际网络攻防联赛(以下简称XCTF国际联赛)组委会联合本次赛事主办方及承办方以中国共产党党史为经线,以网络强国发展为纬线,将总决赛赛场锁定嘉兴南湖畔。100年前,中国革命的红船在这里起航,100年后,后辈英才汇聚南湖之畔,以CTF的方式,一同书写一场关于网络空间安全的传奇故事,为建党一百周年献礼。

▶ 人才培养是强网之基

当今时代,社会信息化迅速发展,一个安全、稳定、繁荣的网络空间,对一国乃至世界和平与发展越来越具有重大意义。网络空间的竞争,归根结底是人才的竞争,没有一支优秀的人才队伍,没有人才创造力迸发、活力涌流,是难以成功的。

因为网络安全行业的特殊性,在网络安全人才培养体系的建设中,通过竞赛公开选拔、奖励具有全面且深入网络安全技术对抗实践能力的团队,并引导高校及科研院所学生、企业技术人员和网络安全技术爱好者,在竞赛过程中锻炼网络安全实战对抗技能与团队协作能力,是增强我国网络空间安全防御能力的最佳实践和不二选择。

从国际来看,影响力较大的网络安全赛事有美国的DEF CON CTF、Pwn2Own,日本的SecconCTF,韩国的CODEGATE,俄罗斯的RuCTFE,欧洲的CCC CTF等。从国内来看,影响力较大的网络安全赛事有XCTF(国际网络攻防联赛)、WCTF(世界黑客大师赛)、TCTF(腾讯信息安全争霸赛)、X-NUCA(全国高校网安联赛)、GeekPwn(国际安全极客大赛)、RHG(国际机器人网络安全对抗赛)和专注于实网攻防演练的DataCon(大数据安全分析赛)与HW行动。

XCTF国际联赛作为国内CTF赛事开创者及引领者,是由清华大学Blue-Lotus(蓝莲花)战队发起组织,网络空间安全人才基金和国家创新与发展战略研究会联合主办、赛宁网安总体承办,是国内唯一的国际化CTF联赛。XCTF国际联赛以公开、公平、公正为赛事原则,始终坚持行业领先水平,历经七年发展,已成功举办六届赛事,见证了一批又一批年轻网络安全人才的成长。同时,这些年轻人又通过XCTF国际联赛走上网络安全的工作岗位,用自己的能力守护国家的网络安全。

据统计,XCTF国际联赛覆盖140个国家和地区,累计吸引8万队次,15万名专业人员参与。赛事初期,选手年龄段集中在90后和95后,从第六届XCTF(国际网络攻防联赛)开始,00后选手参赛占比达到了到60%。在所有的参赛选手中,与信息技术学科专业相关的占比达到了90%,其中信息安全专业占比为40%。超过80%的CTF选手希望毕业后能继续从事网络安全相关工作,其中半数以上的CTF选手加入了互联网行业担任安全研究员,收入较其他岗位具有明显优势。
▶ XCTF的人才培养经
时钟回拨到2013年,Blue-Lotus(蓝莲花)创始人诸葛建伟博士带队成功冲击DEF CON CTF全球总决赛,开辟了华人世界历史上的国际黑客对抗之路。以此为契机,诸葛建伟博士开始考虑,要在国内举办一个类似于DEF CON的CTF比赛,通过和国际接轨的赛制与赛题,挖掘出国内优秀的网络安全对抗型人才。

2014年,Blue-Lotus(蓝莲花)成功举办了BCTF(“百度杯”全国网络安全技术对抗赛),成为中国第一届以线下AD攻防模式为赛制的比赛,该类型赛事很快引起了各大高校和安全行业的极高关注。这时,诸葛建伟博士意识到,国内有相当多的高校也同样有意愿分享他们的技术以及经验,然而,受制于资深人员配置以及资源的局限性,同时缺乏对CTF比赛的理解以及技术支持,难以举办高质量的线下大赛。

但是,Blue-Lotus(蓝莲花)希望可以将先进的赛事、题目、赛制分享给广大国内网络安全从业者和爱好者,这种情况下,Blue-Lotus(蓝莲花)与赛宁网安联手打造了XCTF国际联赛,联合各高校的CTF战队,同时吸引更多的企业和民间联队参赛,通过研究机构、企业、组织之间的合作,用技术加平台双线前进的方式,推动网络安全赛事在国内和国际的发展。

经过七年的不懈努力,XCTF国际联赛摸索出了一条符合新时代的网络安全人才培养方法。

联赛“X”联合的中心思想

XCTF国际联赛的“X”,其中一个解释是分站赛和联赛之意,还有一层含义代表着未知与探索,更深层次的意义其实是“Cross”,意味着XCTF国际联赛六届赛事的成功不仅依赖于赛宁网安的支持,也需要“联合”、需要“跨界”,只有更多的资源汇集到XCTF国际联赛组成统一战线,才能让网络安全赛事在国内和国际的影响不断扩展,才能让越来越多的人认识网络安全、了解网络安全,从而提升社会民主的网络安全意识,帮助国家发现更多的网络安全人才,最终实现国家建设网络强国的目标。

实战“X”创新的双轮驱动

在过去的七年里,XCTF国际联赛在赛宁网安的支持下,紧抓实战和创新两大武器,锻炼能力、淬炼毅力,形成了一整套创新性的网络安全赛事实战化和对抗化斗争的体系。

网络安全的本质是攻防和对抗,最初两届XCTF国际联赛延续了DEF CON CTF的AD攻防赛制,在当时的国内环境中是一个非常大的创新,赛事的成功让更多的CTF比赛开始关注对抗,关注选手与选手之间的技术的交锋。

第三届总决赛,由于人工智能技术的逐渐兴起,组委会在赛制中加入了人机协同的环节。在比赛中,不仅仅是依靠选手本身的安全攻防能力,更希望参赛者能够开发出一些自动化的攻击工具,将人工智能应用到网络安全攻防当中。第四届总决赛加入了Real World真实世界攻防,将网络安全比赛进一步贴近现实。第五届总决赛由上届联赛冠军r3kapig战队接替Blue-Lotus(蓝莲花)进行总决赛命题和裁判工作,首次联合重庆市合川区政府共同举办,将城市和CTF比赛有机结合,使XCTF国际联赛迈上新征程,登上新高峰。

第六届XCTF国际联赛总决赛采用了Cold Down的赛制。作为国际化CTF联赛,在本次总决赛入围名单中不乏国际战队的身影。然而,由于受疫情影响,国际战队难以至线下场地与国内内外CTF高手同台竞技;而线上比赛又会有国际队伍受到时差影响,产生比赛形式的不公平。而在Cold Down赛制下,题目的分值会在初次攻破后随时间下降。因此,参赛队伍的解题路径会随着其他队伍的表现而发生变化,需要根据题目分值的变化采取相应的策略,从另一种维度增加了比赛的对抗性。

无论是在国内打开AD攻防赛制的大门,还是将人工智能和现实场景加入比赛引起关注,又或者是在一些现实因素影响下巧妙改变赛制保证比赛的竞技性与公平性,XCTF国际联赛和赛宁网安在比赛赛制上一直不断地追求突破。创新的目的不是单纯地为了吸引眼球,更重要的是能否通过创新让参赛者、业内同行开始关注一些技术的趋势和网络安全的价值,或者通过创新解决不可抗力产生的问题,这是XCTF国际联赛和赛宁网安对创新赛制的真正价值。

赛前“X”赛后的社区运营

尽管说XCTF(国际网络攻防联赛)为挖掘安全人才起了极大的帮助,攻防技术人员也有了展示自己实力的一片天地,但是“圈地自封”的问题也随之而来。XCTF国际联赛定位到安全人才的精英选拔,位于金字塔尖的部分,具有较高的门槛,比赛过程中会大浪淘沙地过滤掉大量的参赛者,大量的优秀参赛团队会在联赛进程中相互厮杀。同时,因为CTF的团队赛制,使得能力不突出的个人很难在参赛过程中找到参与感,这就导致新人很难从CTF中获得真正良好的体验与成长。

为了解决这一问题,赛宁网安建设了“攻防世界”在线社区,社区成员可以通过练习XCTF国际联赛真题的方式,提升自己的网络安全攻防能力。在孵化下一批网络安全人才的同时,也让网络安全技术进一步普及,不断向联赛输送新鲜血液,为安全行业的新进者打开了一扇希望之窗。
▶ 赛宁网安的强网人才观
XCTF国际联赛的成功离不开主要承办方赛宁网安的支持,作为赛宁网安的创始人之一,诸葛建伟博士表示,人才的培养首先与校方的配合是不可分割的。传统的IT角色,如程序员、架构师、产品经理等就像是网络空间中的工人、工程师、设计师,是网络空间的建造者。而网络安全人才则更像是网络空间中的战士、警察、消防队员,是网络空间的维护者。因此网络安全人才的培养不能完全按照传统IT人才的路线。网络安全人才对计算机、网络知识的基础必不可少,但是需要尽早在大一、大二阶段,就发掘有天赋和独特逆向思维的学生,进行网络安全方面的培养。

但是,由于原本网络安全人才的匮乏,以及各高校的积淀都不同,网络安全的教育资源参差不齐,这就需要一些适合各阶段人才学习的工具加以弥补。赛宁网安CEO谢峥表示,赛宁网安能够将XCTF国际联赛比赛过程中积累的内容和经验沉淀为靶场、教学课程等产品,为高校提供攻防教学环境以及课程。并且,赛宁网安利用自己的经验和资源,还能够帮助高校举行自身相关的网络安全攻防赛事,弥补部分高校在教学资源与经验上的短板。同时,谢峥还指出,在国家层面对网络安全施行“三化六防”的战略指引下,赛宁网安加大了在实战化靶场与相关配套支撑产品的投入,全力支撑国家战略,全力帮助网络安全从业者以及爱好者更好体现自身的价值。

除了教育层面的支持,在就业侧,网络安全人才最终需要到企业、研究机构等组织的岗位上发挥自己的所长。赛宁网安通过“XMan冬/夏令营”、已经累计培养了超过600名网络安全优秀学员,在国内高校以及海外市场产生了巨大影响力。这些学员毕业后,除了活跃在CTF的赛场上,更多的则加入了华为、阿里巴巴、腾讯、字节跳动等通信及互联网龙头企业,或者奇安信、安恒等国内顶尖网络安全行业公司,真正将自己的技术转化为守护国家和人民安全的保障能力。

在战队生态维护中,赛宁网安始终坚持爱才护才的人才策略。在今年的第六届XCTF国际联赛总决赛颁奖典礼上,赛宁网安向正在和病魔做斗争的XCTF国际联赛合作战队的成员Decade捐献出爱心基金,以实际行动表达了赛宁网安对网络安全人才的珍惜与关注。然而,安全人才的培养与发展,仅靠赛宁网安是不够的,正如XCTF中X的含义,需要联合各方力量,才能将网络安全人才培养的使命贯彻始终。

网络强国离不开网络安全,守护网络安全离不开国家的支持。今年的第六届XCTF国际联赛总决赛在嘉兴举办,这得到了嘉兴市网信办的支持密不可分。政府,尤其是当地政府的重视,能够进一步提升当地学生对网络安全技术的学习热情,从而能够更大概率发现具有潜力的网络安全人才。赛宁网安也希望能够在未来,得到更多来自社会各界的支持,将网络安全人才的发掘、培养与就业扩展到全国各地。


数世点评

赛宁网安的发展路线在国内网络安全公司当中是独树一帜的,早期就有一流CTF战队的积累,然后将CTF的概念引入国内,再举办国内第一个,甚至多年是唯一的CTF联赛制度的比赛。将多年的竞赛与攻防经验沉淀,开发出自己特色的靶场产品。同时将靶场中应用的仿真技术与攻防经验进一步结合,落地了蜜罐诱捕解决方案。这一系列的发展都离不开赛宁网安对网络安全攻防人才培养的经验积累,以及对网络攻防本身的沉淀。

网络安全不仅仅是靠解决方案,靠产品就能实现,最终还是需要“人”来落地。因此,人才的培养也是我们国家网络安全发展的重要组成。XCTF(国际网络攻防联赛)一直以来都具有半公益的性质,技术平台以及大部分比赛奖金由赛宁网安承担,我们需要更多像赛宁网安这样的企业,投身在网络安全人才培养的前线。

我们也需要社会各方,包括高校、民间组织、企业、政府的支持与帮助,“有钱的捧个钱场,没钱的捧个人场”,发挥自身的行业优势,贡献自身的资源价值,才能将网络人才培养的效果相乘,实现“X”的最大化效果与影响,培养出真正符合新时代国家安全要求的强网人才。

筚路蓝缕创伟业,初心不忘再起航。在中国共产党波澜壮阔的百年历程之后,网安人秉承着新时代的国家总体安全观,在党的带领下,必将佩戴上属于我们的“七一勋章”!


知识来源: https://mp.weixin.qq.com/s?__biz=MjM5NDU3MjExNw==&mid=2247494057&idx=1&sn=42ec3a3abdc4ea606eb0c3d9bd7d752e

阅读:249129 | 评论:0 | 标签:CTF

想收藏或者和大家分享这篇好文章→复制链接地址

“宝剑锋从磨砺出-XCTF国际联赛的人才培养经”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

🙇🧎¥由自富财,长成起一↓

标签云 ☁