这场长达32小时的鏖战意味什么?网安大咖解读巅峰极客大赛
听全文约7分钟
“广诚市电视台”(广诚市指提前设定的虚拟城市名字)2分钟亮红,被GEEKPIE极客团队攻陷,开赛4小时,积分榜上的第一名换了四次名字,这场时长32小时的比赛没有预热,从一开始就进入了白热化阶段。
打开百度APP畅享高清图片
▲巅峰极客大赛现场
中国计算机学会计算机安全专业委员会主任严明在比赛开始时走进赛场,凑近选手面前不断切换的屏幕,观察他们的操作。走出热闹的赛场,严明和比赛设计方北京永信至诚科技股份有限公司董事长蔡晶晶,理性地给记者分析了这场大赛的亮点与意义。“巅峰极客,名副其实。”严明给出了极高的评价,因了解、参与过多次网络安全大赛,他认为这场比赛在广泛性、水平和比赛形式上都是最新颖、最高水平的。
选手水平高参赛者“万里选百”
开赛2分钟找到系统漏洞并攻破
走出赛场,严明一直和蔡晶晶感叹--比赛才开始2分钟,他们就找到漏洞攻破了。
“这说明我们走到决赛的选手真的是很厉害的。”严明告诉记者,今天出现在现场的红方队伍,是从3263支战队中脱颖而出的。“报名参赛人数有1万多人,现在进决赛的有24支,加上6支特邀队伍一共100多人,真的是万里选百。”
▲中国计算机学会计算机安全专业委员会主任严明
记者了解到,这些队伍有的来自国家关键信息基础设施单位、自主可控厂商,有的是互联网企业、渗透测试团队,还有些来自知名院校,其中还包括131支国内知名的企业战队、7所一流的网安学院建设示范项目所在高校的24支战队。
永信至诚的CTO(首席技术官)张凯,从早上开赛到下午一直盯着后台各团队的积分曲线。“第一名不停地在换,竞争很激烈。”他告诉记者,参赛团队各自拥有自己的一套战术风格--比如都爬升到过第一名的企业战队"GEEKPIE"和湖南省电力有限公司电力科学研究院战队“剁椒鱼头”。“GEEKPIE一直在做内网渗透,试图‘拿大分’,剁椒鱼头团队则是发现了大量存在的小得分点,选择了‘积小分’。”
“战术没有对错,都非常厉害。”张凯表示,这次大赛的精彩程度超乎了他的想象。
比赛形式新颖
首次将虚拟城市“靶场”
极客们“制造”城市网络安全危机
“你们可以看到,现场大屏幕上有一个虚拟的城市,道路、桥梁、河流,各个城市必要的机构和设施都在上面。”严明指出,把以“城市”为原型构建出的虚拟城市攻防平台作为比赛“靶场”,这是国内第一次。他认为这样设计的好处,是在各个城市都在建设“智慧城市”之际,能充分体现“智慧城市”在网络安全上所面临的风险和应该采取的措施两方面的问题。
▲巅峰极客大赛现场
作为这个虚拟城市的设计方,蔡晶晶进一步点明了这个比赛的亮点。在30支极客队伍扮演“黑客”、“制造”城市网络安全危机的同时,虚拟城市中还构建了防御、交通系统、电力系统、医院系统、网民、媒体等7个角色,由不参与决赛的14个特邀团队扮演,形成一个“网民+基础服务+服务”组成的系统。“这些不同维度的角色持续地进行攻防对抗,就像是一个乐队,这样的组合更比以前单一的拔旗赛更接近于真实,对选手之间能力的配合和互补提出了更高的要求。”
蔡晶晶表示,过去很多安全方案的有效性推论都是在理论层面,没有真实测试。“但没有十万发子弹训练不出神枪手,飞行员训练、民航调度系统,真实系统背后都有一套虚拟的系统,对于城市网络安全来说,这就是‘靶场’的意义。”他告诉记者,此次的“靶场”里设置了150个已知漏洞即历史上发生过的严重漏洞,还有200到300个未知漏洞。“挖掘到什么程度,32小时之后见分晓。”
推动行业发展
首次将自主可控共测与CTF竞赛关联起来
让最优秀的“极客”测试软件系统安全性
蔡晶晶表示,网络安全大赛迈过以理论为主的1.0时代和攻防兼备的2.0时代,目前正在进入“靶场”3.0时代。“经历完人才选拔的时代后,我们更希望通过一场演习的赛事,能够推动产业、关键基础设施,包括能源、交通、电视台等的防御能力,系统建设者的能力提升。”
“所以这次,我们把自主可控共测和比赛关联起来。”蔡晶晶告诉记者,“自主可控战略”在提升国家网络安全能力中具有极为重要的意义,所谓“自主可控”,就是依靠自身研发设计,全面掌握产品核心技术,实现信息系统从硬件到软件的自主研发、生产、升级、维护的全程可控。“我们这次参赛队伍,正在对我国自主可控软件和系统进行测试。”
他认为,用一句话来解释这件事的意义,就是“让错发生在靶场”。“自主可控的软件、系统是否安全,那我们把它搭设到广诚市这个系统里,让最优秀的技术精英、黑客、安全防御者、厂商看一下能力到底怎么样。”蔡晶晶说,输赢结果不重要,重要的是经历这一次演习以后,能力有实质提高。经历几次迭代发展,未来赛事推动,不止是人才的推动,而是对于现实物理环境网络安全能力的提升。
成都商报记者尹沁彤实习记者郑鑫实习生张鑫蕾
实习编辑刘宇鹏