“现男友”的CTF大赛,现实中不会那么上头

近期,一部电竞题材的电视剧《亲爱的,热爱的》,将甜齁腻人的狗粮与热血青春的网络安全大赛结合在一起,引发一众观众上头式的看剧风潮。随着“现男友”的火出圈,到“CTF竞赛”的频频提及,人们对于CTF更是多了一层好奇。在电视剧中的CTF大赛被描绘成;战斗、团队、高薪、青春等,对于首次接触的人而言,通常会被其所营造的热血氛围所感染,但在现实世界中的网络安全大赛远远没有如此多的光环。

首先就CTF而言,其是Capture The Flag夺旗赛的缩写,起源于1996年的DEFCON全球黑客大会,如今后者也会吸引全球最多的黑客前往。CTF本意指的是西方的一种传统运动,在比赛上竞争双方会互相争夺旗帜,旗帜被夺走意味着失败。在信息安全领域中的CTF,指的是网络安全技术人员之间进行技术竞技的一种比赛形式,通过各种攻击手法,在获取服务器之后寻找指定的字段,或者在文件中的某一固定格式的字段,这个字段被称为flag,提交到裁判机就可以得分。

此外,以前的黑客会发动真实攻击进行比赛,但CTF是将安全攻防变成了游戏化的设定,主要分为解题和攻防两种形式,用来综合考验黑客战队的技术和策略。同时较为知名的网络安全大赛,还有创办于1997年于阿拉斯加举办的黑帽子大会(Black Hat Conference),其被公认为世界信息安全行业的最高盛会,也是最具技术性的信息安全会议。

关于CTF中的解题模式,这是对于 Web安全而言,这会要求参赛人员入侵网站或者靶机,攻击成功后系统会显示flag或者在某个目录、文件、数据库寻找 Flag,从而提交到答题系统得分。但目前此类模式注重出题难、出题偏,没有考虑实际,且只有攻击模式,却没有防守模式,如此AWD 攻防赛模式就应运而生。

攻防赛,也被称为 AWD(Attack With Defense,攻防兼备)模式,参赛者被分为攻击方和防守方。作为攻击方时,攻击别人的靶机获取Flag分数时,别人会被扣分,且要进行防守避免被攻击失分。由于CTF中有一血之说,谁第一个提交Flag能获得分数加成。

由于CTF大赛非常接近现实中的网络安全攻防,也因此被国际安全圈普遍认为,可以走位培养安全人才的重要方式。如今从国外到国内,CTF赛事已经成为一种趋势,逐渐吸引到企业的目光,例如2017年腾讯发起的信息安全争霸赛(TCTF),成为DEFCON CTF在中国大陆第一个授权的外卡赛。如今互联网技术的推广,拓宽人们认识世界的渠道,就拿个人的隐私信息来看,时刻有被泄露造成损失的风险,更不必说会对企业造成的巨大损失。

因此网络安全和竞赛的核心价值,其一在于帮助互联网企业提升安全能力,例如对于软件或平台上可能存在的技术漏洞,及时的排查避免后期的损失。其二可以培养出网络安全人才,由于比赛中设置的奖金激励机制,以及企业摆出高薪伸出的橄榄枝,能够吸引更多的人进入网络安全行业。其三,企业通过举办CTF赛事,可以有效的展示自身产品和技术外,对于自身也是一次有效的宣传。

尽管网络安全竞赛火爆也优势明显,但黑客竞技与公众安全之间的界限模糊,观众对于网络安全漏洞的危害没有具体的清晰认知,此外黑客们轻易攻占摄像头、入侵手机、获取个人隐私,也容易引发大众的恐慌心理。因此不管是网络安全大赛,还是网络安全人才还要经过实际环境和时间的沉淀。

喜欢润界本地化,请多多支持!

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190820A0E5QU00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券