“现男友”的CTF大赛，现实中不会那么上头

近期，一部电竞题材的电视剧《亲爱的，热爱的》，将甜齁腻人的狗粮与热血青春的网络安全大赛结合在一起，引发一众观众上头式的看剧风潮。随着“现男友”的火出圈，到“CTF竞赛”的频频提及，人们对于CTF更是多了一层好奇。在电视剧中的CTF大赛被描绘成；战斗、团队、高薪、青春等，对于首次接触的人而言，通常会被其所营造的热血氛围所感染，但在现实世界中的网络安全大赛远远没有如此多的光环。

首先就CTF而言，其是Capture The Flag夺旗赛的缩写，起源于1996年的DEFCON全球黑客大会，如今后者也会吸引全球最多的黑客前往。CTF本意指的是西方的一种传统运动，在比赛上竞争双方会互相争夺旗帜，旗帜被夺走意味着失败。在信息安全领域中的CTF，指的是网络安全技术人员之间进行技术竞技的一种比赛形式，通过各种攻击手法，在获取服务器之后寻找指定的字段，或者在文件中的某一固定格式的字段，这个字段被称为flag，提交到裁判机就可以得分。

此外，以前的黑客会发动真实攻击进行比赛，但CTF是将安全攻防变成了游戏化的设定，主要分为解题和攻防两种形式，用来综合考验黑客战队的技术和策略。同时较为知名的网络安全大赛，还有创办于1997年于阿拉斯加举办的黑帽子大会（Black Hat Conference），其被公认为世界信息安全行业的最高盛会，也是最具技术性的信息安全会议。

关于CTF中的解题模式，这是对于 Web安全而言，这会要求参赛人员入侵网站或者靶机，攻击成功后系统会显示flag或者在某个目录、文件、数据库寻找 Flag，从而提交到答题系统得分。但目前此类模式注重出题难、出题偏，没有考虑实际，且只有攻击模式，却没有防守模式，如此AWD 攻防赛模式就应运而生。

攻防赛，也被称为 AWD(Attack With Defense，攻防兼备)模式，参赛者被分为攻击方和防守方。作为攻击方时，攻击别人的靶机获取Flag分数时，别人会被扣分，且要进行防守避免被攻击失分。由于CTF中有一血之说，谁第一个提交Flag能获得分数加成。

由于CTF大赛非常接近现实中的网络安全攻防，也因此被国际安全圈普遍认为，可以走位培养安全人才的重要方式。如今从国外到国内，CTF赛事已经成为一种趋势，逐渐吸引到企业的目光，例如2017年腾讯发起的信息安全争霸赛(TCTF)，成为DEFCON CTF在中国大陆第一个授权的外卡赛。如今互联网技术的推广，拓宽人们认识世界的渠道，就拿个人的隐私信息来看，时刻有被泄露造成损失的风险，更不必说会对企业造成的巨大损失。

因此网络安全和竞赛的核心价值，其一在于帮助互联网企业提升安全能力，例如对于软件或平台上可能存在的技术漏洞，及时的排查避免后期的损失。其二可以培养出网络安全人才，由于比赛中设置的奖金激励机制，以及企业摆出高薪伸出的橄榄枝，能够吸引更多的人进入网络安全行业。其三，企业通过举办CTF赛事，可以有效的展示自身产品和技术外，对于自身也是一次有效的宣传。

尽管网络安全竞赛火爆也优势明显，但黑客竞技与公众安全之间的界限模糊，观众对于网络安全漏洞的危害没有具体的清晰认知，此外黑客们轻易攻占摄像头、入侵手机、获取个人隐私，也容易引发大众的恐慌心理。因此不管是网络安全大赛，还是网络安全人才还要经过实际环境和时间的沉淀。

喜欢润界本地化，请多多支持！