导语:随着安全攻防技术的发展,CTF竞赛也逐渐演变成为信息安全技术竞赛的一种形式,发展成为全球网络安全圈最流行的一种竞赛模式,其比赛形式与内容拥有浓厚的黑客精神和黑客文化。

 capture-the-flag_hackathon_face-off-100750819-large.jpg

随着安全攻防技术的发展,CTF竞赛也逐渐演变成为信息安全技术竞赛的一种形式,发展成为全球网络安全圈最流行的一种竞赛模式,其比赛形式与内容拥有浓厚的黑客精神和黑客文化。

近年来,CTF比赛的数量与规模发展迅猛,国内外各类高质量的CTF竞赛层出不穷,CTF已经成为了学习提升信息安全技术,展现安全能力和水平的绝佳平台。

什么是CTF?

Capture the flag(简称CTF),中文一般译作“夺旗赛”,指的是通过竞赛的方式教授网络安全技术人员关于真实世界黑客攻击的方法。CTF起源于1996年在拉斯维加斯举办的DEFCON全球黑客大会,最早是交流安全技术的重要途径,发展至今已有20多年的历史,是目前全球最高技术水平和影响力的CTF竞赛。

自此开始,CTF已经逐渐发展成为流行全球的网络安全竞赛形式,并且已经遍布世界大多数城市以及众多在线比赛网站,甚至还有专门为高中学生设计的CTF。

最近,许多企业IT部门也开始组织自己的CTF活动。这些比赛可以呈现出多种形式,不过为了让这种攻防竞赛更具意义,在此之前,您需要先回答以下几个问题,然后再开始制定练习项目,以确保比赛成功举办并达到预算目标。

十大问题

以下内容将帮助企业安全团队成功设计符合自身要求的CTF竞赛项目,它会就“竞赛中应该包含哪些类型的挑战,如何确保比赛顺利进行,以及其他流程方面的问题”给出合理建议。接下来,就让我们了解一下这10个问题的具体内容:

1.你会使用CTF来招募新员工吗?

组织比赛的原因可以有很多,比如对公司管理层进行关于网络威胁的一般教育,或者将比赛用作团队建设练习项目。更有趣的目标之一是发现组织内部或外部新的网络安全人才。例如,美国空军就将CTF竞赛用作自己招募人才的方式。

使用CTF手段招募人才的部分原因是大量的网络安全职位空缺现状。Greg Sparrow是位于乔治亚州德卢斯的Compliance Point公司高级副总裁,曾经帮助过亚特兰大地区举办了多场比赛。他说,

市场对网络安全专业人才的需求已经远远超过其供应量,所以可以将CTF视为聚集从事这类工作技能人员的好方法。

而CTF竞赛之所以能够发挥效用的一个重要原因在于,它可以锻炼员工的实操能力。Sparrow补充道,

我们经常会受限于现实世界中学习到的知识,但实施CTF有助于进行更多的实践学习,而识别和解决网络威胁,仅仅通过书本上的理论学习是远远不够的,CTF竞赛是更接近实际应用场景,而又不会违反相关法律法规的方法。

一位IT经理表示,

我们将CTF竞赛作为内部员工安全意识培训的一种方式。我们将为期两天的活动分为两部分:早上的教育课程,我们花时间教育参会者关于黑客技术的理论知识;下午的课程以小组竞赛的方式进行。我们发现这种活动形式非常有用,因为每位参与者都通过这种方式成长,并成为公司整体安全防御力量的一部分。

2.你的目标锁定在什么年龄段以及经验水平?

如上所述,CTF竞赛适用于所有年龄层的人,即使是高中生也可以。所以,当你设计你的比赛时,需要考虑你的目标受众群(包括观众和参与竞赛者)的年龄层。即便是由自己公司的员工组成的内部比赛也需如此。如果你想吸引公司外部的人参与,你可能还需要制定一些参赛资格来设定预期,并相应地筛选出潜在参与者。

3.你应该雇用商业网络运营机构还是自己组织CTF?

网络模拟平台/网络靶场是由专业安全机构运行的用于进行CTF训练的地方。如果你不想,或没有能力组织属于自己的CTF竞赛,可以考虑使用网络模拟平台进行替代,因为他们已经创建完成了竞赛所需的攻防场景,来帮助参与者了解常见的安全威胁。

当然,这种网络模拟平台如今也十分普遍:例如,Baltimore网络靶场就是使用了专业安全公司Cyberbit开发的平台。先通过网络靶场进行训练,可以让你了解自己的能力并进行查缺补漏,以便在接下来的竞赛中更好地实现目标。不过,缺点在于,这些安全公司构建的通常都是通用场景,不如公司自己构建的场景更具针对性。

4.你想运行什么类型的CTF竞赛?

一般来说,CTF竞赛主要分为两种类型:解题式和红/蓝色对抗式。第一个是不言自明的,就是收集了很多类似于电视测验节目的问题,并按不同类别进行安排。

第二种是更为经典的形式,当然这也是大多数人的想法。比赛分为两个小组,一组负责防御(蓝队)另一组负责攻击(红队)。双方通常会在比赛中轮换,所以每个人都有机会尝试两种角色。

当然,您也可以运行两种类型的混合比赛。不过,可以肯定的是,无论是进行何种类型的训练都一定会让你受益匪浅。

5.你将使用哪些类型的竞赛试题?

大多数CTF会将他们的赛题混合到几个类别中,例如隐写术(Steganography,一门关于信息隐藏的技巧与科学)、密码学、移动操作系统漏洞利用、特定于应用程序的攻击(Web,电子邮件,文件共享)、逆向工程、取证、编程以及渗透测试挑战等等。选择什么类型的问题,取决于你想完成什么目标。

6.你会如何制定奖励、入场费和比赛时长?

在设计比赛时,你需要考虑后勤因素,并确保自己清楚传达了有关奖项设置,以及比赛实际运行时间等问题。每个人都希望通过某种奖励来获取比赛动力,CTF当然也不例外。

7.CTF是否会向公众开放?

一些CTF是真正的公共活动,你必须要前往实际场所,并与其他参赛者坐在一个房间里完成比赛。而有些则仅限于在线活动,你需要的只是一个Web浏览器和一组黑客工具就能够参与竞赛。还有一些会采取“公司专用”或“仅限邀请”的方式进行,并不对外开放。不过,无论形式如何,选择符合自身需求的方式才是最重要的。

8.你会从哪里获取比赛试题?

事先弄清楚这个问题通常是最耗时的任务之一。田冠宇(音译)是圣路易斯Fontbonne大学的计算机科学助理教授。他已经组织过高中级别的CTF竞赛,并招收学生申请他的本科课程。他说,

你必须考虑为参赛者设置有难度的问题,如此才能筛选出真正有竞争力的人才;而且有时候也需要根据参赛者水平设置相匹配的试题,这一过程是非常耗时的。

例如,对于高中级别CTF竞赛中年仅十几岁的参赛者而言,能够在几个小时内解决他设置的大部分问题,他感到十分惊讶。他说,

我们最终需要额外的挑战来保持竞赛继续进行。我们的教师在参加其他比赛方面有很多以往的经验。因此,即使我们知道要提出的问题类型,也仍然需要花费一些努力才能找出与参与者相匹配的问题。

Midwest Cyber Center的执行董事托Tony Bryan曾经为青少年和成人组织过几场CTF竞赛,他同意田冠宇教授的这种看法。他说,

提前了解参赛者的知识水平和兴趣非常重要。此外,当你遇到挑战问题时,你应该为人们设置提示信息。

9.你会使用第三方基础设施还是自己的?

许多新的CTF竞赛组织者经常会忘记的一个方面是,如何对参赛者进行评分,并跟踪每个团队在解决各种挑战方面的进展情况。通常情况下,这些信息会显示在监视器上供参与者在完成每项挑战时查看。您可以DIY、聘请顾问,或使用各种开源解决方案来创建记分牌显示。

Sparrow使用的就是自行开发的数据捕获和报告组件解决方案。一家公司的IT经理表示,

我们的第一个活动是由第三方提供支持,并在我们自己的场地主办的。他们提供服务器、评分系统以及课程材料;我们提供了网络基础设施和笔记本电脑。我们第一次使用第三方来帮助我们弄清楚我们想要的是什么,以此来简化转变流程。在那之后,我们就能够在内部运行自己的CTF并建立自己的评分系统了。

10.对于竞赛所需人员,你会使用外聘人员还是自己的员工?

想要顺利组织一场竞赛活动,你需要各种各样的人参与——从选择场地、部署设备,到为参赛者预定房间,再到评委、裁判以及提供技术支持的专业人员。这些人员可以选择外聘,也可以任用自己公司的员工,或是两者相结合。

例如,Sparrow就是选择使用自己公司的IT安全架构师和渗透测试人员作为教练和活动主持人,而从几个亚特兰大安全社区和IT组织外聘了活动的评委。

源链接

Hacking more

...