【XCTF2016】发掘藏于民间的顶尖网络安全人才
7月16日,北京国际会议中心,XCTF国际联赛总决赛在此火热上演。大赛由中国互联网发展基金会、教育部高等学校信息安全专业教学指导委员会指导,国家创新与发展战略研究会、网络空间安全人才发展基金(筹)联合主办,南京赛宁总体承办,蓝莲花战队命题组织。
此次国际联赛历时半年多,从2015年11月开始,经过五站国际选拔赛、三站国内赛PK,来自全球84个国家和地区的近2000支国际战队和全国1700多支队伍同场竞技。这些队伍大多来自国内外的高校、网络科研机构以及企业,最终,2015年世界排名前10的五大CTF战队,以及中国大陆排名前10的十支战队进入总决赛,争夺首个国际联赛的总冠军头衔。
7月17日下午,XCTF 2016国际联赛总决赛在经过两天的激烈交战后落下帷幕。来自韩国的CyKor战队拿下本届联赛的总冠军,并赢取20000美元奖金。来自俄罗斯的LC↯BC战队取得总决赛亚军,上海交通大学的0ops团队获得季军。此外,台湾大学217战队、台湾科技大学Forx、FlappyPig、复旦大学六星、Nu1L分别位列四至八名。
“以赛促建,以赛促学,XCTF比赛,是希望发现更多民间的网络安全攻防高手,让更多的网络安全人才有一个展示才华的平台。” XCTF联赛共同发起人与执行组织者诸葛建伟说。
星光闪耀的XCTF总决赛,对于选手们来说,这一天已经期待很久了,因为在这个巅峰对决的现场,他们可以近距离与高手过招。“武林大会”的高规格出场“配置”究竟有多高?让我们一起来围观。
本届XCTF总决赛的国际顶级战队阵容可谓空前强大:世界排名前10的五大CTF战队,以及中国大陆最强的十支战队集体亮相。排名前10的五大CTF战队在国际上过关斩将,可谓战功赫赫,来自韩国大学的CyKor战队,俄罗斯的LC↯BC战队、中国上海交大的0ops战队、中国台湾大学的217战队……每一支队参与的国际比赛不下五十场。
越来越多网络安全爱好者跃跃欲试,而对于“老一辈”的江湖们来说,眼界不再是局限于切磋和观看比赛输赢时的愉悦,而是期待着在这赛事结束后,又能够“挖掘”出更多网络安全新生后辈力量。
对于“手艺的传承”紧迫感,并不是杞人忧天,人才是网络安全第一资源,当下我国网络安全形势不容乐观。据统计,2015年网页仿冒、拒绝服务攻击等呈现增长态势,党政机关、科研机构和重要行业单位网站成为攻击的重点目标。“互联网+”安全不仅仅是计算机网络安全,而是大众生存空间线上线下综合安全问题,培养更多网络安全人才已经上升成为国家意志。所以,XCTF联赛模式,并不仅仅是一场切磋手艺的比赛,而是承载着人才培养的重任——未来将为中国网络安全人才提供输出平台,促进国际先进网络安全技术、人才引进,协助高校、企业、科研机构建立更加科学的网络安全人才培养体系。
能吸引高手云集,原因是多方面的。首先,收益不错。以近几年崛起的明星战队PPP(PLAID PARLIAMENT OF PWNING)为例,这支队伍来自美国CMU(卡内基梅隆大学),队内有Geohot神奇小子和Ricky两位国际最高水平黑客作为双子领军,被XCTF联赛共同发起人与执行组织者诸葛建伟称为超强战队。作为最杰出的CTF参与团队之一,PPP每年能够拿下5000到65000美元不等的奖金收入。
其次,CTF竞赛帮助学生们扩展了自己的非正统技能储备。比如,他们能够通过CTF竞赛了解并掌握多达20种漏洞利用技能。学校不会指导学生如何攻击计时信息、错误信息或者在加密类中填充指示标记,但在竞赛中掌握的这些知识将最终帮助这群年轻人击败未接受过类似训练的软件开发者。而这些技能在市场上拥有旺盛的需求。“我们的团队会从各国防承包商、苹果、Facebook、谷歌以及领英等厂商处收到群组邮件。”PPP前队长、现任队员Tyler Nighswander在采访中指出。
而且,CTF竞赛让参与者们迎来了远超课堂的广泛施展才华的平台。作为一位新生,该团队队长Ned Williamson的一项家庭作业要求其编写一套模拟其他计算机系统的仿真器。“在接触CTF竞赛之前,我一直觉得为了解决某项问题编写一套完整的仿真器简直就是天方夜谭,”他指出,“但现在我发现自己已经习惯了这种原本看似极为困难的解决方案。”
当前网络安全行业的火热,与实用人才的供给不足形成了强烈的反差。网络安全顶尖人才一将难求的局面已成为行业常态。虽然国家在学科建设上已经进行了针对性的改革,但落实到多年的教育培养体制,还有待各高校结合自身特色进一步发展创新。
那么在比赛中脱颖而出的选手,无疑是对自身实战能力的一个最好证明,最能满足行业对人才的迫切需求。网络安全企业对比赛的兴趣也越来越浓厚,不仅积极赞助大型赛事,自身也举办各种类型的选拔赛和特训营。此次XCTF联赛就得到了包括“BAT3”在内的众多互联网企业的赞助。
比赛不仅成为企业发现精英好手的一个途径,众多参与团队在此也开阔了眼界,得到了难得的实战历练。更进一步来看,整个安全行业通过大大小小的比赛,高校、企业、民间组织之间的互动性大大增强,比赛成为了当前安全人才发现和培养的一个有效途径,而且带动了更多人群对网络安全的兴趣。
同时,比赛期间,来自百度、阿里巴巴、腾讯、360、启明星辰、中国科学院、清华大学、北京大学、复旦大学、北京航空航天大学等国内知名企业和高校的安全行业专家还出席了XCTF联赛网络安全高峰论坛、InforSec学术论坛等活动,掀起一场有关网络安全行业状况及人才培养的讨论新浪潮。
在XCTF联赛网络安全高峰论坛上,教育部高等学校信息安全类专业教学指导委员会秘书长封化民认为,通过XCTF联赛和CTF赛制,有效普及了网络安全知识,建立了一个高手竞技和展示技能的平台,也希望未来更多企业能深度参与网络安全人才的培养,构建一个校企沟通的平台。
阿里安全副总裁杜跃进则提出,XCTF联赛未来要更贴近真实对抗环境,能从事件响应变为威胁应对,从业务安全变为风险控制,在贴紧业务、复杂场景、对抗演练方面进一步提升。360副总裁谭晓生更关注CTF赛事选手的未来职业规划,他认为面对安全人才缺口问题,需要网络空间所有企业和从业者联手来解决。腾讯北京分公司总经理刘勇表示,腾讯通过赞助XCTF联赛,正是为了加大基础人才培养力度,为更多年轻安全人才提供实战、高校合作、工作的机会,加强网络安全人才与互联网企业的连接。
通过XCTF联赛涌现出来的优秀选手是互联网企业亟需的网络安全人才,XCTF联赛正在成为连接网络安全人才与企业的“桥梁”。
但诸葛建伟也表示,我们需要一种可持续发展的赛事组织和队伍培养机制。目前,政府部门、教育机构对CTF对抗竞技赛的重视与支持力度还不够,仅靠民间力量构建健康可持续发展的赛事机制非常困难,急需国家力量加入,共同推动网络空间安全人才选拔与培养体系建设。
第二届XCTF联赛在首届成功举办基础上,进一步升级为“一带一路”国际联赛,将中国网络安全竞赛国际化,吸引国际强队参与其中,促进国内外网络安全技术交流,提高我国网络安全人员实战水平。
美国传统强队Shellphish实力自不用说,而韩国大学的CyKor战队也是引人注目的强队,去年全球总决赛上击败美国队伍夺冠的是来自韩国的DEFKOR战队,而本次来京参赛的CyKor正是DEFKOR中由韩国大学学生组成的最强分组,也是韩国“天才神童”Lokihardt最早加入的团队。
第二届XCTF联赛上海站0CTF上杀出的一匹黑马——俄罗斯顶尖战队LC↯BC,击败美国PPP、Shellphish战队夺冠。
乌克兰Dcua战队目前在CTFTIME排行榜位列世界第一,获得了ASIS CTF、Volga CTF、Sharif University CTF等多个线上CTF赛冠军。
此次参赛的多支“劲旅”均与XCTF联赛联系密切,中国台湾大学217战队是首届XCTF联赛的卫冕冠军,俄罗斯LC↯BC战队曾夺得XCTF联赛上海站的冠军,并由此获得直通的资格,乌克兰Dcua和美国Shellphish在选拔赛阶段也曾不远万里来到比赛现场。
强手如云在前,对所有参与的人来说,都将是难能可贵的经历。上海交通大学0ops战队作为XCTF联赛传统强队,世界排名曾高居第三,成功举办中国大陆首次入围直通选拔赛的比赛——上海站0CTF。新秀战队不断涌现,众多优秀战队取得突破性进步,这是一次网络安全技术水平的巅峰较量。
其实,对于组织者而言,“一带一路”、吸引国外强队参与其中,这一步的努力,并不是一个简单的冲动或迎合潮流,而是考虑到人才培养的方向,深思熟虑后决定主动迎接的挑战。
作为大赛的主要发起人和组织者,清华大学副研究员诸葛建伟博士介绍了将CTF赛制引入中国的缘由,2010年清华大学网络与信息安全实验室组建了蓝莲花(Blue-Lotus)战队,征战国际赛场,在2013年以全球第四名的成绩,成为(网络安全领域“世界杯”)中国首支入围队伍,2014年、2015年又连续入围并取得世界第五名的优秀成绩。在此过程中,他发现,中国大陆的从业人员在攻防竞赛经验和临场应变能力上还存在差距。为此,蓝莲花创始团队选择南京作为首次大赛举办地,将国际流行的现场攻防模式夺旗赛引入中国,让国内更多网络安全技术爱好者能够体验这种赛制,并从中得到学习网络安全实战技能的经验和能力。近几年来,包括上海交通大学0ops团队、复旦大学六星战队等多家团队活跃于国际赛场,并取得了不俗的成绩。
以赛促学、以赛促建,是近几年网络安全人才培养的一个重要途径。当前,网络空间安全已经上升为国家的战略,得到前所未有的重视。2015年,国家批准成立了“网络空间安全”一级学科,并且批准了首批29所大学网络空间安全专业的博士点,一级学科的成立对于安全行业发展将有很大的促进作用。从事互联网技术及相关研究,了解网络空间安全的特征很重要,攻击与防范的对抗渗透在网络安全各个研究课题之中,系统化的学术研究方法及扎实的防范能力,也是网络安全人才培养的重要方向。
2016年7月中央六部委联合印发《关于加强网络安全学科建设和人才培养的意见》,旨在创新我国网络安全人才培养机制,推动高等院校与企业合作育人、协同创新,完善网络安全人才培养配套措施。《意见》提出网络安全学科建设和人才培养的极端重要性,要“聚天下英才而用之”,加大对网安人才的支持。
网络空间的竞争,归根结底是人才竞争。从总体上看,我国网络安全人才还存在较大数量缺口。“全球信息化及网络化快速发展,未来网络安全问题将不再局限于一个国家或地区,这将对我国网络安全人才建设不断提出新的要求与挑战。”国家973青年项目首席科学家、复旦大学杨珉教授在InforSec学术专场上表示。
中国网络安全学科建设刚刚起步,人才数量、能力素质、人才结构等方面与国际水平还有差距,与维护国家网络安全、建设网络强国的要求不相适应。中国网络安全学科建设,迫切需要加大投入力度,完备网络安全学科专业建设和人才培养。
杨珉教授认为,XCTF国际联赛是目前网络安全科研机构、一流高校学府及最前沿互联网公司合作育人、协同创新,完善网络安全人才培养的一个成功尝试,他同时希望未来有更多的平台诞生,共同为培养比肩国际水平的网络安全人才贡献力量。
(文/陶春 傅宇凡 诸葛建伟)