【XCTF2016】发掘藏于民间的顶尖网络安全人才



编者按

7月16日,北京国际会议中心,XCTF国际联赛总决赛在此火热上演。大赛由中国互联网发展基金会、教育部高等学校信息安全专业教学指导委员会指导,国家创新与发展战略研究会、网络空间安全人才发展基金(筹)联合主办,南京赛宁总体承办,蓝莲花战队命题组织。

此次国际联赛历时半年多,从2015年11月开始,经过五站国际选拔赛、三站国内赛PK,来自全球84个国家和地区的近2000支国际战队和全国1700多支队伍同场竞技。这些队伍大多来自国内外的高校、网络科研机构以及企业,最终,2015年世界排名前10的五大CTF战队,以及中国大陆排名前10的十支战队进入总决赛,争夺首个国际联赛的总冠军头衔。

7月17日下午,XCTF 2016国际联赛总决赛在经过两天的激烈交战后落下帷幕。来自韩国的CyKor战队拿下本届联赛的总冠军,并赢取20000美元奖金。来自俄罗斯的LC↯BC战队取得总决赛亚军,上海交通大学的0ops团队获得季军。此外,台湾大学217战队、台湾科技大学Forx、FlappyPig、复旦大学六星、Nu1L分别位列四至八名。

“以赛促建,以赛促学,XCTF比赛,是希望发现更多民间的网络安全攻防高手,让更多的网络安全人才有一个展示才华的平台。” XCTF联赛共同发起人与执行组织者诸葛建伟说。

赛事阵容强大,汇聚国际明星

星光闪耀的XCTF总决赛,对于选手们来说,这一天已经期待很久了,因为在这个巅峰对决的现场,他们可以近距离与高手过招。“武林大会”的高规格出场“配置”究竟有多高?让我们一起来围观。

本届XCTF总决赛的国际顶级战队阵容可谓空前强大:世界排名前10的五大CTF战队,以及中国大陆最强的十支战队集体亮相。排名前10的五大CTF战队在国际上过关斩将,可谓战功赫赫,来自韩国大学的CyKor战队,俄罗斯的LC↯BC战队、中国上海交大的0ops战队、中国台湾大学的217战队……每一支队参与的国际比赛不下五十场。

越来越多网络安全爱好者跃跃欲试,而对于“老一辈”的江湖们来说,眼界不再是局限于切磋和观看比赛输赢时的愉悦,而是期待着在这赛事结束后,又能够“挖掘”出更多网络安全新生后辈力量。

对于“手艺的传承”紧迫感,并不是杞人忧天,人才是网络安全第一资源,当下我国网络安全形势不容乐观。据统计,2015年网页仿冒、拒绝服务攻击等呈现增长态势,党政机关、科研机构和重要行业单位网站成为攻击的重点目标。“互联网+”安全不仅仅是计算机网络安全,而是大众生存空间线上线下综合安全问题,培养更多网络安全人才已经上升成为国家意志。所以,XCTF联赛模式,并不仅仅是一场切磋手艺的比赛,而是承载着人才培养的重任——未来将为中国网络安全人才提供输出平台,促进国际先进网络安全技术、人才引进,协助高校、企业、科研机构建立更加科学的网络安全人才培养体系。

展示才华,选手找到自己的归属

能吸引高手云集,原因是多方面的。首先,收益不错。以近几年崛起的明星战队PPP(PLAID PARLIAMENT OF PWNING)为例,这支队伍来自美国CMU(卡内基梅隆大学),队内有Geohot神奇小子和Ricky两位国际最高水平黑客作为双子领军,被XCTF联赛共同发起人与执行组织者诸葛建伟称为超强战队。作为最杰出的CTF参与团队之一,PPP每年能够拿下5000到65000美元不等的奖金收入。

其次,CTF竞赛帮助学生们扩展了自己的非正统技能储备。比如,他们能够通过CTF竞赛了解并掌握多达20种漏洞利用技能。学校不会指导学生如何攻击计时信息、错误信息或者在加密类中填充指示标记,但在竞赛中掌握的这些知识将最终帮助这群年轻人击败未接受过类似训练的软件开发者。而这些技能在市场上拥有旺盛的需求。“我们的团队会从各国防承包商、苹果、Facebook、谷歌以及领英等厂商处收到群组邮件。”PPP前队长、现任队员Tyler Nighswander在采访中指出。

而且,CTF竞赛让参与者们迎来了远超课堂的广泛施展才华的平台。作为一位新生,该团队队长Ned Williamson的一项家庭作业要求其编写一套模拟其他计算机系统的仿真器。“在接触CTF竞赛之前,我一直觉得为了解决某项问题编写一套完整的仿真器简直就是天方夜谭,”他指出,“但现在我发现自己已经习惯了这种原本看似极为困难的解决方案。”

一将难求,企业发现人才的最佳场所

当前网络安全行业的火热,与实用人才的供给不足形成了强烈的反差。网络安全顶尖人才一将难求的局面已成为行业常态。虽然国家在学科建设上已经进行了针对性的改革,但落实到多年的教育培养体制,还有待各高校结合自身特色进一步发展创新。

那么在比赛中脱颖而出的选手,无疑是对自身实战能力的一个最好证明,最能满足行业对人才的迫切需求。网络安全企业对比赛的兴趣也越来越浓厚,不仅积极赞助大型赛事,自身也举办各种类型的选拔赛和特训营。此次XCTF联赛就得到了包括“BAT3”在内的众多互联网企业的赞助。

比赛不仅成为企业发现精英好手的一个途径,众多参与团队在此也开阔了眼界,得到了难得的实战历练。更进一步来看,整个安全行业通过大大小小的比赛,高校、企业、民间组织之间的互动性大大增强,比赛成为了当前安全人才发现和培养的一个有效途径,而且带动了更多人群对网络安全的兴趣。

同时,比赛期间,来自百度、阿里巴巴、腾讯、360、启明星辰、中国科学院、清华大学、北京大学、复旦大学、北京航空航天大学等国内知名企业和高校的安全行业专家还出席了XCTF联赛网络安全高峰论坛、InforSec学术论坛等活动,掀起一场有关网络安全行业状况及人才培养的讨论新浪潮。

在XCTF联赛网络安全高峰论坛上,教育部高等学校信息安全类专业教学指导委员会秘书长封化民认为,通过XCTF联赛和CTF赛制,有效普及了网络安全知识,建立了一个高手竞技和展示技能的平台,也希望未来更多企业能深度参与网络安全人才的培养,构建一个校企沟通的平台。

阿里安全副总裁杜跃进则提出,XCTF联赛未来要更贴近真实对抗环境,能从事件响应变为威胁应对,从业务安全变为风险控制,在贴紧业务、复杂场景、对抗演练方面进一步提升。360副总裁谭晓生更关注CTF赛事选手的未来职业规划,他认为面对安全人才缺口问题,需要网络空间所有企业和从业者联手来解决。腾讯北京分公司总经理刘勇表示,腾讯通过赞助XCTF联赛,正是为了加大基础人才培养力度,为更多年轻安全人才提供实战、高校合作、工作的机会,加强网络安全人才与互联网企业的连接。

通过XCTF联赛涌现出来的优秀选手是互联网企业亟需的网络安全人才,XCTF联赛正在成为连接网络安全人才与企业的“桥梁”。

但诸葛建伟也表示,我们需要一种可持续发展的赛事组织和队伍培养机制。目前,政府部门、教育机构对CTF对抗竞技赛的重视与支持力度还不够,仅靠民间力量构建健康可持续发展的赛事机制非常困难,急需国家力量加入,共同推动网络空间安全人才选拔与培养体系建设。

强手如云,培养高手中的高手

第二届XCTF联赛在首届成功举办基础上,进一步升级为“一带一路”国际联赛,将中国网络安全竞赛国际化,吸引国际强队参与其中,促进国内外网络安全技术交流,提高我国网络安全人员实战水平。

美国传统强队Shellphish实力自不用说,而韩国大学的CyKor战队也是引人注目的强队,去年全球总决赛上击败美国队伍夺冠的是来自韩国的DEFKOR战队,而本次来京参赛的CyKor正是DEFKOR中由韩国大学学生组成的最强分组,也是韩国“天才神童”Lokihardt最早加入的团队。

第二届XCTF联赛上海站0CTF上杀出的一匹黑马——俄罗斯顶尖战队LC↯BC,击败美国PPP、Shellphish战队夺冠。

乌克兰Dcua战队目前在CTFTIME排行榜位列世界第一,获得了ASIS CTF、Volga CTF、Sharif University CTF等多个线上CTF赛冠军。

此次参赛的多支“劲旅”均与XCTF联赛联系密切,中国台湾大学217战队是首届XCTF联赛的卫冕冠军,俄罗斯LC↯BC战队曾夺得XCTF联赛上海站的冠军,并由此获得直通的资格,乌克兰Dcua和美国Shellphish在选拔赛阶段也曾不远万里来到比赛现场。

强手如云在前,对所有参与的人来说,都将是难能可贵的经历。上海交通大学0ops战队作为XCTF联赛传统强队,世界排名曾高居第三,成功举办中国大陆首次入围直通选拔赛的比赛——上海站0CTF。新秀战队不断涌现,众多优秀战队取得突破性进步,这是一次网络安全技术水平的巅峰较量。

其实,对于组织者而言,“一带一路”、吸引国外强队参与其中,这一步的努力,并不是一个简单的冲动或迎合潮流,而是考虑到人才培养的方向,深思熟虑后决定主动迎接的挑战。

作为大赛的主要发起人和组织者,清华大学副研究员诸葛建伟博士介绍了将CTF赛制引入中国的缘由,2010年清华大学网络与信息安全实验室组建了蓝莲花(Blue-Lotus)战队,征战国际赛场,在2013年以全球第四名的成绩,成为(网络安全领域“世界杯”)中国首支入围队伍,2014年、2015年又连续入围并取得世界第五名的优秀成绩。在此过程中,他发现,中国大陆的从业人员在攻防竞赛经验和临场应变能力上还存在差距。为此,蓝莲花创始团队选择南京作为首次大赛举办地,将国际流行的现场攻防模式夺旗赛引入中国,让国内更多网络安全技术爱好者能够体验这种赛制,并从中得到学习网络安全实战技能的经验和能力。近几年来,包括上海交通大学0ops团队、复旦大学六星战队等多家团队活跃于国际赛场,并取得了不俗的成绩。

以赛促学、以赛促建,是近几年网络安全人才培养的一个重要途径。当前,网络空间安全已经上升为国家的战略,得到前所未有的重视。2015年,国家批准成立了“网络空间安全”一级学科,并且批准了首批29所大学网络空间安全专业的博士点,一级学科的成立对于安全行业发展将有很大的促进作用。从事互联网技术及相关研究,了解网络空间安全的特征很重要,攻击与防范的对抗渗透在网络安全各个研究课题之中,系统化的学术研究方法及扎实的防范能力,也是网络安全人才培养的重要方向。

2016年7月中央六部委联合印发《关于加强网络安全学科建设和人才培养的意见》,旨在创新我国网络安全人才培养机制,推动高等院校与企业合作育人、协同创新,完善网络安全人才培养配套措施。《意见》提出网络安全学科建设和人才培养的极端重要性,要“聚天下英才而用之”,加大对网安人才的支持。

网络空间的竞争,归根结底是人才竞争。从总体上看,我国网络安全人才还存在较大数量缺口。“全球信息化及网络化快速发展,未来网络安全问题将不再局限于一个国家或地区,这将对我国网络安全人才建设不断提出新的要求与挑战。”国家973青年项目首席科学家、复旦大学杨珉教授在InforSec学术专场上表示。

中国网络安全学科建设刚刚起步,人才数量、能力素质、人才结构等方面与国际水平还有差距,与维护国家网络安全、建设网络强国的要求不相适应。中国网络安全学科建设,迫切需要加大投入力度,完备网络安全学科专业建设和人才培养。

杨珉教授认为,XCTF国际联赛是目前网络安全科研机构、一流高校学府及最前沿互联网公司合作育人、协同创新,完善网络安全人才培养的一个成功尝试,他同时希望未来有更多的平台诞生,共同为培养比肩国际水平的网络安全人才贡献力量。

(文/陶春  傅宇凡  诸葛建伟)


(0)

相关推荐

  • 真实的CTF被韩商言玩坏了,CTF高手们有话说

    耳机?电竞座椅?炫酷的队服?精心打理的发型?坚毅的眼神?这都不属于CTF! 谁说一个CTF选手最好的黄金年龄就只有六年,难道是因为六年后就秃了? 这部剧最不合理的地方在于,CTF选手居然有头发,还搞过 ...

  • 这些CTF,不仅学技术,还有巨额奖金!

    不会吧,不会吧,不会还有安全er不知道CTF是什么吧? 哈哈,跟大家开个玩笑. 金庸武侠小说中,武林高手要么举办华山论剑,要么召开武林大会,通过这些盛会和比赛来切磋武力值. 在程序员的世界里,也有AC ...

  • 我是阿里巴巴第2689**号员工

    浅友们好~我是史中,我的日常生活是开撩五湖四海的科技大牛,我会尝试各种姿势,把他们的无边脑洞和温情故事讲给你听.如果你想和我做朋友,不妨加微信(shizhongmax). 我是阿里巴巴第2689**号 ...

  • 太壮观!藏于民间的石牌坊和碑亭,见证家族荣耀,外人都不知道

    国庆节山西游历的时候,又发现了好多好东西,今天就推荐给大家一处重量级的文物古迹吧!在山西省运城市闻喜县的郭家庄村,就是这么一个普通的小村庄,叫人眼前一亮.居然藏着一座石牌坊和在四组碑楼, 真是没有想到 ...

  • 藏在民间的“护肝菜”,隔三差五吃,美味下饭,养肝护肝,肝脏健康了

    天气一冷,我们平常不知道吃啥为好,大鱼大肉天天吃,吃多了也容易上火,今天试一试这道开胃菜--枸杞芽炒鸡蛋.做法特别简单,胃口更好,食疗价值更高,尤其是对于肝脏健康颇为有利.藏在民间的"护肝菜 ...

  • 民间才是中医的沃土!真正的中医一定藏在民间

    在几十年前,我对中医理论一无所知,也没见过中医书.有一天晚我遇见了一位老中医同住一房间,乡下天黑的早,7点多就上床在聊天.我很好奇问他:"中医是怎样学的?"他说学中医没那样容易.我 ...

  • 大英博物馆藏古玉(顶尖精品)

    中国古董教父安思远 家中堪比博物馆 点击下方观看珍贵视频 装饰配件 东周或汉初,公元前3-2世纪:汉,公元前1世纪-1世纪 这个隆起的圆形饰板下有一个青铜镀金底座(1号),上面刻有一条龙及类似老虎的生 ...

  • 我的丹青之路——藏在民间的画家

    陈水平 "冰雪林中著此身,不同桃李混芳尘."今年35岁的陈水平曾和其他人一样,过着幸福的生活,但不幸的是小时候的一次意外,让他失去了行动能力,自小热爱绘画的他并没有被命运击垮,多年 ...

  • 藏于民间的皇家重宝

    藏于民间的皇家重宝 1

  • 说说广东神医陈光耀(高人藏在民间)

    作者:梁汉平 什么是神医?神医就是最高境界的道医和中医,是如扁鹊那样能开棺救人的中医.可叹的是两千多年来这样的神医再也罕见史.志.经.传.这使我深感疑惑,难道神医医术己经失传?有的朋友曾对我说:这或许 ...

  • 曾国藩去世前,李鸿章问他哪些人能堪大用,他说出五个顶尖的人才

    咸丰初年,轰轰烈烈的太平天国农民起义在广西爆发了,很快就席卷了大半个中国.太平天国的起义,农民和地主阶级的战争,直接威胁到封建统治阶级的存亡. 起义虽然启自广西,湖南却是斗争最激烈.最残酷的战场.以曾 ...

  • 网络安全“人才荒”,360培养“净土”守护者

    360网络安全大学在用自己的方式,为网络安全行业输送"守护者". 作者 | 江湖老刘   编辑 | 崛江小编   2019年8月19日至20日,由中国互联网协会.中国网络空间安全协 ...