從 “巔峰極客”挑戰賽看網路安全競賽平臺的進化
國內網路安全行業的國家級年度重要活動,2018年國家網路安全宣傳週,於本週在成都舉行。作為宣傳週的重頭戲,“巔峰極客”網路安全技能挑戰賽吸引了業內眾多安全企業和技術人員的極大關注。
“巔峰極客”挑戰賽比賽現場
本次決賽現場的24支攻方隊伍從3千多支預選賽隊伍,1萬參賽選手中脫穎而出,規模之大、能力之強,以及比賽的規格之高都是前所未有。最終,國內知名滲透測試團隊無糖資訊組建的4webdogs獲得冠軍!值得關注的是,由成都公安網警組建的黑貓警長隊獲得亞軍。攻擊方的冠亞軍都被本地隊伍拿到,從攻防技術的層面上反應出成都這座現代化、資訊化城市的安全實力之強。
三大亮點:模擬、直觀化和角色聯動
作為安全領域的觀察者,安全牛最關心的還是比賽平臺或靶場的質量、適用場景,以及如何能更好的滿足政企使用者的演練需求。據現場瞭解,本次的比賽平臺,由國內在攻防演練方面具有豐富經驗積累的安全公司永信至誠提供,首創國內城市級網路空間模擬靶場。下面我們來看一下這個靶場的亮點所在。
1. 模擬程度
在數十臺物理服務機的上百個虛擬機器中,構建了包括銀行、電信、媒體、航空、製造、醫院、教育等關鍵基礎設施平臺,以及大量的中小企業網站和普通網民的上網裝置等上千個網路節點,仿造現實中的網路環境,模擬出一座稱之為“廣誠”的城市。在32小時的“黑客圍城”中,廣誠市被攻擊導致崩潰了9次。
2. 直觀化
不同於以往各種網路安全競賽的,顯示流量跑來跑去的“地圖炮”,本次比賽的大螢幕直接把城市的地貌顯示出來,並用顏色、數值,把城市各個關鍵基礎設施的安全狀況、威脅態勢,以及處置情況等直觀的表現出來。即使是不懂安全技術的管理人員,也能清楚的看懂目前城市處於什麼樣的風險等級,正在發生什麼樣的攻擊,做了哪些防護工作等等。
左上為早期的攻防比賽螢幕;右上為廣誠市鳥瞰;左下為IT安全;右下為城市攻擊態勢
3. 非常接地氣的角色聯動
在一場網路安全競賽中,竟然不是隻有攻防雙方(惡意黑客和IT安全人員),還包括執法方(公安網監)、業務系統方(基礎設施運營人員、第三方供應商)、公民大眾(中小企業網站及普通網民),以及比賽監管維護方(裁判方和靶場系統運維小組),共8種角色,大家各司其職,“真刀真槍”的開始了一場城市網路空間的攻防大演練。
這次比賽的方式非常新穎,模擬環境讓我們這些實戰派也有了展示自己能力的舞臺。
——冠軍隊無糖資訊創始人張瑞冬
比如,當IT安全人員發現黑客的蛛絲馬跡併成功追蹤溯源之後,通知公安網監,網警即刻出動將對方“抓獲”。再比如,黑客通過控制網站和網民的電腦,掩蓋行蹤。通過攻擊供應商,繞過基礎設施安全防線,通過社會工程騙取業務運營人員的信任……整個比賽,不僅真實再現了安全人員與惡意黑客在現實網路空間的博弈,還充分的體現了機構之前的配合與聯動。
網路安全競賽平臺的進化
網路安全競賽從最早的CTF奪旗賽(注重理論解題),演變到AWD攻防賽(注重攻防技術),最終進化到現在的實訓演練(注重實戰能力)的形式。相應的比賽平臺,也從普通的培訓實驗室、CTF競賽平臺,來到了如今集大成的大型模擬網路靶場。內在的變化邏輯很簡單,網路安全的兩方天生就攻防對抗關係,因此最能接近網路空間戰場真實狀態的活動自然是演練。此次“巔峰極客”的競賽模式,可謂首開國內城市網路空間的攻防演練先河。
城市靶場開啟了網路安全競賽的3.0模式。
——永信至誠董事長蔡晶晶
安全牛認為,在國家監管單位的高度重視和大力推動下,有著新穎形式、創新賽制、真實演練的支撐,城市網路空間靶場一定會在未來的網路空間安全保衛戰中發揮更大的作用。