網(wǎng)絡(luò)安全學科競賽的創(chuàng)新與發(fā)展

◎鄔江興 院士

鄔江興院士

1996 年，美國DEFCON 全球黑客大會首次推出了CTF 競賽，這是一種在特定的平臺上進行攻防競技的方式，代表了之前黑客們通過互相發(fā)起真實攻擊進行技術(shù)比拼的方式。隨著進一步的發(fā)展，學科競賽的字典中出現(xiàn)了網(wǎng)絡(luò)安全學科競賽這個名詞。經(jīng)過30 多年的發(fā)展，CTF 已經(jīng)風靡全球并在中國取得了蓬勃發(fā)展，到2018 年我國的CTF 競賽已經(jīng)超過了1000 場。

在取得成績的同時，我們也需要思考，網(wǎng)絡(luò)安全學科競賽繁華之后如何發(fā)展？如何與網(wǎng)絡(luò)強國戰(zhàn)略有機結(jié)合？如何促進產(chǎn)業(yè)的發(fā)展？這是我們需要在繁華之后進行的一些思考。

一、網(wǎng)絡(luò)安全學科競賽的模式回顧

目前網(wǎng)絡(luò)安全學科競賽有三大類，第一種是CTF 類，包括三種模式：一是解題模式。這是一種與ACM 和信息安全類競賽比較類似的一種模式，以網(wǎng)絡(luò)安全技術(shù)挑戰(zhàn)題目的分值和時間來排名，通常用于在線選拔賽。二是攻防模式。比賽隊伍互相進行攻擊和防守，挖掘網(wǎng)絡(luò)服務(wù)漏洞并攻擊對手服務(wù)來得分，修補自身服務(wù)漏洞進行防御來避免丟分。三是機器對抗模式。比賽過程全自動，無任何人工干預(yù)，考驗機器自動漏洞挖掘、自動軟件加固、自動漏洞利用和自動網(wǎng)絡(luò)防護水平，有點像人工智能導入以后的機器對抗。CTF 類模式的評分，國際比賽參考CTF-time 比賽的權(quán)重分數(shù)，國內(nèi)比賽參考CTF-rank 評分。

第二種是漏洞挖掘類，它有兩種模式：一是企業(yè)SRC。鼓勵安全從業(yè)人員以及白帽黑客發(fā)現(xiàn)目標產(chǎn)品中存在的漏洞或安全問題，并給予一定獎金。二是國家漏洞庫。最早是由美國國安局支持建立的CVE 漏洞庫，旨在發(fā)現(xiàn)手機特別是大廠商各式各樣的漏洞以加強美國國家網(wǎng)絡(luò)安全。我國在今年建立了CNNVD、CNVD 等漏洞庫。

第三種是實網(wǎng)攻防類。這類比賽依托實網(wǎng)組織模擬攻防演練，著名的賽事活動包括美國的網(wǎng)絡(luò)風暴演習、貴陽大數(shù)據(jù)演練等。

二、網(wǎng)絡(luò)安全學科競賽面臨的問題

一是過度商業(yè)化。國內(nèi)CTF 競賽目前過度商業(yè)化傾向有增無減，冠軍獎金動輒上百萬，有的比賽已經(jīng)喊出了2000 萬獎池。在高額獎金的誘惑下，有的競賽雖然看似噱頭不小，獎金誘人，但是賽后評價并不高，被人戲稱為一次高規(guī)格的推介展示會。依靠高額獎金提高競賽知名度的做法，已經(jīng)失去了比賽的初心。

二是選手職業(yè)化。競賽的功利性越來越濃，熱衷于參賽且能夠取得名次的趨于集中在少數(shù)幾支戰(zhàn)隊。有人戲稱不少CTF 競賽已成為賽棍游走、串場的作秀場，再難見到脫穎而出的天才、黑馬。

三是賽題同質(zhì)化。國內(nèi)不少的比賽只是為了比賽而比賽，政府相關(guān)部門、競賽組織方在自身沒有出題水平的情況下，委托機構(gòu)出的題目往往是套路題，比賽的營養(yǎng)價值不高，比賽題目也毫無新意。千篇一律的競技，一定程度上限制了對網(wǎng)絡(luò)安全人才的選拔和培養(yǎng)。

四是辦賽效益差。美國國防部曾經(jīng)懸賞邀請民間高手挖掘五角大樓網(wǎng)站漏洞，當時的國防部長卡特說，這比花錢請人來做要劃算得多。而我國的大部分網(wǎng)絡(luò)安全競賽，依舊停留在賽場之內(nèi)，賽用脫節(jié)的問題比較嚴重。

五是缺乏國際化。以發(fā)現(xiàn)漏洞、利用漏洞為基本思路的比賽，不可避免在漏洞的問題上引起各方面的顧慮。漏洞現(xiàn)在已成為國家戰(zhàn)略性資源，我們的選手不能把漏洞帶到國際比賽上去，國外的選手也不能順暢地到國內(nèi)參加比賽。這種競賽資源的限制，也將使競賽的國際化水準大打折扣。

三、“強網(wǎng)杯”進行的有益探索

一是突出問題導向?！皬娋W(wǎng)杯”之所以能夠發(fā)展到如此規(guī)模，一個重要的原因是以網(wǎng)絡(luò)安全領(lǐng)域發(fā)展的問題作為導向，更加注重實效，無論是線上賽、線下賽，都是為最后的精英賽服務(wù)，通過揭榜掛帥方式，查找信息系統(tǒng)的薄弱環(huán)節(jié)。

二是突出賽制創(chuàng)新。這一屆“強網(wǎng)杯”挑戰(zhàn)賽，在賽制上進行了較大創(chuàng)新，應(yīng)該說把傳統(tǒng)的CTF比賽模式全部綜合在一起，做一個整體呈現(xiàn)。解題模式、攻防模式、挖掘模式、人工智能模式在賽事的不同階段先后出現(xiàn)。

三是突出公平公正。作為一個國家級的比賽，公平公正是生命線。“強網(wǎng)杯”每隊題目隔離并設(shè)置帶有追溯水印的動態(tài)答案，設(shè)定了諸多反作弊、防串聯(lián)的規(guī)則限制，線上賽發(fā)現(xiàn)了40 起作弊，2 支賽隊被禁賽。這次比賽還引入國家公證，進一步推進競賽的規(guī)范化。

四是突出軍地融合。“強網(wǎng)杯”具有天然的軍民融合基因，也是綜合運用社會資源為網(wǎng)絡(luò)國防建設(shè)服務(wù)的探索和示范，形成了地方政府、軍隊院校、行業(yè)機構(gòu)、骨干企業(yè)良性互動的局面，為比賽的可持續(xù)發(fā)展奠定了基礎(chǔ)。

四、網(wǎng)絡(luò)安全競賽模式的新選擇

擬態(tài)防御國際精英挑戰(zhàn)賽，今年是第二屆，有29 支國際頂尖戰(zhàn)隊，包括國際頂尖隊伍美國Shellphish，進行了20 個小時、290 余萬次高強度攻擊。比賽最大的亮點是建立一種人機對抗的網(wǎng)絡(luò)安全競賽模式，顛覆了傳統(tǒng)人人對抗的CTF 競賽模式，坊間比喻這是國際黑客大戰(zhàn)。這一對抗模式我們稱之為BWM 模式〔注：指包括黑盒（Black-box）測試、白盒（White-Box）測試、巔峰（Mountain）對決三個環(huán)節(jié)〕，創(chuàng)新網(wǎng)絡(luò)安全競賽的第四種模式，它不是解題游戲，不是挖洞，也不是水平認證，而是基于開放性眾測的一種競賽模式，提供全球眾測，看看真金是否不怕火煉，而不是游戲。

這個競賽的主體已經(jīng)不是人與人之間，而是人與機器，所以它的對抗主題跟CTF 不同，它是人機對抗，關(guān)鍵是設(shè)置了一種合理的競賽場景和競賽規(guī)則，這就是網(wǎng)安界的AlphaGo。

競賽的載體不再是題目，而是在用的COT 級網(wǎng)絡(luò)設(shè)備，讓全世界來檢驗。所以，BWM 賽一經(jīng)亮相，參賽選手第一反應(yīng)就是沒有賽題了。COT 本身就是賽題，這是在檢驗一生二、二生三、三生萬物的中國哲學思辨能力，有著無窮無盡的賽題，選手們依靠自己的思維發(fā)現(xiàn)題點，依靠自己的判斷攻克賽題。

競賽的目的不僅僅是選拔鍛煉人才，而是賦予了科學度量網(wǎng)絡(luò)安全性的新職能。傳統(tǒng)基于人的網(wǎng)絡(luò)安全競賽，其核心是發(fā)現(xiàn)鍛煉人才。BWM 賽巧妙地引入了眾測的理念，大大提升了比賽的效益，使得度量網(wǎng)絡(luò)產(chǎn)品的安全性成為了可能，290 萬次攻擊，無一得手。

競賽的方式不再是一錘子買賣，而是常態(tài)化測試和集中式競賽有機結(jié)合。這次擬態(tài)精英挑戰(zhàn)賽同時發(fā)布了永久在線的內(nèi)生安全實驗場，從6月26 日開始，全天時的接受全球白帽黑客的有賞眾測，也包括富有挑戰(zhàn)精神的駭客。未來的比賽，特別是無差別的常態(tài)化競賽，與集中式的白盒、黑盒BWM 競賽相結(jié)合，鼓勵更多有創(chuàng)意、有興趣的技能人才參與。

競賽的焦點不再是漏洞，而是推進網(wǎng)絡(luò)空間命運共同體建設(shè)。在BWM 模式下，0day 漏洞后門已不是制勝法寶，甚至可以自己去預(yù)先布設(shè)一個，打造網(wǎng)絡(luò)空間命運共同體就有了可靠的抓手，美國人不能再拿網(wǎng)絡(luò)安全說事。

所以，我們的目的是要向世人證明，網(wǎng)絡(luò)空間漏洞后門等潘多拉魔鬼是可以被制服的，技術(shù)的問題終究可以通過技術(shù)的方式來解決，網(wǎng)絡(luò)空間命運共同體不再是烏托邦。

未來的網(wǎng)絡(luò)安全學科競賽將會多種模式共同發(fā)展，CTF 類的比賽也會不斷改革，BWM 模式將作為非CTF 模式比賽走向前臺，希望大家在實踐中不斷創(chuàng)新和豐富，推動各類比賽效益最大化，為建設(shè)網(wǎng)絡(luò)強國來服務(wù)。