首页 >> 新闻 >> 科技 >> 互联网 >> 正文
  • 首届“强网”拟态防御国际精英挑战赛落幕,赛宁网安引领网安赛事进入新阶段

  • 时间:2018-05-16 新闻来源: 北京热线
    •     5月12日,由赛宁网安技术支持的首届“强网”拟态防御国际精英挑战赛在南京落幕!该赛事吸引了网络安全领域及社会各界的广泛关注。大赛由中国工程院、南京市人民政府主办,拟态技术与产业创新联盟、江宁区人民政府、南京江宁经济技术开发区管委会承办。
          来自俄罗斯、乌克兰、日本、波兰和中国等国的22支参赛战队,在第一阶段常规比赛中针对四款拟态化设备进行高强度攻击,没有任何队伍突破;第二阶段注入比赛,依然没有任何战队完整突破拟态防御,拟态防御这一我国独创理论的
      安全属性得到了充分验证。而为本次赛事提供平台支持的赛宁网安靶场平台,也再一次得到业界好评。

          赛宁网安CP-CR靶场竞赛平台在本场赛事中实现了四类带有不同安全隐患场景的复现(web应用、DNS、路由、防火墙),每个场景预设了多个漏洞点供选手挑战,通过虚实结合技术实现和第三方系统的联动,场景可以快速构建;现场展示的物理场景仿真,星际战争两套3D态势展示,平稳流畅的运行及酷炫展示获一众好评!此外,攻防过程还可以回放记录正常赛事的攻防流量,赛后靶场平台可以根据数据类型进行大数据分析,实现赛况重现。中国工程院院士、国家数字交换系统工程技术研究中心主任邬江兴院士也莅临赛场与大家探讨拟态防御及创新赛制,并充分肯定了赛宁网安平台。

      赛宁网安靶场平台展示赛况
          本次大赛的成功举办,是国内赛事历史上的一次创新,也标志着网络安全竞赛的发展进入到新的阶段,同时,“以赛为用”的理念也引发了一系列的思考。
          网络安全竞赛进入“成果转化阶段”
          国内网络安全体系目前还不够完善,尤其是缺乏内在自生的安全体系,诸如安全意识和安全人才都是欠缺的。正如在拟态防御挑战赛现场,中国工程院邬江兴院士所说,传统安全都是依靠于已发生的经验,依靠外在的软硬件来保护自己,缺乏一种内在自生的安全体系。
          通过市场调研发现,各地网信办、相关行业管理机构对于网络安全的实战竞赛都有不同程度的思考,出于实际情况以及行业特点的考虑,虽然大家不谋而合,但还是“不敢贸然行动”。
          首届“强网”拟态防御国际精英挑战赛作为国内最具关注点的赛事,具有战略意义。主要表现在以下几个方面:
          1、网络安全赛事进入实战阶段
          “以赛代练、以赛带学”是网络安全领域一个比较普遍的说法,核心目的是推动网络安全人才的培养。拟态防御挑战赛是这一理念的成果检验,更是“以赛为用”的一次重要实践,将竞赛从传统的安全人才培养推动到对实体安全技术的挑战和检测。
          网络安全竞赛从模拟到实战经历了多年的探索。国内以CTF为主的网络安全赛事的发展必须要说到清华蓝莲花战队,这支战队在CTF网络攻防竞赛领域可谓如雷贯耳,尤其在2016年与国际知名战队同台竞技并且取得令国人骄傲的成绩,这对国内网络安全爱好者是一剂强心针,是莫大的鼓舞。

      蓝莲花战队
          在此过程中,以国内学院派为代表的高校安全社团、各种战队逐渐形成规模,成为我国网络安全人才的一支“储备正规军”。蓝莲花核心成员也成立赛宁网安,发起XCTF国际联赛,吸引了100多个国家和地区,八万多人次的白帽子爱好者参与,为国内的CTF的竞赛创造了良好的氛围和环境。2017,XCTF国际联赛成为亚洲最大规模的网络安全赛事,这可谓是国人的骄傲。
          在此之前,对于“网络攻防”一词,大家感觉比较敏感,尤其是一些地方政府主办的赛事,对于“攻防”二字谈之色变,担心产生不好的影响。但经过赛事领域几年的推动,尤其是在国家政策鼓励,民间力量积极推动的网络安全环境下,目前大家能够正视我们在网络安全领域存在的问题。
          2、以国际化视角来检验自身安全能力
          在央视对强网国际精英挑战赛的访问中提到,邀请全球强队来检测国内的网络安全理念和体系,这是一个大胆的想法和尝试。邬江兴院士表示再好的理论和技术不通过实践检验都难以提升。关起门来说自己伟大不是一个科学家应有的作为。通过这样(邀请全球战队)的活动来丰富理论,完善技术非常有价值。
          无独有偶,2017年5月,美国国防部举办“Hack the Air Force”漏洞奖励计划项目。就是一次面向公众开放网络的漏洞奖励项目。活动中邀请了来自美国、英国、加拿大、澳大利亚和新西兰的白帽子。共有272名白帽黑客参与,提交漏洞207个,拿到超过13万美元的漏洞奖金。除此之外,美国国防部还成立了“Hack the Pentagon(入侵五角大楼)”和“Hack the Army(入侵陆军)”漏洞奖励项目,这些项目为美国国防部和白帽子之间搭建了合作的桥梁,为其国防和国家安全作出贡献。
          拟态防御挑战赛作为一项标杆性的赛事,赛宁网安通过XCTF国际联赛平台邀请了在CTF-TIME积分排名第一、第二、第三、第六的战队,分别为乌克兰dcua、波兰P4、日本TokyoWesterns、俄罗斯LC↯BC。以国际化视角来检验自身网络安全技术,这对于国内的网络安全自身建设来说是一种开放态度的引领。

      俄罗斯LC↯BC战队
          3、从赛事反思人才培养的不足
          在比赛过程中,国际战队一直处于领先的排名上。国内企业战队,以360、安恒为代表展现出企业经验的优势,对于各种安全防护产品并不感到陌生。高校战队明显缺乏对实体设备的接触经验。这对我们加强网络安全学科建设以及人才培养有很大的启示。增强网络空间安全实战人才的培养必须进一步深化。
          “以赛为用”大规模推广思考
          今年年初,由电科院发起的赛博地球杯工业互联网大赛,不仅在工业互联网安全领域开创了新的理念和竞赛模式,同时也对自主研发的“电科龙云”进行了实际的攻防。结合此次拟态防御精英赛,笔者认为实战赛事将逐渐成为发展趋势。
      “以赛为用”是网络安全赛事满足人才培养之后的意义升华。其价值是显而易见的,但同时也面临着急需解决的问题。
          1、警惕形式主义
          因为实战赛事最终结果是难以预测的。如果竞赛现场没有任何收获,反而会打击选手对此类赛事的积极性,同时参与学习者也会感到枯燥无味。所以实体产品技术模块和预设漏洞要结合。要建立在对实际技术应用的深度理解前提下,避免出现传统竞赛包装出来的实战竞赛。
          所以“以赛为用”的赛事设置和创新要符合行业生产环境以及业态特征。实体模块和竞赛的对接,以及相关的风险控制和安全保障措施都需要提前规划。
          2、加强实战型人才的培养
          对于网络安全人才的培养是百年大计,建设网络安全强国是我们的国家战略。本次拟态防御精英挑战赛也暴露出我们在网络安全人才实战培养方面的不足。主要原因还是我们网络安全人才培养体系起步晚,同时在产学研用合作方面还需要进步一步加强。要让更多安全人才有机会接触到实体的产品和技术。
          3、建立网络安全竞赛的新标准
          正如拟态防御挑战赛裁判长,来自清华大学的诸葛建伟博士表示,CTF的模式是经过验证的网络安全人才培养和发现挖掘人才的方式,通过CTF培养了大批的实战人才。从“以赛带学”到“以赛为用”。CTF是根茎叶,源源不断的为未来的实战赛事输送人才。对实体产品的检测是结出的果实。作为赛事的技术支持方,赛宁网安正联合政府部门、高校以及行业企业建立网络空间安全实战的新标准,形成一个健康、可持续的网络空间安全人才培养、输送、实践的价值体系。

       

      网站首页 | 关于我们 | 联系方式 | 招聘信息 | 版权声明 | 网站地图 | 北京热线
      地址:北京市海淀区永泰园14号楼 投稿QQ:1914290061 投稿邮箱:bjrenews@126.com
      Copyright © 2010 www.bjrxnews.com Inc. All Rights Reserved. 北京热线 版权所有