真实世界的攻防对抗,无论发生在物理空间,还是虚拟网络,操纵各类系统、应用、工具、数据的背后因素,终归还是人。这是在具备了同样资源的情况下,能把安全问题解决得高下立见的决定因素。
企业网络安全建设需要哪些人才,如何有效提高从业人员的知识技能水平?网络安全竞赛的模式演进或许给出了一种答案。
——————————————————————————-
2020开启了一个新的十年篇章,在已经过去的上一个十年里,以CTF为主的网络安全竞赛在我国经历了从无到有、再到蓬勃发展的过程。这期间以蓝莲花战队、0ops战队为代表的年轻一代在国际赛场上崭露头角,高校中涌现了无数网络安全技术人才;网络安全竞赛也逐步渗透到了各行各业,无论是政府、行业还是企业,都在借助组织CTF等形式的网络安全竞赛选拔人才、提升技术学习氛围。可以说,网络安全竞赛在人才培养方面发挥了举足轻重的作用。
虽然网络安全竞赛的引入和推广取得了累累硕果,但也出现了一些质疑的声音。其中最多的声音来自各行各业的企业安全人员,有人指出部分CTF题目考察的技能和知识点在实际工作场景中并无用处,且CTF题目的某些形式也与通常企业安全人员所面临的实战场景相去甚远。确实,当前流行的CTF赛制和考题形式都起源于国际黑客社区,它可以追溯到1996年的DEF CON黑客大会,演变到今天,这类赛事的主要受众群体多为网络安全攻防技术的研究人员。国际CTF赛事的参赛群体中不乏一些国际知名的顶尖专家,技能方向多以漏洞挖掘和利用、密码学、取证分析和隐写为主,这类赛事侧重考察快速学习和研究能力,重攻击轻防守,在引入和推广到各行各业的过程中,如果只是照搬而不加以调整,难免会产生“兼容性”问题。
据统计,我国网络安全人才缺口近百万,其中最大的缺口来自企业。广大企业和相关行业如果能利用好网络安全竞赛这一抓手,通过更多的赛制赛题创新解决好“兼容性”问题,那将对人才培养形成极大的助力。
本文将从企业网络安全人才的培养需求出发,来谈一谈当下网络安全竞赛形式的利与弊,并对后续的竞赛演进方向提供一些参考。
一、企业网络安全人才需求
企业的网络安全竞赛是为培养人才服务的,因此竞赛的发展一定会紧密围绕企业对人才的技能需求来开展。企业在网络安全方面的核心诉求永远是降低网络安全风险,这一目标通常由多种不同技能的角色共同配合来完成,接下来我们主要从不同的技术方向来盘点企业所需的各类安全人才。
1. 攻击模拟型人才
企业需要培养自己的漏洞挖掘人员,来从事漏洞扫描和渗透测试工作,越来越多的企业还会组建自己的红队或蓝军,来帮助企业持续性地进行APT攻击模拟验证。
2. 防守型人才
漏洞是挖不完的,为了识别和抵御入侵,企业必须构建监测和防护体系,这部分工作主要依靠防守型人才,他们擅长使用和运营安全设备,能够熟练地对系统和服务进行加固和漏洞修补。
3. 应急型人才
这类人才所具备的技能通常在入侵事件发生时发挥作用,例如要能够对入侵现场做应急排查和处置,找到产生问题的源头并进行抑制,另外为了进一步追究攻击者的法律责任,还需要进行取证分析和溯源分析。
4. 懂安全的研发人才
消除漏洞成本最低的方式是从根源上解决问题,即在系统研发阶段就尽可能避免漏洞的出现,因此企业迫切需要能够避免安全问题出现的研发人才。
除了以上概括的几类,企业还有一些其他技术方向的人才诉求,例如数据安全与内容安全等。以上简单梳理了企业所需的网络安全人才技术方向,主要用于引发下文中对网络安全竞赛现状的思考。
二、网络安全竞赛之现状
如今全球范围内最流行的网络安全竞赛形式当数CTF夺旗赛。CTF起源于DEF CON黑客大会,经过了二十多年的发展,在国际上形成了以来自工业界和学术界的安全研究人员为主的CTF社区,社区里的战队大多保持着较高的参赛活跃度,并定期举办高质量赛事回馈社区。国际CTF对考察知识不设限制,且考点与时俱进,参赛者能够在安全技术的广度、深度、时效性上不断受益。CTF在全球范围内培养了一批顶尖研究人才,有不少是来自高校的学生,其中就包括蓝莲花战队队员。
2013年,蓝莲花战队举办了BCTF,在国内拉开了CTF赛事组织的序幕。后续的几年里,各大高校也纷纷组建战队活跃参赛,并举办了各自的赛事。到了2015年,越来越多的政府、行业、企业也开始举办此类竞赛,CTF赛事的参赛选手从国内的学生和研究人员,进一步扩大到企业安全人员。
国内赛事大多依然直接沿用国际CTF的两种模式——解题模式和攻防模式:解题模式主要通过模拟编写的小型软件来考察选手的漏洞发现和利用技能,例如Web和Pwn,也会通过给定一些模拟的小型网络安全任务场景来让选手解决,例如逆向、取证、隐写和解密;攻防模式会让选手在模拟编写的多个小型软件上进行互攻互守。题目的技能方向分布基本与国际比赛保持一致,但是在难度上有所调整。
1. 攻击模拟型人才培养
对于上文中所描述的企业所需的几类不同技能方向的人才,CTF的竞赛形式与攻击模拟型人才的技能贴合是最紧密的,因为CTF题目最主要的形式就是考察漏洞挖掘和利用能力纵观国际CTF史,几乎所有的攻击技巧都被浓缩在模拟的小型软件场景下形成了题目,CTF为漏洞挖掘和利用方向的人才提供了极好的学习、练习素材和技能考察机会。但对于红队方向的人才来说,CTF题目的场景就过于单调了,红队人才通常在工作中面对的是复杂的网络场景,即分布在复杂网络下的多个系统和软件。
为了弥补这个问题,国内出现了靶场赛、渗透赛的形式,也就是仿照企业真实网络环境搭建一个综合靶场,让选手在仿真环境中进行模拟的APT攻击,来考察选手的红队技能,这对于CTF的小型模拟软件场景是一个很好的弥补和创新。
2. 防守型人才培养
对于防守型的技能,CTF攻防赛中的防守部分有所涉及,但整体计分规则上还是更多偏向攻击,且选手在攻防赛中普遍采用的技能多为比赛型技巧,与企业的实际防守场景存在差异。
国内出现的加固赛可以说一定程度填补了这方面的空缺,在这种赛制下,选手会拿到一些存在预置漏洞或不安全配置的单一环境,要求在其中完成对应的漏洞修复或配置加固任务。加固赛能够让企业的防守人员演练多种不同环境、不同软件的加固技能,但目前的赛事中还较少涉及安全防护设备的使用。安全防护设备的运营工作是企业防护的重中之重,如何将这部分技能的考察融入赛事是当前尚未解决的工作,其主要难点在于如何合理设置赛制,以及如何通过虚拟化的手段来降低部署和办赛成本。
3. 应急型人才培养
应急型人才所需的取证分析、应急排查技术,在CTF的Misc方向和攻防赛制中有部分涉及,但同样存在场景不匹配的问题。CTF中的取证题和攻防赛中的流量分析多采用虚构场景,较少取材于真实攻击场景,侧重考察选手的基础分析能力,应急型人才可以从中练习计算机的基本功,例如学习网络协议、文件格式等知识,但难以积累到真实场景中的处置经验。
因此,长亭科技在2019年联合企业用户,首次尝试了在模拟企业网络的综合场景中让选手演练加固、应急、溯源的整体技能,一定程度上解决了CTF中练习场景不匹配的问题,取得了较好的成效。
4. 安全研发及其他类型人才培养
在研发、数据安全、内容安全等其他技能方向上,业内还基本停留在以选择判断等理论考察为主的竞赛形式上。在2019年,长亭科技联合企业用户共同探索了数据安全和内容安全的实操竞赛形式,包含内容安全审查、数据和隐私安全审查、违规调用数据排查等方面,在新安全技能办赛的方向上迈出了探索的第一步。研发安全的实操类赛事在国内尚未见到案例,但此类赛事的核心考察点应该集中在代码安全审查和漏洞代码修复上,而非传统CTF中较为看重的漏洞利用技能。
自从国际CTF赛事被引入以来,国内的网络安全竞赛更多的还是采用直接模仿的形式推广,这培养了一批高水平的安全研究人员,其中大多侧重于漏洞挖掘和渗透等攻击相关的技能方向。在企业在防护、应急、安全开发等技能上,虽然业内已有一些探索和创新,但整体推广的范围较小,实际落地的案例也屈指可数,不利于非攻击模拟类网络安全人才技能的培养。
三、网络安全竞赛之未来
在上一个十年里,CTF赛事在国内形成了一股网络安全技能学习的热潮,为人才的脱颖而出提供了平台,但在和企业所需的网络安全人才技能匹配上,还不够全面,也缺乏一定的契合度。新的十年在呼唤更多的赛事创新,来为企业培养更多有用的人才。
笔者认为,符合企业对网络安全人才培养需求的竞赛形式有以下几个发展趋势:
1. 更多考察防守技能
未来的网络安全竞赛将越来越重视针对防守场景的演练。对CTF模式赛制的大量复制,带来了如今网络安全竞赛普遍存在的重攻击轻防守现象,导致了企业的参赛人员人人都在学漏洞利用,这是好事,但防御技能的必要性和重要性同样无法忽视。已经有越来越多的企业意识到这一点,未来的网络安全竞赛必定会愈发强调对安全漏洞和配置加固、安全设备运营、应急响应等这类侧重于防守的技能考察。
2. 更多关注仿真的对抗场景
未来的网络安全竞赛将更多使用仿真的攻防对抗场景来演练。传统CTF采用的小型软件场景主要考察选手的基本功和研究型安全技巧,其中包含的考点较为单一;而从真实的企业网络和实战攻防对抗场景中取材的内容,一方面更能帮助选手积累工作中的实战化技能使用经验,另一方面也能在其中演练和考察包括防守、应急等技能在内的全方面能力。依托于近年来国内上上下下都在推行的攻防演练活动,在网络安全竞赛中采用仿真度更高的环境必定是大势所趋。
3. 更加贴合选手工作需求
未来的网络安全竞赛将更加重视考点与选手能力模型的匹配度。越来越多的企业已经意识到,照搬的赛事模式在企业落地时很容易让选手产生水土不服的感受,例如让人感觉考点偏难偏怪,或者和工作关联不大。从企业的需求出发,好的网络安全赛制应当是量身定制的,一方面赛制和赛题考点要和选手的工作能力需求匹配,另一方面赛事的难度也应当和选手的能力相当,这才能最大限度的发挥网络安全竞赛在企业人才培养、选拔、激励当中的作用。
我们相信,在新的十年,创新赛事的土壤中定会开出最绚烂的人才之花。
——————————————————————————-
本文首发于《2019长亭年度漏洞威胁分析与2020安全展望》。报告从“漏洞”和“攻防演练”两个维度解构攻防,抽样来自金融、互联网、通信、能源、医疗、教育、传媒等多个行业的223家企业/机构,透过数字背后的逻辑,尝试梳理安全从业人员的操作方法论,将漏洞关注优先级和修复的经验复制成能力象限,帮助从业人员的部分能力碎片找平水位。
扫码阅读报告,解锁安全新姿势
发表评论
您还未登录,请先登录。
登录