正文
在这场比赛中,主办方明令“不许这样”。
但是,光规定不行,还得真发现。张凯称,于是,比赛平台上线了“烽火台反作弊系统”,配套多种手段来遏制作弊行为。
看上去有点像“烽火戏诸侯”有木有?不过,跟美女无关。张凯表示,“烽火嘛,大家一听就觉得很形象,烽火就是信号,我们要来抓作弊的信号。”
“即使相同一道题,你拿到的答案和他拿到答案应该是不同的,如果我发现了这个答案是你的,然后被他提交了,这就是一个很危险的信号——这个答案怎么漏出去?
只有一种可能,就是有些人把信息传递出去了,而他尝试,就是他希望作弊,在这样的游戏规则下,就算把答案稍微修改也不行,因为每一个答案的字符串随机生成,而且非常长,
不是你能爆破得了的。
如果你爆破的话,系统也会直接提示把它接口封一段时间,这相当于你在攻击平台。”张凯说。
在本次竞赛中,烽火台反作弊平台共监测到了 84 次异常操作。
第二,“抢 HR 的活”,评测选手的行为和能力。
靶场上线了一款综合人才能力评定系统——“安全对抗能力体系”,可以理解为游戏中的个人综合能力评分,根据战队与单个选手在比赛中的表现给出安全能力评级,从多个维度综合评定每支战队、每名队员在信息收集、漏洞利用、痕迹清除等多方面的技术优势和短板,生成属于个人的“安全能力优势雷达图”。
“我们未来会持续跟踪每个学员的成长轨迹,为未来信息安全人才培训和筛选提供强有力的素材。”张凯说。
“非官方说法就是,你们抢了 HR 的活?”
宅客频道问。
张凯说:“应该说我们给了参赛选手和 HR 一个更好的工具。这种在真实比赛中的能力图谱(未来可能还会结合这个人在i春秋上学习的行为)帮我们更加清楚的定义了选手们的能力专长。我们总说企业找不到想要的人,安全人才培养找不到施力点,现在以上帝视角来看,就可以有针对性地设计比赛过程,让更符合企业能力需求的人参与比赛,或者引导选手去向企业更真实的需求成长。”
问答
1.靶场真的很“真”吗?开始是怎么考虑设置这样的赛程的?
张凯:我们一直提的方案是我们要模拟一个场景,这个场景一定是在我们这种工业化的情况下比较常见的典型场景。
我们一般都会模拟,比如互联网的企业,或者一些小型的工业企业,这个场景里不仅有 web 类的,或者浏览器攻防、二进制攻防类的,我们是要搭建一个什么都有的典型场景。
它要有一个Web类区域作为入口进来,然后你再进入内网。这可能要分成几个层级,比如比较低数据权限的这种内网区域和比较高数据权限的数据区域,模拟一家企业,一般企业的网络就是以这样的规模来存在,即使是现在在云上部署的那些企业的网络基本也是这个架构。
我们希望让这些互联网安全圈内的人都能理解,一个黑客到底是如何对网络进行这样的攻击,在攻击过程中你就会知道自己在哪一个环节上设定相应的安全设备、规则、加固等,就能网络安全做好。
我们模拟了这样的一个企业内网,在四台虚拟机的情况下把它分割成了三个不同的网络,然后内置了 12 道题,一个战队登录平台后,队员首先看到的这个场景是黑暗的,他只看到了一个入口,那个地方有一个Web网站,我们告诉他,已知的这个故事是——我们知道了这个目标企业网站被黑客进行了攻击,我请来这些队伍的目的就是请他们能重现或复现一下这个网络场景里都有哪些漏洞,如何能够找到遗失的关键信息。
每个战队通过这个入口一步一步寻找相应的情报信息来完成这个网络的探索,找到相应的漏洞,最后拿到最危险的、最重要的资产信息。
在靶场中部署高度仿真的场景,是网络安全竞赛的发展方向。我希望未来靶场能够融合交通运输、通讯、水利、供电等基础设施
应用场景。
我们做了一场比赛后,又觉得说我们只是在靶场里模拟这样一个场景,是不是真实性不够好?所以,我们加入了i春秋的有信众测的部分。
这个众测部分的目标就是一个真实的互联网企业。和我们这个靶场的不同之初在于,它是互联网上的一个开放入口,后面确实有一个企业那么大的网络,这个队伍可以同时体验虚拟的浓缩的典型场景和在互联网上的真实企场景,同时发起攻击,展现队伍的能力。
另外,我觉得“有信众测”是有市场的。我们“网络空间安全智能仿真和众测关键技术与服务北京市工程实验室”是2017年北京49个工程实验室中唯一一个众测关键技术实验室,获得了北京市发改委的正式批复,这意味着“有信众测”迈入了一个全新的阶段。
2.D 众测的这次结果怎么样?
张凯:可能我们确实低估了众测的难度,一般情况下众测应该提前多少天放出来,但因为和主办方沟通了以后,主办方认为,既然我们说是一场靶场比赛,最好还是比赛过程中再把信息透露出去,所以这个时间又太短了,造成的后果就是有些战队并没有准备好,也确实够难。
就 D 的全域而言,它已经被挖了好多年,一直不断在搞,但是至少我们把这种模式介绍给了这些队伍,他们也知道了这家公司有 SRC 这样的地方。
就 D 自己的白帽子而言,其实也算是比较难挖的。这次算是拓展出来一个新模式。我们跟 D 聊的时候,D 其实也对于这次众测没有一个数量的预期,而是都想说进行尝试,看看这种形式可不可以。这算是滴滴第一次引入众测模式。
