◎鄔江興 院士

鄔江興院士

1996 年，美國(guó)DEFCON 全球黑客大會(huì)首次推出了CTF 競(jìng)賽，這是一種在特定的平臺(tái)上進(jìn)行攻防競(jìng)技的方式，代表了之前黑客們通過(guò)互相發(fā)起真實(shí)攻擊進(jìn)行技術(shù)比拼的方式。隨著進(jìn)一步的發(fā)展，學(xué)科競(jìng)賽的字典中出現(xiàn)了網(wǎng)絡(luò)安全學(xué)科競(jìng)賽這個(gè)名詞。經(jīng)過(guò)30 多年的發(fā)展，CTF 已經(jīng)風(fēng)靡全球并在中國(guó)取得了蓬勃發(fā)展，到2018 年我國(guó)的CTF 競(jìng)賽已經(jīng)超過(guò)了1000 場(chǎng)。

在取得成績(jī)的同時(shí)，我們也需要思考，網(wǎng)絡(luò)安全學(xué)科競(jìng)賽繁華之后如何發(fā)展？如何與網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略有機(jī)結(jié)合？如何促進(jìn)產(chǎn)業(yè)的發(fā)展？這是我們需要在繁華之后進(jìn)行的一些思考。

一、網(wǎng)絡(luò)安全學(xué)科競(jìng)賽的模式回顧

目前網(wǎng)絡(luò)安全學(xué)科競(jìng)賽有三大類，第一種是CTF 類，包括三種模式：一是解題模式。這是一種與ACM 和信息安全類競(jìng)賽比較類似的一種模式，以網(wǎng)絡(luò)安全技術(shù)挑戰(zhàn)題目的分值和時(shí)間來(lái)排名，通常用于在線選拔賽。二是攻防模式。比賽隊(duì)伍互相進(jìn)行攻擊和防守，挖掘網(wǎng)絡(luò)服務(wù)漏洞并攻擊對(duì)手服務(wù)來(lái)得分，修補(bǔ)自身服務(wù)漏洞進(jìn)行防御來(lái)避免丟分。三是機(jī)器對(duì)抗模式。比賽過(guò)程全自動(dòng)，無(wú)任何人工干預(yù)，考驗(yàn)機(jī)器自動(dòng)漏洞挖掘、自動(dòng)軟件加固、自動(dòng)漏洞利用和自動(dòng)網(wǎng)絡(luò)防護(hù)水平，有點(diǎn)像人工智能導(dǎo)入以后的機(jī)器對(duì)抗。CTF 類模式的評(píng)分，國(guó)際比賽參考CTF-time 比賽的權(quán)重分?jǐn)?shù)，國(guó)內(nèi)比賽參考CTF-rank 評(píng)分。

第二種是漏洞挖掘類，它有兩種模式：一是企業(yè)SRC。鼓勵(lì)安全從業(yè)人員以及白帽黑客發(fā)現(xiàn)目標(biāo)產(chǎn)品中存在的漏洞或安全問(wèn)題，并給予一定獎(jiǎng)金。二是國(guó)家漏洞庫(kù)。最早是由美國(guó)國(guó)安局支持建立的CVE 漏洞庫(kù)，旨在發(fā)現(xiàn)手機(jī)特別是大廠商各式各樣的漏洞以加強(qiáng)美國(guó)國(guó)家網(wǎng)絡(luò)安全。我國(guó)在今年建立了CNNVD、CNVD 等漏洞庫(kù)。

第三種是實(shí)網(wǎng)攻防類。這類比賽依托實(shí)網(wǎng)組織模擬攻防演練，著名的賽事活動(dòng)包括美國(guó)的網(wǎng)絡(luò)風(fēng)暴演習(xí)、貴陽(yáng)大數(shù)據(jù)演練等。

二、網(wǎng)絡(luò)安全學(xué)科競(jìng)賽面臨的問(wèn)題

一是過(guò)度商業(yè)化。國(guó)內(nèi)CTF 競(jìng)賽目前過(guò)度商業(yè)化傾向有增無(wú)減，冠軍獎(jiǎng)金動(dòng)輒上百萬(wàn)，有的比賽已經(jīng)喊出了2000 萬(wàn)獎(jiǎng)池。在高額獎(jiǎng)金的誘惑下，有的競(jìng)賽雖然看似噱頭不小，獎(jiǎng)金誘人，但是賽后評(píng)價(jià)并不高，被人戲稱為一次高規(guī)格的推介展示會(huì)。依靠高額獎(jiǎng)金提高競(jìng)賽知名度的做法，已經(jīng)失去了比賽的初心。

二是選手職業(yè)化。競(jìng)賽的功利性越來(lái)越濃，熱衷于參賽且能夠取得名次的趨于集中在少數(shù)幾支戰(zhàn)隊(duì)。有人戲稱不少CTF 競(jìng)賽已成為賽棍游走、串場(chǎng)的作秀場(chǎng)，再難見(jiàn)到脫穎而出的天才、黑馬。

三是賽題同質(zhì)化。國(guó)內(nèi)不少的比賽只是為了比賽而比賽，政府相關(guān)部門(mén)、競(jìng)賽組織方在自身沒(méi)有出題水平的情況下，委托機(jī)構(gòu)出的題目往往是套路題，比賽的營(yíng)養(yǎng)價(jià)值不高，比賽題目也毫無(wú)新意。千篇一律的競(jìng)技，一定程度上限制了對(duì)網(wǎng)絡(luò)安全人才的選拔和培養(yǎng)。

四是辦賽效益差。美國(guó)國(guó)防部曾經(jīng)懸賞邀請(qǐng)民間高手挖掘五角大樓網(wǎng)站漏洞，當(dāng)時(shí)的國(guó)防部長(zhǎng)卡特說(shuō)，這比花錢(qián)請(qǐng)人來(lái)做要?jiǎng)澦愕枚唷６覈?guó)的大部分網(wǎng)絡(luò)安全競(jìng)賽，依舊停留在賽場(chǎng)之內(nèi)，賽用脫節(jié)的問(wèn)題比較嚴(yán)重。

五是缺乏國(guó)際化。以發(fā)現(xiàn)漏洞、利用漏洞為基本思路的比賽，不可避免在漏洞的問(wèn)題上引起各方面的顧慮。漏洞現(xiàn)在已成為國(guó)家戰(zhàn)略性資源，我們的選手不能把漏洞帶到國(guó)際比賽上去，國(guó)外的選手也不能順暢地到國(guó)內(nèi)參加比賽。這種競(jìng)賽資源的限制，也將使競(jìng)賽的國(guó)際化水準(zhǔn)大打折扣。

三、“強(qiáng)網(wǎng)杯”進(jìn)行的有益探索

一是突出問(wèn)題導(dǎo)向。“強(qiáng)網(wǎng)杯”之所以能夠發(fā)展到如此規(guī)模，一個(gè)重要的原因是以網(wǎng)絡(luò)安全領(lǐng)域發(fā)展的問(wèn)題作為導(dǎo)向，更加注重實(shí)效，無(wú)論是線上賽、線下賽，都是為最后的精英賽服務(wù)，通過(guò)揭榜掛帥方式，查找信息系統(tǒng)的薄弱環(huán)節(jié)。

二是突出賽制創(chuàng)新。這一屆“強(qiáng)網(wǎng)杯”挑戰(zhàn)賽，在賽制上進(jìn)行了較大創(chuàng)新，應(yīng)該說(shuō)把傳統(tǒng)的CTF比賽模式全部綜合在一起，做一個(gè)整體呈現(xiàn)。解題模式、攻防模式、挖掘模式、人工智能模式在賽事的不同階段先后出現(xiàn)。

三是突出公平公正。作為一個(gè)國(guó)家級(jí)的比賽，公平公正是生命線?！皬?qiáng)網(wǎng)杯”每隊(duì)題目隔離并設(shè)置帶有追溯水印的動(dòng)態(tài)答案，設(shè)定了諸多反作弊、防串聯(lián)的規(guī)則限制，線上賽發(fā)現(xiàn)了40 起作弊，2 支賽隊(duì)被禁賽。這次比賽還引入國(guó)家公證，進(jìn)一步推進(jìn)競(jìng)賽的規(guī)范化。

四是突出軍地融合。“強(qiáng)網(wǎng)杯”具有天然的軍民融合基因，也是綜合運(yùn)用社會(huì)資源為網(wǎng)絡(luò)國(guó)防建設(shè)服務(wù)的探索和示范，形成了地方政府、軍隊(duì)院校、行業(yè)機(jī)構(gòu)、骨干企業(yè)良性互動(dòng)的局面，為比賽的可持續(xù)發(fā)展奠定了基礎(chǔ)。

四、網(wǎng)絡(luò)安全競(jìng)賽模式的新選擇

擬態(tài)防御國(guó)際精英挑戰(zhàn)賽，今年是第二屆，有29 支國(guó)際頂尖戰(zhàn)隊(duì)，包括國(guó)際頂尖隊(duì)伍美國(guó)Shellphish，進(jìn)行了20 個(gè)小時(shí)、290 余萬(wàn)次高強(qiáng)度攻擊。比賽最大的亮點(diǎn)是建立一種人機(jī)對(duì)抗的網(wǎng)絡(luò)安全競(jìng)賽模式，顛覆了傳統(tǒng)人人對(duì)抗的CTF 競(jìng)賽模式，坊間比喻這是國(guó)際黑客大戰(zhàn)。這一對(duì)抗模式我們稱之為BWM 模式〔注：指包括黑盒（Black-box）測(cè)試、白盒（White-Box）測(cè)試、巔峰（Mountain）對(duì)決三個(gè)環(huán)節(jié)〕，創(chuàng)新網(wǎng)絡(luò)安全競(jìng)賽的第四種模式，它不是解題游戲，不是挖洞，也不是水平認(rèn)證，而是基于開(kāi)放性眾測(cè)的一種競(jìng)賽模式，提供全球眾測(cè)，看看真金是否不怕火煉，而不是游戲。

這個(gè)競(jìng)賽的主體已經(jīng)不是人與人之間，而是人與機(jī)器，所以它的對(duì)抗主題跟CTF 不同，它是人機(jī)對(duì)抗，關(guān)鍵是設(shè)置了一種合理的競(jìng)賽場(chǎng)景和競(jìng)賽規(guī)則，這就是網(wǎng)安界的AlphaGo。

競(jìng)賽的載體不再是題目，而是在用的COT 級(jí)網(wǎng)絡(luò)設(shè)備，讓全世界來(lái)檢驗(yàn)。所以，BWM 賽一經(jīng)亮相，參賽選手第一反應(yīng)就是沒(méi)有賽題了。COT 本身就是賽題，這是在檢驗(yàn)一生二、二生三、三生萬(wàn)物的中國(guó)哲學(xué)思辨能力，有著無(wú)窮無(wú)盡的賽題，選手們依靠自己的思維發(fā)現(xiàn)題點(diǎn)，依靠自己的判斷攻克賽題。

競(jìng)賽的目的不僅僅是選拔鍛煉人才，而是賦予了科學(xué)度量網(wǎng)絡(luò)安全性的新職能。傳統(tǒng)基于人的網(wǎng)絡(luò)安全競(jìng)賽，其核心是發(fā)現(xiàn)鍛煉人才。BWM 賽巧妙地引入了眾測(cè)的理念，大大提升了比賽的效益，使得度量網(wǎng)絡(luò)產(chǎn)品的安全性成為了可能，290 萬(wàn)次攻擊，無(wú)一得手。

競(jìng)賽的方式不再是一錘子買(mǎi)賣，而是常態(tài)化測(cè)試和集中式競(jìng)賽有機(jī)結(jié)合。這次擬態(tài)精英挑戰(zhàn)賽同時(shí)發(fā)布了永久在線的內(nèi)生安全實(shí)驗(yàn)場(chǎng)，從6月26 日開(kāi)始，全天時(shí)的接受全球白帽黑客的有賞眾測(cè)，也包括富有挑戰(zhàn)精神的駭客。未來(lái)的比賽，特別是無(wú)差別的常態(tài)化競(jìng)賽，與集中式的白盒、黑盒BWM 競(jìng)賽相結(jié)合，鼓勵(lì)更多有創(chuàng)意、有興趣的技能人才參與。

競(jìng)賽的焦點(diǎn)不再是漏洞，而是推進(jìn)網(wǎng)絡(luò)空間命運(yùn)共同體建設(shè)。在BWM 模式下，0day 漏洞后門(mén)已不是制勝法寶，甚至可以自己去預(yù)先布設(shè)一個(gè)，打造網(wǎng)絡(luò)空間命運(yùn)共同體就有了可靠的抓手，美國(guó)人不能再拿網(wǎng)絡(luò)安全說(shuō)事。

所以，我們的目的是要向世人證明，網(wǎng)絡(luò)空間漏洞后門(mén)等潘多拉魔鬼是可以被制服的，技術(shù)的問(wèn)題終究可以通過(guò)技術(shù)的方式來(lái)解決，網(wǎng)絡(luò)空間命運(yùn)共同體不再是烏托邦。

未來(lái)的網(wǎng)絡(luò)安全學(xué)科競(jìng)賽將會(huì)多種模式共同發(fā)展，CTF 類的比賽也會(huì)不斷改革，BWM 模式將作為非CTF 模式比賽走向前臺(tái)，希望大家在實(shí)踐中不斷創(chuàng)新和豐富，推動(dòng)各類比賽效益最大化，為建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)來(lái)服務(wù)。