零距离感受2015年安全攻防大赛:静动之美 攻防兼备

2015年5月26日的武汉,小雨霏霏。某酒店数百平米的会议大厅里,摆着四十多张桌子,每三人一组面对面坐着,每人面前都摆着一台笔记本——这样的场景维持了5个多小时。与其说这是一场比赛,看起来更像是一个会议,或者说一节自习课。

这就是国家互联网应急中心(CNCert)举办的“2015中国网络安全攻防大赛”比赛现场。作为全程旁观本次大赛的媒体人,这是记者第一次零距离接触这种比赛……

一场激烈和专业的对抗

外表看起来,安全攻防大赛的现场完全没有那种激烈的对抗气氛,每个人都对着自己面前的电脑,或者沉思良久,或者运指如飞——看不到眼睛赤红,也看不到挥汗如雨。但现场的攻防状况演示图却直观体现出现场对抗的激烈程度。事实上,从开始比赛的第一分钟到最后一分钟,各队之间的相互攻击就始终没有停止。
 

图注:与其说是一场比赛,对抗赛现场更像一个会议、一节课堂。

这种激烈程度得到了“久经沙场”的紫禁城、长亭外等队的认可,但也让不少首次参赛的队伍有点吃不消。最后的得分也许能说明攻防对抗的惨烈:有3支队伍被打成负分,而前三名达到2000分左右。

激烈对抗还体现在比赛的过程上。现场前三名的排名和名单几经变化。PowerTime队率先成功突破,但很快被金陵CWX超越;而比赛进行2个小时后,紫禁城队开始发力,一阵得分狂潮之后占据领先;比赛进入最后1个小时前后,排名第4的长亭外后程加速,迅速蹿升至第2位,而且一直向第1名发起追赶……
 

图注:现场比赛实时展示屏,记录着平静背后的波澜壮阔。图中的线条标志着参赛队之间的攻击和防御状况;左侧是实时积分榜。

激烈的背后是参赛队员的水平和比赛专业性的提升。金陵CWX队也参加了去年CNCERT组织的上届比赛,他们评价说,本届比赛无论是参赛队伍的数量还是质量都比去年有不小的提升。紫禁城的参赛队员、北京知道创宇公司安全研究院庞伟对记者说,他看到参赛名单后,睡觉都不踏实了,因此他们做了精细的准备工作,包括现场的分工和比赛策略。比赛中他们三个人分工明确,一个人负责二进制,一个人负责挖掘漏洞并修补漏洞,另一个人专门负责写exp。同时他们建立了一个内部小wiki平台,三人协作分享;而在战术方面,他们事先就明确了先修补漏洞、防御自己,后利用exp批量攻击的方式。事实证明,这些分工和战术非常成功,成为他们成功的关键因素。

与之相比,长亭外的队员在比赛后最大的遗憾就是准备不足和战术错误。他们在开场有点纠结于某几个漏洞,总体进度受到影响,到中午前后调整策略,但虽然后程持续发力且奇招迭出,但由于落后太多,没能追赶的上。——但显然,长亭外对第二名的成绩并不满意。赛后,长亭外队员、北京长亭科技有限公司的陈宇森在自己的微信上还表达了对连续两次比赛获得第二名的遗憾……
 

图注:长亭外代表队(本次荣获第二名)在比赛中

一场更贴近实战的竞赛

这种对抗的激烈化与比赛规则的改变有莫大的关系。与国内传统网络安全比赛方式不同,本次比赛采用现场各队的人人直接对抗方式进行。每个队伍拥有一个防守机,参赛队要首先做好本防守机的漏洞修补等防御工作,然后向其他任何防守机发起攻击;在攻击成功得5分、被攻破失10分且初始分数达到1000分的规则下。大会主办方在和记者的交流中也特意提到,他们希望参赛队乃至更多领域对“防御”的重视程度。主办方将这种方式称为AWD(Attack With Defence),中文译名为“攻防兼备”。而记者看到的一张赛前海报,也把这种思路彰显的非常清楚,其主题词就是:“联合对抗、共同防御”。

这种转变显然得到了参赛选手的认可。在记者进行交流的十余个参赛队员中,几乎所有人在提到这种方式时都表示了肯定。金陵CWX的队员表示,传统比赛方式就像(数学)奥赛一样,更强调知识性;而现在这种形式则相对灵活,也更加刺激。一位不原透露自己队名的参赛队员在比赛结束前15分钟就在会场的茶歇区吃起了水果,他对记者苦笑着表示,此前传统答题比赛方式就是答不出来也显现不出来,现在的比赛方式“更刺激了,但防守不好那是真没面子呀……”

参赛队PowerTime来自国网智能电网研究院信息安全实验室。该实验室的郝增帅先生在现场对记者说,相对而言,传统比赛模式更考验参赛人员的基础知识和能力,例如逆向、日志分析、解密等等,而本次比赛的AWD模式更接近于实战,更考验综合能力。当然,他也提到,这对他们自己也是个不小的挑战。庞伟也表示,此前的传统夺旗比赛方式刚开始还是蛮有乐趣的,但后来竞争越来越激烈,要想拉开差距,题目就要越来越难、越来越偏,自然也就距离实际应用越来越远,趣味性也会削弱。本次比赛的AWD模式其实没有什么偏题怪题,都是比较常见的漏洞,非常贴近实战;但由于是实时的,比较考较综合能力;同时,这种形式大大提升了比赛的趣味性。
 

图注:本次冠军队紫禁城队在比赛中

在本次比赛的AWD模式下,对防守的重视与否直接影响到了最终比赛的分数。甚至仔细分析最后的成绩发现,最终排名的榜单与失分(防守)榜单的接近程度比得分(进攻)榜单的接近程度更甚。例如最终排名第3的金陵CWX,其攻击得分和PowerTime不相上下,但防守更佳;而最终第7的虎纠队,其进攻得分排在10名开外,但其防守排在第7名,最终成绩不错。谈到这种对防守重视的比赛规则,记者问到的几支参赛队都表示认可。郝增帅表示,防御对企业来说更为重要,既知攻又知防才是企业需要的。庞伟也表示,企业应该加强对防御的重视程度,尤其是传统企业,在Web安全方面往往重视程度不够,很容易造成损失。

采访中记者也了解到,这种AWD模式在国内尚未大面积铺开。主办方介绍说,他们去年举办第一届攻防大赛时也是采用传统的夺旗战模式,今年也是一种改进和创新;但对应的,本次比赛在搭建复杂度和技术支持难度上都提升了不少。庞伟也提到,对比传统的夺旗,本次比赛模式的推广,首先是一个对进攻和防守的认识和思维问题,其次也有网络环境和虚拟环境搭建难度和成本的问题。

一场不仅为了参赛的交流

比赛结束之后的采访让记者感受到,与其他比赛还有一点更大的不同,是网络攻防对抗大赛是一场没有失败者的比赛。比赛进行到最后10分钟,大部分名次已经基本成定局,现场的气氛开始活跃起来。有的参赛队选手甚至已经开始交流起来。来自北京的一支研究所金陵CWX的对面,比赛还没结束就和对手交流起了技术问题。当记者问起来他们的感受时,他们说的都是自己的问题:经验不足、水平不够,并且指着对面的三个比明显比他们年龄小的小伙子说:他们实力很强,非常不错!来自中国科学院信息工程研究所的夏葳是参赛的114名比赛选手中仅有的四位美女(绝非客套,参赛的四位女选手都堪称美女)之一,在记者的采访中也笑着表示自己就是为了学习而来,本次参赛的其他选手水平都很强,自己还有不小的差距。比赛尚未结束时有队伍选择整体提前离场,记者追上去试图和他们沟通询问感受,对方苦笑着婉拒:“的确是我们自己水平不够……”。

这种对技术的尊重、对高手的尊重和对自己提高的期待绝非个案,甚至可以说是整个比赛的氛围。正如记者问到郝增帅参赛目的时他脱口而出一句话:“我们是为了检验水平、提高水平而来”。整个采访过程,记者没有听到哪怕一句对比赛环境、比赛规则的抱怨,有的只是对自己的反省,以及一些遗憾和改进。长亭外这次虽然后程发力但未能追上,对获得第二名稍有遗憾,但比赛结束后他们一直在反省自己的战术,同时和技术支持部门交流他们对比赛进程的感受和改进意见。而在最后的颁奖仪式上,获得优胜的6支队伍上台领奖,并手执大大的奖金支票拍照,都能收获到由衷的掌声。这种激烈竞争和平和交流的反差,让记者颇有点不太适应。
 

图注:获奖选手(前6名)合影

除了检验水平和技术交流之外,还有不少参赛和到现场观摩的人也是为了吸取经验,为自身团队的人才提升做准备。郝增帅就提到,他们也希望借鉴类似的方式,在其内部逐步完善人才水平提升的体系。现场观摩的一位行业内人士也向记者表示,安全攻防大赛对人才的选拔和水平提升帮助很大,他们也在关注类似形式,评估和了解相应的组织方式,也许会在今后组织类似的活动。记者在现场看到,长达5个小时的比赛时间内,现场的观摩和交流区基本上人来人往从未停止,这张比赛,其实也便变成了一个现场观摩和交流的平台。

傍晚的武汉,小雨已经停止,空气很好。但比空气更好的,是和我一起走出酒店的参赛者的心情。这是个收获的日子——他们,还有我自己。