NSCTF2.0 or 貔貅之谜,那些你不晓得“春风化雨润物无声” – 作者:aaronlee

今天分享的主题是「貔貅经济下的CTF模型」;主题很苍白,路途很漫长;当踏上这条不不归路的时候,世人才明白世界上还是有一群为之奔波的人们;

达芬奇曾经说过“当我们只有在试图理解一个事物的时候,才会对他产生爱恨!”

2002年的时候刚刚上初中,那时候家里刚刚买了一台兼容机(组装机)并且拉了一条一个月限时300小时120元的宽带,从此我的人生就进入了网络时代(刚开始想笑,后来想哭);因为家和学校中间有个邮局(那时候还叫邮电局),家离学校就5、600米的距离,每天都会从邮局路过;那时候信息载体已经脱离软盘时代进入光盘时代,每每朋友们聊天就说:“我有什么什么光盘游戏,什么什么电影合集”;那时一张光盘5块到10块不等,而5块钱对于我们来说是一笔不小的数目(每天只有1元零花);因为没有收入来源,所以那时候我就会打着学习的旗号让爸妈买带光盘的电脑书籍,而交易的那个地方就是家与学校之间的邮局咯;《大众软件》就是当时我的首选书籍,关键会送海报,会送游戏光盘;书里内容为当时几个大型游戏厂商的游戏板块,天人互动、寰宇之星,联想、戴尔品牌机,各种游戏外设、游戏CG全都包含….直到03年夏天的一个周五,再路过邮局看到一张幽绿色竖型鬼画符(现在知道是代码)黑色背景的海报,标题是“蜜罐”的《大众软件》,而且这次送的东西还不少呢,有一个纸封“蜜罐”安装光盘,有一本安装部署操作手册,有一张“鬼画符”海报…哇哇哇,这不买不就吃亏了么…随即当天在家取了钱就入了这本“豪华版大软”,再到按他的操作部署“蜜罐”到系统奔溃,再到找人花钱装机,再到一个星期自己装五次系统一气呵成;

我是做网络安全的,常常看着后半夜月亮往家走,后来月亮看腻了,试着闭着眼睛去走直线回家,每每这个时刻就想安全的真谛是什么,可我这样闭着眼睛走真的安全吗?那盲人怎么办啊?

曾经在XX华域做安全开发工程师;刚开始活很杂(人员少的缘故),公司里的业务除了测评没做过(所以文笔一般),其他基本上都过过手;到后来就只负责攻防平台和竞赛业务了,

跑的地方比较多,除了XiZang木有去过,其他的省份都踏过一遍;到后来因为竞赛业务收缩及种种原因就离开了。

—————————

“貔貅” ,中国古代风水学者认为貔貅是转祸为祥的吉瑞之兽。从古至今,上至帝王、下至百姓都极度注重收藏和 佩戴 貔貅,传说貔貅除了开运 、辟邪的功效之外,还有 镇宅 、化太岁 、促姻缘等作用。中国传统有装饰“貔貅”的习俗,貔貅寓意丰富,人们相信它能带来欢乐及好运,古时候人们常用貔貅来作为军队的称呼。

图片[1]-NSCTF2.0 or 貔貅之谜,那些你不晓得“春风化雨润物无声” – 作者:aaronlee-安全小百科—————————-

一、CTF1.0时代

客户(组织者)跟着国家政策走,国家大力发展网络安全,我们就倡导网络安全;

效益:走在行业的最前端,有荣誉,有领头的作用;

企业(承办者)自己企划解决方案,要起到声势浩大,有一锤定音的效果;

效益:承办经费,培训费用,顺便打打知名度;

导演系的黑客学生,跟文化有关与技术无关:

那时候黑客技术被称为秘术一点也不为过,因为没有系统性的教学,没有公开对应的技术交流;再加上人们传统思维的束缚,黑客是一个很隐晦的职业;可国家的发展方针就是要立竿见影,不像国外每年都搞黑客大赛;这样的话本土企业一点头绪也没有,所以老一代国内的安全竞赛必须要赛前培训;

因为我们是承办方,给我的感觉更像是带领演员走一出过场;赛前要考虑到各方各面,有条件的情况下所有流程都要提前走一遍,以至于选手怎么入场、领导从哪里上台都会走一遍;

竞赛的话,我把他们分为赛务和会务;赛务:为了竞赛的一切相关事务从搬桌子接网线到观摩页面调试正常;会务:从会场的布置到主持人主持到竞赛结束颁奖,领导讲话致辞;

所以每一场竞赛,我都会把他当成一个新的学习,看似相似实则不同;跟文化有关与技术无关;

有利可图:

近些年我总是遵循“闭环”原则:做事呢,不能有头无尾,要事事有回响,声声有回音;而且要做到逻辑上的高度契合,所以我们就谈谈当下CTF行业的闭环吧;

国家部委每年都要搞安全竞赛,为的是促进网络安全行业的发展,做到产业规范进步;从这个环节开始各个安全厂家就开始争的头破血流,因为谁拿下大赛,就有之后整个产业的最高发言权,因为国企有很多,赛前培训必不可少,如果说运作整个竞赛赔钱其实都不为过,但培训是铁打赚钱的,因为培训给1个人和培训20个人成本相差无几,所以某个安全服务公司声势浩大的搞了好几年竞赛却没有赚到钱,开始意识到竞赛其实不赚钱,培训才赚钱,开始大力发展培训团队;很早以前J牌公司就开始做培训了;因为地方政策的原因,有三年百人人才培养计划,就是说每年都有固定的培训,而促进培训的就是竞赛;在长时间培训后渐渐的演变出课程体系,演变成课程辅助工具,培训平台;事出有因,半路总是会杀出程咬金,14年底Y公司在网上发布一个在线培训平台内测;是的,你没听错,是内测;不过不是游戏的内测是在线教育平台的内测,他们的方针呢是与大众专家安全人员合作产出安全知识内容,然后在线发售;15年中在线平台上线,紧接着产出线下平台;既然连Y公司都介绍到了那就介绍一下S公司吧,14年5月11日BCTF在南京打响由“百度”冠名行业内各个专家坐阵(文前某公司就是这个公司),虽然过程可能不太顺利(中间竞赛时间有延迟)但也算是起到一锤定音了;还有很多值得尊敬的公司,我就不一一提起了;

竞赛至培训,培训到竞赛;一切都是围绕着这两部分;

14年随是个多事之秋,但经济也是上行最厉害的时候;虽然挤,但不管怎讲,为国家做贡献,国家站在你身后永没有错;

貔貅之谜:

世上最难解决的就是商人与群众之间的矛盾;各取所需也好,互惠互利也好;但永远是只有买错没有卖错,你考虑的是这个行业如何赚钱,别人考虑的是如何进入这个行业,进入后就直接转入白热化阶段;你有你的张良计,我有我的过墙梯;客户那边呢:钱花的不是自己的,我也是来走过场的,今年我跟你关系好,明年领导一换又是另一番场景,所以赚快钱,只进不出就是现阶段市场现象;

二、CTF2.0时代

1.0的问题想必已经暴漏无疑;“一切”为了“竞赛”,“一切”为了“培训”,快钱好赚,就跟捕鱼行业里的死网一样,前人抓鱼,后人喝水;

恐龙园里有恐龙

绿盟CTF服务产品2.0主要围绕攻防平台,遵循“以赛促学”的原则,将培养人才与竞赛支撑相结合。目前主要包含三种服务类型,一是CTF竞赛服务,二是培训服务,三是在线服务。

CTF服务产品2.0以NSCTF线上门户系统为载体,集中线上ISTS实训平台学习系统和NSCTF竞赛平台优势,打造成绿盟科技NSCTF2.0大数据学习生态系统。针对线下基础标准课程设置线上学习模式,具备详细的学习课程、视频教学过程、实验操作说明文档等内容。线下培训更是集中经验丰富的培训讲师和绿盟科技CTF战队成员,从而提升学员技能水平。线上线下培训均配备有课程对应实验演练环境,组织历年赛事组织真题分享和思路整理,增强学员网络安全攻防能力。针对培训课程设置绿盟科技专业培训认证,贴近实际需求,定制服务多样。

NSCTF2.0线上门户系统包含ISTS在线学习系统、NSCTF挑战赛、CTF实验室、培训政策解读、CTF热点赛事同步等部分;NSCTF竞赛平台是一款基于SaaS的线上CTF平台,主要支撑线上CTF竞赛和网络安全技能培训等内容;ISTS在线学习系统集中20多个网络安全方向,从视频学习、工具操作到实战演练,形成一体化学习,提高实战操作能力。

价值提取

大数据分析CTF服务产品针对客户历次培训和竞赛人员记录,对客户进行大数据分析,主要是行业数据分析、地域数据分析、比赛数据分析、参赛选手个性化推荐和Top10用户排行榜。

一站式全方位学习CTF服务产品从客户实际需求出发,提供一站式全方位学习服务,配备线上和线下学习模式,贴合客户实际需求。线上学习平台可以满足客户网络安全基础知识掌握和安全意识普及,从而提高学员CTF认知水平和核心竞争力。线下培训配备有班主任服务,从学员管理、教学管理、质量管理等多方面提高培训效果和实用性。

生态养成

综合能力训练CTF服务涉及不同方面的网络安全攻防技术,不仅可以进行培训支撑,也可以进行实操场景实时练习,综合提升人员能力。

定制化服务给客户更多选择通过推出定制化服务,结合当前培训业务和竞赛支撑平台进行定制化需求,来满足客户的不同需求,选择性更多。

线上服务,远程支撑CTF服务提供线上竞赛和培训服务,不用支撑团队和讲师人员到达现场,可进行远程支撑,节省人员消耗和成本。

打造NSCTF2.0大数据学习生态系统集中线上线下学习系统优势,构造具备绿盟特色的生态学习系统,实时跟踪学员学习动态,综合提升学员技能水平和竞赛水平。提供一对一定制化培训解决方案,更贴合学员需求和企业单位对网络安全人才的要求。

来源:freebuf.com 2021-02-04 19:27:26 by: aaronlee

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论