组织CTF比赛可以构建安全技能并有助于新的内部和外部人才,要发挥CTF的价值,我们需要了解需要包含哪些类型的挑战,如何使比赛顺利进行。
什么是CTF
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,世界现在有很多在线比赛网站,甚至还有专门为高中学生设计的CTF。
最近,许多行业和企业正在组织自己的CTF活动。这些比赛可以有多种形式,在组织比赛前您需要回答几个问题,然后开始实施以保证比赛成功并达到预算目标。
1
你会使用 CTF 招聘新员工吗?
组织比赛有很多原因,比如对管理层进行关于网络威胁的一般教育,或者将比赛用作团队建设练习项目,还有就是发现组织内部或外部新的网络安全人才。比如美国空军就用组织CTF比赛的方式招募人才。
部分原因是网络安全人才短缺。Greg Sparrow是乔治亚州德卢斯的Compliance Point的高级副总裁,他们帮助亚特兰大地区举办了多场比赛。“网络安全人才供不应求,CTF是发现具备从事这类工作技能的人的好方法。”
“组织CTF有助于进行更多的实践学习,以识别和解决网络威胁,这是仅仅通过理论学习或者培训是无法实现的,CTF比赛更接近于实际应用场景,而且不会违反相关法律法规。 ”Sparrow说。
一位IT经理告诉我,“我们将CTF比赛作为内部员工安全意识培训的一种方式。我们将为期两天的活动分为两部分:早上的教育课程,我们花时间教育与会者关于黑客技术的问题,下午的课程以小组形式相互比赛。“他们发现他们的活动很有用,因为每位参与者都以这种方式成为整体安全防御的一部分。”
2
你的目标是什么年龄段和经验水平?
如前所述,CTF可以适用于所有年龄的人,即使是高中生也可以。所以,当你设计你的比赛时,要考虑观众和想让参与的人。
无论是外部还是内部比赛都是如此,如果想吸引公司外部的人参与,可能需要提出一些参赛资格问题,并筛选潜在参与者。
3
雇佣运营机构还是自己组织CTF?
使用专门的网络模拟平台或者专业机构的优势是他们已经有成熟的体系和场景,预设了场景和常见的安全威胁,比赛会更专业;但同时这些机构大都构建的是通用场景,针对性不够,可以与公司自己的场景有一些差异。
4
你想运行什么类型的CTF比赛?
一般来说,有两种类型的比赛:解题式和红/蓝色对抗式。第一个是不言自明的,收集了类似于电视测验节目的问题,并按不同类别安排。
第二种是更经典的格式,分为两个小组,一个防御(蓝队)另一个攻击(红队)。双方通常会在比赛中轮换,所以每个人都有机会尝试两种角色。
您也可以运行两种类型的混合比赛。
5
你将使用哪些类型的赛题?
大多数CTF将他们赛题混合到几个类别中,例如逃逸、密码学、移动操作系统漏洞利用、特定于应用程序的攻击(Web,电子邮件,文件共享)、逆向工程、取证、编程和渗透测试挑战。选择什么问题,取决于你想完成什么目标。
6
你会如何确定奖励、费用和比赛时长?
在设计比赛时,请考虑后勤因素,清楚传达设置什么奖项,有什么奖励,以及比赛实际运行的时间。以保证对参与者的刺激和吸引。
7
CTF是否会向公众开放?
一些CTF是真正的公共活动,参与者必须前往举办场所并与其他参赛者坐在一个房间里。有些仅限于在线,参与者需要的只是一个Web浏览器和一组黑客工具。有些会因公司专用或仅限邀请邀请而不开放。是否开放,根据自己举办CTF的需求和目的,选择最适合您需求的方式。
8
你会从哪里得到赛题?
田冠宇(音译)是圣路易斯Fontbonne大学的计算机科学助理教授。他组织参加过高中级的CTF,也招收学生申请他的本科课程。他说,“你必须考虑为参与者设置难度的问题。”
例如,对于十几岁的参赛者,能够在几个小时内解决他的大部分问题。“我们最终需要额外的挑战来保持竞争力。我们的教师在参加其他比赛方面有很多以往的经验。所以即使我们知道要提出的问题类型,仍然需要花费一些努力才能找出与参与者相匹配的问题。” 田说。
Midwest Cyber Center的执行董事托尼布莱恩曾经为青少年和成人组织过几场CTF,他同意这种看法。“提前知道适当的知识水平和兴趣非常重要。此外,当你遇到挑战问题时,你应该为人们提供提示。”
9
你会使用外部的比赛设备还是自己的?
许多新的比赛组织者在给参赛者评分的同事跟踪每个团队在解决各种挑战方面的进展。通常情况下,这会显示在监视器上供参与者在完成每项挑战时查看。您可以DIY,聘请顾问,或使用各种开源解决方案来创建记分牌显示。
Sparrow使用自行开发的数据捕获和报告组件解决方案。一家公司的IT经理告诉我,“我们的第一个活动是在我们的场地由第三方主办的。他们提供服务器,评分系统和课程材料; 我们提供了网络基础设施和笔记本电脑。我们第一次使用第三方来帮助我们弄清楚我们想要的是什么,并且能够简化转换。” 在那之后,他们能够在内部运行自己的CTF并建立自己的评分系统。
10
你需要什么样的工作人员来组织比赛?
组织比赛需要各种各样的人来协同工作,从选择场地、场地布置,到评委、裁判以及一些支持技术人员。这些人员可以是外聘的,也可以是自己的员工。
例如,一家公司使用他们自己的IT安全架构师和渗透测试人员作为教练和过程监督评委,而Sparrow从几个亚特兰大社区和IT组织获得他的评委。
(编译自CSOonline)
关于 ISG 竞赛
“中国信息安全技能竞赛”(ISG)起源于2009年,是由中国信息安全认证中心与上海市信息安全行业协会联合发起,参考人社部相关文件要求成立竞赛组委会,并由竞赛组委会主办的全国性信息安全专业方向综合类竞技比赛。
竞赛包括:管理运维赛、技术挑战赛、知识公益赛等多种赛制构成,ISG已经成为竞技比赛、安全教育、社会宣传、人才选拔为一体的综合服务平台,是目前中国网络与信息安全领域最具影响力和权威性的综合性赛事。
竞赛宗旨:“发现人才 体现价值 普及意识 聚焦问题”。
来源:freebuf.com 2018-03-18 16:18:03 by: 易念科技
请登录后发表评论
注册