王者捕鱼器68000|王者捕鱼得分技巧
機房360首頁
當前位置:首頁 ? 網絡&安全 ? 李現讓你“上頭” 但網絡安全競賽沒想的那么燃

李現讓你“上頭” 但網絡安全競賽沒想的那么燃

來源:未知 作者:未知 更新時間:2019/7/26 10:47:08

摘要:作為距離大眾隱私最近的一環,能夠救民眾于水火的競賽,是整個行業都在強烈期待和推動的,同樣也是一場山高路遠的艱難攀爬。或許,有越來越多的“老婆們”理解并認可了這個神秘的職業,它才真正徹底地走到了陽光下。

不知道有多少人和我一樣,因為近期熱映的電視劇而爬墻,加入了“李現老婆”的大軍。

吸引大家的除了甜到齁牙的狗糧,恐怕就是男主角及一群小可愛們在CTF競賽上為國奪冠的熱血青春了吧。

不過將原著中的電競比賽硬生生改成網絡安全比賽,自然也出現了許多為劇情服務的bug,讓專業人士恨不得順著網線爬過去給編劇一個物理攻擊。

比如對于很多第一次接觸“CTF競賽”這個名詞的人來說,電視劇里描繪的世界確實很美好:戰斗、團隊、高薪、榮譽、青春,一瞬間就能讓人燃起來為之打call。然而現實中的黑客和CTF等網安競賽,卻遠遠沒有這么多光環和濾鏡。

從網癮少年到榮耀加身:黑客大賽是靠啥火起來的?

首先,有必要搞清楚網安競賽到底是干嘛的。

就拿男主角參加的CTF(Capture The Flag)奪旗賽來說,指的是網絡安全技術人員之間進行技術競技的一種比賽形式。以前,黑客們總是通過發動真實攻擊來比拼技術,CTF則是將安全攻防變成了游戲化的設定。

CTF的起源是1996年DEFCON全球黑客大會,而后者如今每年也會吸引全球最多的黑客前往。此外還比較知名的網安大賽還有黑黑帽大會,每年在拉斯維加斯聚集世界頂尖的黑客與安全專業,甚至包括FBI的特工。美國安全機構TippingPoint DVLabs贊助的pwn2own大賽也是高手云集。

近幾年,網安競賽也開始吸引政府或企業的目光,比如美國國防部從 2014 年開始舉辦名為“CyberStakes”的 CTF;中國的BAT3巨頭也都有自己的網安競賽,比如騰訊的TCTF影響力就不小,成為DEFCON CTF外卡賽授權;飽受隱私泄露困擾的Facebook也在2019年舉辦了第一屆fbctf……

目前來看,網安競賽的核心價值無非以下三種:

第一種是幫助互聯網企業查漏補缺,提升安全能力。比如在pwn2own大賽上,黑客查理·米勒就憑借一己之力,在蘋果Mac OS、微軟Office以及Adobe Reade等軟件中發現了20個技術漏洞。谷歌的Pwnium競賽甚至將單日比賽改為了全年制,選手們不論什么時候找到Google的BUG,均可獲得獎金,刺激黑客們來幫助自己發現問題。

第二種是和網絡安全人才培養直接掛鉤。參與比賽的職業黑客有機會奪得分數和獎金,還有企業遞出的高薪橄欖枝,自然能夠吸引和挖掘更多的人才投身網絡安全行業。從國際到國內,從一線城市到三線小城,無處不可CTF,甚至還發展出了專門針對高中生的比賽。

第三種則是公關價值和廣告效應。通過CTF賽事,主辦發可以彰顯對自身產品和技術的信心,有實力搭建競賽環境;奪冠當然也值得宣傳一波,比如騰訊安全團隊在世界黑客大賽上用5秒攻破Safari拿下第一,360公司13人登上微軟2018msrc top100白帽黑客榜單,都是在為企業安全技術實力代言。

正是這三個方面的助推,讓網絡安全競賽迎來了爆發期。黑客們也從互聯網的邊緣角色,成為了賽場上榮耀加身、線下被追捧的主角。

黑客云集的網安競賽,都存在哪些隱患?

網安競賽的火爆,其好處是顯而易見的,比如讓更多人了解和重視網絡安全,推動上下游產業鏈的完善等等。可是在其背后,仍然有不少隱患和疑慮尚待解決。

首當其沖的就是黑客競技與公眾安全之間的界限比較模糊。對于很多觀眾來說,網絡安全漏洞到底危害有多大,或者說黑客的技術能力有多強,還是一個相對陌生的事情,這需要很長一段時間的市場教育。

而CTF的比賽形式與內容擁有濃厚的黑客精神和黑客文化,在節目中攻占攝像頭、入侵手機、截流個人信息,甚至是到國家情報部門系統“一日游”,都是家常便飯,很容易引發大眾的心理恐慌。像我本人看完一場比賽之后,就默默地把密碼改成了30位。如今有賽事要求選手上傳手持身份證照片,就是希望通過實名制等方式來打消公眾的顧慮。

再一點是,僅僅提供賽事獎金并不能解決網絡安全人才的空缺問題。大多數企業主辦方都是“賠本賺吆喝”,指望發掘一些新興人才加入自己的安全技術部門,然而高昂的獎金吸引來的可能不只是人才,還有“賽棍”,進入決賽和得獎的可能來來回回都是一批人,也就失去了挖掘新人的初衷。

而且,競賽所挖掘的人才未必是產業當下最需要的。奪旗競賽并不是現實生活問題的鏡像反映,很多比賽都朝著腦洞越來越大、難度越來越高的趨勢發展,比如在WCTF中就曾經出現過讓選手破解火箭的題目。

很多企業自己不會搭建比賽環境,通過比賽招來的高薪人才,很可能出現在實際工作中水土不服的問題。最后要么是因為技能無處施展而離職,要么就是被巨頭以更優厚的條件挖走。所以說并不是引來了“金鳳凰”,就一定能留得住這些人才,辦賽的投資也就打水漂了。

另一方面,競賽非常考驗選手的手速和反應能力,需要在短時間內完成追捕、逃避、反撲、防守等一系列高強度操作,所以年齡稍大一點都有可能產生反映誤差,劇中戰隊在挑人組隊時選擇的都是十幾歲的小伙也就不足為奇了。但在實際的產業需求中,對于攻擊的判斷、經驗、新興技術的理解等等也非常重要。CTF選出來的人才是否真的能為產業所用,還需要不少的磨合。

更何況,許多頂級黑客也是很難被“招安”的,他們秉承的是“自由探索”理念,與互聯網企業更多的是相互博弈、相愛相殺的關系。2012年,Pwn2Own不再要求獲勝者公布漏洞發掘及攻破過程,就直接遭到了Google的反對,并撤出了對Pwn2Own的資金贊助。

中國互聯網上著名的偷了馬化騰QQ號碼、黑進騰訊的鄢奉天,也被舉報并送進了監獄。總之,借力黑客提升安全能力、充實安全隊伍的想法,以及黑客的“洗白之路”,中間都存在著很多的不確定性,很可能只是企業和贊助方的一廂情愿。

所以我們能看到近年來不少組織機構花重金扶持網安競賽,可是網絡勒索、用戶信息泄露等事故還是頻繁出現,真正走進大眾視野、解決切實需求的案例并不多。

有待“英雄們”解決的安全迷思

網絡安全競賽作為核心元素,出現在大眾娛樂文化當中,無疑會吸引更多的人去關注它,從這個角度講,所謂的“改編”和求生欲未嘗不是一件好事。

不過,當下的網絡環境也提出了許多新的問題,需要公眾、企業與黑客們來共同探索。

舉個例子,許多急切需要提升安全防護的領域,反而無力、無意舉辦類似比賽來招攬人才。研究顯示,在過去 7 年時間里,美國大概發生了 1800 起重大醫療數據泄露事件,其中有 33 家醫院遭遇過數次網絡攻擊。中國也發生過黑客倒賣醫院數據、公立醫院系統被黑客勒索價值2億元以太幣等新聞。

醫療數據事關人命,而與之形成鮮明對比的則是醫院信息安全系統在技術和人才上的嚴重匱乏。但在幾乎所有的網安競賽中,人才都流向了巨頭企業和高額獎金,醫院等公共服務機構幾乎集體失語了。如何將網絡安全人才引導向這個領域,而不是總想著火箭、情報局之類的“干大事”,就需要主辦方多動些腦筋了。

另一方面,各類數據和服務向云端遷移的關鍵時期,想要抵御多樣的云攻擊模式,也需要行業共同探索新的解決方案。比如說以前黑客發起攻擊,防守團隊就需要一晚上不斷地跟進對抗,體力消耗很大,特征算法的引入,就可以讓人工智能與黑客進行對抗。

這時候考驗的就是誰的算法能力更強、技術模型建構的更好、算力更加充沛。所以,未來的網絡安全也許就是巨無霸之間的較量了,如何讓新人的學習門檻變得更低,將是一場百川歸海的生態競爭,巨頭企業們也是時候交出新的答卷了。

整體來看, CTF網絡安全競賽的概念火了,或許根本原因在于,公共數據安全已經在危機中等待救贖很久了。

作為距離大眾隱私最近的一環,能夠救民眾于水火的競賽,是整個行業都在強烈期待和推動的,同樣也是一場山高路遠的艱難攀爬。或許,有越來越多的“老婆們”理解并認可了這個神秘的職業,它才真正徹底地走到了陽光下。

責任編輯:Cherry

機房360微信公眾號訂閱
掃一掃,訂閱更多數據中心資訊

本文地址:http://www.aquhv.tw/news/2019726/n4354120319.html 網友評論: 閱讀次數:
版權聲明:凡本站原創文章,未經授權,禁止轉載,否則追究法律責任。
相關評論
正在加載評論列表...
評論表單加載中...
  • 我要分享
推薦圖片
王者捕鱼器68000 超级时时缩水app 时时彩单双全天计划 7月2号甘肃快三推荐号 意甲电话门 四川省金七乐走势图 天津快乐十分开奖 重庆时时开奖结果表 一分赛统一吗 河北快三中奖秘诀 白小姐中特网4887铁╥盘开奖结果