解密開展奪旗競賽前需要了解的十大問題

隨著安全攻防技術的發展，CTF競賽也逐漸演變成為信息安全技術競賽的一種形式，發展成為全球網路安全圈最流行的一種競賽模式，其比賽形式與內容擁有濃厚的黑客精神和黑客文化。

近年來，CTF比賽的數量與規模發展迅猛，國內外各類高質量的CTF競賽層出不窮，CTF已經成為了學習提升信息安全技術，展現安全能力和水平的絕佳平台。

什麼是CTF？

Capture the flag（簡稱CTF），中文一般譯作「奪旗賽」，指的是通過競賽的方式教授網路安全技術人員關於真實世界黑客攻擊的方法。CTF起源於1996年在拉斯維加斯舉辦的DEFCON全球黑客大會，最早是交流安全技術的重要途徑，發展至今已有20多年的歷史，是目前全球最高技術水平和影響力的CTF競賽。

自此開始，CTF已經逐漸發展成為流行全球的網路安全競賽形式，並且已經遍布世界大多數城市以及眾多在線比賽網站，甚至還有專門為高中學生設計的CTF。

最近，許多企業IT部門也開始組織自己的CTF活動。這些比賽可以呈現出多種形式，不過為了讓這種攻防競賽更具意義，在此之前，您需要先回答以下幾個問題，然後再開始制定練習項目，以確保比賽成功舉辦並達到預算目標。

十大問題

以下內容將幫助企業安全團隊成功設計符合自身要求的CTF競賽項目，它會就「競賽中應該包含哪些類型的挑戰，如何確保比賽順利進行，以及其他流程方面的問題」給出合理建議。接下來，就讓我們了解一下這10個問題的具體內容：

1.你會使用CTF來招募新員工嗎？

組織比賽的原因可以有很多，比如對公司管理層進行關於網路威脅的一般教育，或者將比賽用作團隊建設練習項目。更有趣的目標之一是發現組織內部或外部新的網路安全人才。例如，美國空軍就將CTF競賽用作自己招募人才的方式。

使用CTF手段招募人才的部分原因是大量的網路安全職位空缺現狀。Greg Sparrow是位於喬治亞州德盧斯的Compliance Point公司高級副總裁，曾經幫助過亞特蘭大地區舉辦了多場比賽。他說，

市場對網路安全專業人才的需求已經遠遠超過其供應量，所以可以將CTF視為聚集從事這類工作技能人員的好方法。

而CTF競賽之所以能夠發揮效用的一個重要原因在於，它可以鍛煉員工的實操能力。Sparrow補充道，

我們經常會受限於現實世界中學習到的知識，但實施CTF有助於進行更多的實踐學習，而識別和解決網路威脅，僅僅通過書本上的理論學習是遠遠不夠的，CTF競賽是更接近實際應用場景，而又不會違反相關法律法規的方法。

一位IT經理表示，

我們將CTF競賽作為內部員工安全意識培訓的一種方式。我們將為期兩天的活動分為兩部分：早上的教育課程，我們花時間教育參會者關於黑客技術的理論知識；下午的課程以小組競賽的方式進行。我們發現這種活動形式非常有用，因為每位參與者都通過這種方式成長，並成為公司整體安全防禦力量的一部分。

2.你的目標鎖定在什麼年齡段以及經驗水平？

如上所述，CTF競賽適用於所有年齡層的人，即使是高中生也可以。所以，當你設計你的比賽時，需要考慮你的目標受眾群（包括觀眾和參與競賽者）的年齡層。即便是由自己公司的員工組成的內部比賽也需如此。如果你想吸引公司外部的人參與，你可能還需要制定一些參賽資格來設定預期，並相應地篩選出潛在參與者。

3.你應該僱用商業網路運營機構還是自己組織CTF？

網路模擬平台/網路靶場是由專業安全機構運行的用於進行CTF訓練的地方。如果你不想，或沒有能力組織屬於自己的CTF競賽，可以考慮使用網路模擬平台進行替代，因為他們已經創建完成了競賽所需的攻防場景，來幫助參與者了解常見的安全威脅。

當然，這種網路模擬平台如今也十分普遍：例如，Baltimore網路靶場就是使用了專業安全公司Cyberbit開發的平台。先通過網路靶場進行訓練，可以讓你了解自己的能力並進行查缺補漏，以便在接下來的競賽中更好地實現目標。不過，缺點在於，這些安全公司構建的通常都是通用場景，不如公司自己構建的場景更具針對性。

4.你想運行什麼類型的CTF競賽？

一般來說，CTF競賽主要分為兩種類型：解題式和紅/藍色對抗式。第一個是不言自明的，就是收集了很多類似於電視測驗節目的問題，並按不同類別進行安排。

第二種是更為經典的形式，當然這也是大多數人的想法。比賽分為兩個小組，一組負責防禦（藍隊）另一組負責攻擊（紅隊）。雙方通常會在比賽中輪換，所以每個人都有機會嘗試兩種角色。

當然，您也可以運行兩種類型的混合比賽。不過，可以肯定的是，無論是進行何種類型的訓練都一定會讓你受益匪淺。

5.你將使用哪些類型的競賽試題？

大多數CTF會將他們的賽題混合到幾個類別中，例如隱寫術（Steganography，一門關於信息隱藏的技巧與科學）、密碼學、移動操作系統漏洞利用、特定於應用程序的攻擊（Web，電子郵件，文件共享）、逆向工程、取證、編程以及滲透測試挑戰等等。選擇什麼類型的問題，取決於你想完成什麼目標。

6.你會如何制定獎勵、入場費和比賽時長？

在設計比賽時，你需要考慮後勤因素，並確保自己清楚傳達了有關獎項設置，以及比賽實際運行時間等問題。每個人都希望通過某種獎勵來獲取比賽動力，CTF當然也不例外。

7.CTF是否會向公眾開放？

一些CTF是真正的公共活動，你必須要前往實際場所，並與其他參賽者坐在一個房間里完成比賽。而有些則僅限於在線活動，你需要的只是一個Web瀏覽器和一組黑客工具就能夠參與競賽。還有一些會採取「公司專用」或「僅限邀請」的方式進行，並不對外開放。不過，無論形式如何，選擇符合自身需求的方式才是最重要的。

8.你會從哪裡獲取比賽試題？

事先弄清楚這個問題通常是最耗時的任務之一。田冠宇（音譯）是聖路易斯Fontbonne大學的計算機科學助理教授。他已經組織過高中級別的CTF競賽，並招收學生申請他的本科課程。他說，

你必須考慮為參賽者設置有難度的問題，如此才能篩選出真正有競爭力的人才；而且有時候也需要根據參賽者水平設置相匹配的試題，這一過程是非常耗時的。

例如，對於高中級別CTF競賽中年僅十幾歲的參賽者而言，能夠在幾個小時內解決他設置的大部分問題，他感到十分驚訝。他說，

我們最終需要額外的挑戰來保持競賽繼續進行。我們的教師在參加其他比賽方面有很多以往的經驗。因此，即使我們知道要提出的問題類型，也仍然需要花費一些努力才能找出與參與者相匹配的問題。

Midwest Cyber Center的執行董事托Tony Bryan曾經為青少年和成人組織過幾場CTF競賽，他同意田冠宇教授的這種看法。他說，

提前了解參賽者的知識水平和興趣非常重要。此外，當你遇到挑戰問題時，你應該為人們設置提示信息。

9.你會使用第三方基礎設施還是自己的？

許多新的CTF競賽組織者經常會忘記的一個方面是，如何對參賽者進行評分，並跟蹤每個團隊在解決各種挑戰方面的進展情況。通常情況下，這些信息會顯示在監視器上供參與者在完成每項挑戰時查看。您可以DIY、聘請顧問，或使用各種開源解決方案來創建記分牌顯示。

Sparrow使用的就是自行開發的數據捕獲和報告組件解決方案。一家公司的IT經理表示，

我們的第一個活動是由第三方提供支持，並在我們自己的場地主辦的。他們提供伺服器、評分系統以及課程材料；我們提供了網路基礎設施和筆記本電腦。我們第一次使用第三方來幫助我們弄清楚我們想要的是什麼，以此來簡化轉變流程。在那之後，我們就能夠在內部運行自己的CTF並建立自己的評分系統了。

10.對於競賽所需人員，你會使用外聘人員還是自己的員工？

想要順利組織一場競賽活動，你需要各種各樣的人參與——從選擇場地、部署設備，到為參賽者預定房間，再到評委、裁判以及提供技術支持的專業人員。這些人員可以選擇外聘，也可以任用自己公司的員工，或是兩者相結合。

例如，Sparrow就是選擇使用自己公司的IT安全架構師和滲透測試人員作為教練和活動主持人，而從幾個亞特蘭大安全社區和IT組織外聘了活動的評委。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！