主页 > 安全 > 阿里云安全:宝剑锋自磨砺出

阿里云安全:宝剑锋自磨砺出

admin 安全 2020年08月26日

在网络安全圈子里,白帽子群体一直蒙着一层神秘的面纱。

他们既能够通过高超的技术能力,挖掘出互联网的安全漏洞,又能凭借“白帽子”的道德操守,与真正的黑客“黑帽子”时常上演针尖对麦芒的网络对决。

作为一股不可忽视的,维护世界网络、计算机安全的主要力量,白帽子不仅有固定的小圈子,也有他们喜欢的公开比试的赛事,这就是CTF。

12月7日,由长亭科技举办的2019 Real World CTF国际网络安全大赛在北京正式拉开帷幕。本次大赛以“Hack the real”为主题,为期两天的盛会囊括“国际网络安全大赛”“阿里云安全挑战赛”“安全训练营”“技术论坛”“Hack Valley”五大板块。

阿里云的加入,似乎让这场白帽子最看重的CTF比赛,多了一些不同的味道。

用实战,重新定义CTF赛事标准

CTF(Capture The Flag),又叫信息安全领域的夺旗赛。它从1996年的美国拉斯维加斯发源而来,主要分为解题和攻防两种形式,综合考验白帽子战队的技术、策略和能力。

由于CTF非常接近现实中的网络安全攻防,被国际安全圈普遍认可是可以培养安全人才的重要手段,也颇为受到热爱网络安全技术的年轻人喜欢。这些年来,CTF赛场上从不缺少热血、坚持和突破自我的故事,也诞生一批又一批网络安全的白帽子精英。

自身也是白帽子出身的,阿里云云平台安全总监,云产品安全负责人牛纪雷,花名东厂,对CTF赛事也并不陌生,“2014年加入阿里之后,首先接触的就是人才培养和团队建设。当时为了应届生的招聘,北京、成都、武汉、西安等这些城市都跑遍了,但是效率还是比较低,通常面试100个人仅有1-2个是适合的,然后再到实习阶段,最后一半都留不到。”

其实,这种产学脱钩的情况在行业内早已凸显了,学校的课程和专业,与用人企业的需求脱节。所以,在2015到2016年的时候,阿里云也跟随着CTF赛事来招聘人才,招人的效率确实高了很多,但后来发现也有一定的缺陷。

因为,真正的“real”其实并不来自于比赛本身,而是在真实的业务场景中。如东厂所说,“CTF通常是是纯比赛型的,这些题目本身是有答案的,而阿里云的赛事加入之后,我们提供的都是真实的环境,场景更真实,反馈的能力也更接近实战。”

为了此次比赛,阿里云首次开放真实的线上运行环境,并挑选 ECS(云服务器)、RDS for MySQL(数据库)、MaxCompute(大数据计算服务)三款云上核心产品接受选手挑战。“我们是习惯了以内部的视角看问题,而CTF这些参赛队则是外部的视角看问题。尽管阿里云内部,也有专门挖洞的蓝军,还会请业界顶级的团队来做攻击。但我们还是希望CTF的精英能够帮助我们反馈真实的问题。”

标签: