第一个问题就是,为什么要举办攻防比赛?其实最初我还在大建行的时候,我是属于反对派的,我觉得搞那事干啥,分行那些人基本不会,开发中心、数据中心的人,也只有个别能玩,一是会的人太少,比赛根本打不起来;二是这帮人学会了挖漏洞,感觉对企业安全好像不是正向的,而是威胁更大了啊。
直到最近几年,大江南北都如火如荼地开始搞攻防比赛,我才觉悟了,作为CSO,搞比赛那是很重要的业绩啊,好处多多:
1、提高网络安全在企业里面的
影响力,带动安全意识科普
网络安全的重要性已经毋庸置疑,网络安全法,等保2.0,但是网络安全对于普通员工和技术人员来说仍然披着神秘的面纱,通过组织一次网络安全竞赛,围观群众就可以很好的拉近与网络安全的距离。“亲爱的,热爱的”虽然原来写的是电竞比赛,为了蹭热度变成了攻防比赛,但是不得不说,我司的网络安全人员在单位的女同事、小姐姐中,存在值大大提高了,为我们科普安全意识也提供了不少便利。
2、提升自己企业在行业和本区域
的网络安全形象
华数所在的广电行业,各级领导们(嘴上)对安全是极其重视的,怎么证明我比其他省做得好?买安全设备,买安全服务,这得领导批钱,不批给你,壮志难酬。但是办个比赛,可以刷出影响力,全行业都知道你在干活。今年晚些时候广电总局还要举办全国的CTF比赛,要是有幸拿到好的名次,那都是实力的象征啊,都是杠杠的工作业绩。其他企业也是一样的,比赛是一个非常好的刷形象的手段。
3、网络安全人员上升的途径
广电行业也已经将安全竞赛纳入到广电全国技能竞赛中,纳入了职称体系,获奖选手可以用来职称评定,能够给有一技之长的技术人员彰显才华的舞台,也给公司一个发现人才的机会。
4、知攻方能善守
常说攻击最好的防守,知己知彼百战不殆,技术人员知道了攻击的方法,自然也就明白了应该如何防守。其实完全不必过于担心内部人员学会了手痒干坏事之类的,全国的攻防比赛举办这么多,自己人学好了干坏事的案例,几乎没有报道。
好处这么多,那么我们就下定决心举办一场比赛吧,但是,并没有那么容易,待我慢慢向你道来,困难远比想象的多。
第一阶段:动员阶段
首先要给那些技术人员讲一讲理想,告诉他们,学了这个,将来可以成为什么样的人:作为甲方的安全管理人员,通常来说应该学习网络、安全产品、操作系统基线、风险评估技巧,学这个黑客技能有什么用的?
那么我们要从安全的工种说起:
1、安全架构师;
设计公司安全架构,对信息系统分级,对网络分域,通常要有很强的网络能力,对公司业务也要十分熟悉。
2、风险评估与IT审计;
负责分析和评估公司的技术基础设施,以确保流程和系统能够准确有效地运行,同时保持安全性和符合法规要求,一般有CISA的证。
3、 安全产品工程师和安全项目经理;
这可能是一个人,也可能是几个人,负责安全项目实施,运维那些安全产品,管管堡垒机什么的,调优一下日志审计和态势感知。很多企业的安全人员就干点这个事儿,好一点的话,有CISSP/CISP的证。
4、 渗透测试工程师。
这是个新的职位,还挺专业,要会使用漏洞扫描工具,会验证已知漏洞,能够指导系统工程师修复漏洞,对被攻击系统能够定位是受何种攻击,并快速处置,工具无法到达的领域开展手工渗透测试,高级一点的可以通过业务逻辑寻找漏洞。考证的话,是cisp-pte。
攻防竞赛培养的是第四类,这个工种的薪水最是客观… 大家纷纷表示要参加。有足够的参赛人员,至少40人才能组织起精彩的比赛,如果人不够多,那些小型企业,那只能组织集训,然后组队去参加别人组织的比赛。
基本上,要自己组织比赛,玩得起来,得是好几万人的企业,还得是个技术类企业,最好是分支机构比较多的,才有竞争,能把比赛打起来。
第二阶段:筹备阶段
1、 招标一个竞赛服务公司,培训+攻防平台;
这点很重要,大部分的传统安全公司都有这个服务,银行有钱可以自己买个平台,买不起平台就只能租,但不管买不买,要把比赛打起来,必须买培训,否则可能就要干瞪眼了。
2、场地和辅助材料;
如果参加的人很多,建议控制在120人以内,如果很少,至少要动员到60人以上,那么比赛才会比较有意思。通常你租的会议室,无法承受120台笔记本电脑同时插电,每台0.5A,那么需要60A 的电,还需要那么多的插线板,这是必须提前布置好的。
其次就是网络,120人的无线网络也是一个挑战,建议买4台大功率高性能的专业AP,30人1台,胖AP模式,不需要买AC,4个SSID又没关系。
然后竞赛服务公司如果没有交换机之类的,还得自己弄个交换机,一台低端的防火墙,以及流量分析的设备(推荐免费版本的Panabit就好了,镜像流量给它),都是用来防止学员下黑手把攻防平台干了,或者互相黑。
然后再买个干扰器,把蜂窝网络干扰掉,避免作弊,因为ctf 其实很多题目网上能查到解题思路,必须断网保证公平。
第三阶段:培训和比赛阶段
1、必须要培训;
尤其是第一次搞,因为日常的安全技术工作与ctf解题还有相当大的一段距离,ctf更类似于数学竞赛,需要练习以及脑洞。我相信一般的企业,也不会比我们广电企业好到哪里去的,没有培训时,基本都是棒槌,培训后很多人就能开窍。
建议培训至少3天,第一天Ctf背景,题型,规则等;第二天基本工具发放,教导使用,以及CTF真题演练;第三天团队题目演练及培训。
2、出题;
这是个很有挑战的工作,出简单了,拉不开差距,出难了,一堆零分太难看了,如果有20个人得奖,至少要保证20个人能得分吧。(别笑,我真见过,有个企业只有19个人得分,只好19个人得奖)。教你们一个好办法,就是加一些选择题,比如网络安全法,防火墙配置指南等,可以更全面的考察选手的综合能力,最大的好处是避免出现0分。
首先我们要出一批简单的CTF题,这指的是不需要运行虚拟机的题,平台可容纳大量选手同时做题。再出一批复杂的CTF题,解体时平台要运行虚拟机。如果你租来或者买来的考平台,只能60个人并发比赛,那么你就必须搞初赛和决赛,可以上午初赛,用简单的CTF题把人数刷到60人,下午决赛,使用复杂的CTF题。
其次我们要准备团队题,竞赛平台对团队赛的队伍数量也是有限的,通常只有15-18支队伍的并发,3人一组,只能容纳45-54人。其实最重要的是选择合理难度的题目,团队赛真的有好些队伍被剃光头的,如果要设6支队得奖,那么要让至少6支队伍能够理解规则,组织起进攻。可以选择2道题,一道简单一道难,2小时一道,中间休息。
团队赛难度可视前一天个人CTF赛水平进行调整,不建议赛前提前组队,要保证参赛选手有一定的水平,要适当启用防作弊模式,以人工口头警告为主。
第四阶段:现场评奖,宣传,奖金发放
邀请业内知名专家来颁奖是十分有意义的,把公安厅的领导,自己行业的主管领导,公司领导都请来,热热闹闹的,提前制作好奖状、奖牌、奖杯,举办一个颁奖典礼,皆大欢喜。
然后要提前写好一篇精彩的报道,颁奖典礼后,发公众号,宣传一下,大功告成。要是行业主管部门能把获奖名单发文,那就更完美了。
至此,比赛圆满成功,最后我们来说点小花絮吧!
1、团队赛建议使用有线网络进行比赛,每队一个小交换机,这样更加稳定,然后网络可以让选手自己布,提供网线和水晶头,不会做或者做得不好,到时候不通,只能怪自己了,当黑客不会做网线可不行啊。
2、流量分析软件十分重要,可以查到有没有互相攻击的行为,有没有偷偷传消息的行为(CTF时送答案给朋友),抓住那些胆敢攻击平台的人。
3、CTF玩得好,团队赛不一定打得好:
CTF是解题,可以通过刷题大幅提高水平。团队赛是进攻和防守,得高分要会编程,会写脚本。一般三个人一组,要配合,要指挥。
4、什么样的人能够在攻防比赛得高分:
因为很多题目要写脚本,读程序,所以我们发现通常来说,程序员>系统工程师>网络工程师,需要综合能力和广泛的知识,善于思考,动手能力强,真正考验动手能力,纸上谈兵的理论可不行。
5、每个厂商平台里面的题目数量有限,虽然每年也有更新,但我的建议是每两年换一个厂商的平台,可以让比赛更刺激。当然,对自己的挑战也更大。
举办一次攻防竞赛,难度不亚于一个大项目,涉及很多方面,还绝对不能延误或者出岔子,你需要一个好的项目经理,或者你自己就是。