从0到1,腾讯安全实验室大咖与你聊CTF

腾讯云大学

点击观看大咖分享

TCTF是由腾讯安全发起、腾讯安全学院、腾讯安全联合实验室主办,腾讯安全科恩实验室承办,0ops安全团队协办的腾讯信息安全争霸赛,致力于联合行业战略伙伴建立国内首个专业安全人才培养平台,发掘、培养有志于安全事业的年轻人,帮助他们实现职业理想,站上世界舞台。今年腾讯举办了第四届TCTF大赛,正式赛程也已经启动。


TCTF赛事介绍

产业互联网时代,网络安全非常重要,在这样的背景下,本次TCTF大赛秉持着怎样的办赛理念和目标呢?出题者是以什么原则和思路来出题的呢?在2017年,CTF比赛形式刚传入国内不久,质量参差不齐。为了提升国内CTF比赛质量,与国际接轨,帮助有志于安全事业的年轻人站上世界舞台,腾讯将TCTF和0CTF联合,申请成为中国大陆地区唯一的DEF CON CTF外卡赛。

2018-2019年,腾讯举办了第二届和第三届TCTF腾讯信息安全争霸赛,此时国内的CTF赛事数量增长很快,出现了CTF三大国赛,赛事质量有一定的提升,但是仍旧良莠不齐。腾讯的TCTF赛事成为国内和国际CTF赛事的标杆之一,这期间也连续获得DEF CON CTF外卡赛的资格。

今年的TCTF赛事由于受到疫情的影响,不可避免对于赛程安排做出调整,下图是2020年赛事整体安排的时间轴。今年赛事会分为2个部分,国际赛(0TCF)和新星邀请赛,这2个比赛的题目是完全一致的。

TCTF赛事理念

在我们看来,TCTF的赛制设计应该满足这些原则:整体难度应契合目标选手人群的水平能力;整体难度和复杂性不能超过主办方/出题人的能力范围;本身应足够成熟,不应有规则上的明显漏洞或不平衡;应让选手更多专注于研究赛题,而非赛制或规则本身;应能够尽量全面考察选手能力,或深入考察选手某一特定方面的能力。

目前常见的CTF赛制主要有3种:解题模式、攻防模式和KoH模式。在解题模式中,难度越大分数越高,数量越多分数越高。攻防模式中,参赛队伍需要预测主办方设置的漏洞,通过这些漏洞攻击对手,才能获得分数,更着重考察速度,因为一血是有着压倒性的优势的。KoH模式,除了要比较战队的解题速度,也考核解法的质量和优化能力。

TCTF比赛采用的是解题模式,因为它能更全面地考察选手的能力,如果选手能更快地解出题目,就有更多时间做其他题。但是缺点在于,对于出题者来说,题目的难度与对应分值较难把握。因此我们采用了动态分数的方式,题目的分值根据解出题目队伍的数量而定,解出某个题目的队伍数量越少,则该题目分值越高。

赛题是CTF赛事的核心,是CTF赛事与选手直接交互的最前沿,赛题的好坏决定了选手对于整场CTF赛事的直观评价,赛题的质量和水平基本上决定了整场CTF赛事的质量和水平。对于选手来说,好的赛题新颖有趣且有挑战性,能从中学到知识、方法和理论。而坏的赛题一般过于简单或者过于困难,其中会出现设计和编程bug,即使做出来了也学不到什么东西。

我们可以从难度、创新性和趣味性、解法、内涵和思想深度、健壮性这几个维度来评价TCF的赛题。赛题难度要合理,让参赛者感受到挑战性。要有原创的出题思路,题目要有趣好玩。赛题的解法应具有普适性,甚至是有学术或应用价值。题目背景要有深度,最好能体现出一些深刻的思想内涵。题目无设计或编码bug,非预期解必须可控,这是最基本的。

国内信息安全行业解读

2015年腾讯安全主营的业务是面向C端消费者的腾讯手机管家和腾讯电脑管家,随着互联网行业的高速发展,网络安全已不再是解决单个用户的问题,而是逐渐上升为企业、社会甚至是国家层面的需求。经历腾讯930变革后,腾讯安全的业务也开启了迈向产业互联网转型的道路。

国内的安全行业现在正处于急速上升、基带爆发的阶段。随着云技术的广泛运用,中国和海外云体系下的安全需求以及业务都处于高速爆发的阶段。目前中国企业的安全投入占总IT投入的2.1%,该比例只有美国的一半,可以预见未来中国企业会持续加大对安全的投入。

国家对网络安全需求关注日趋明显,安全技术人才缺口大。今年国内网络安全人才的缺口已经达到了140万,充分说明安全行业是一个非常有核心竞争力的就业方向。安全行业主要有安全服务岗、安全运维岗、安全运营岗、安全研究岗以及安全开发岗这些岗位。

安全是腾讯内部非常重视的一个业务,自2013年起就十分关注安全教育事业的发展和安全人才的培养。成立犀牛鸟基金,致力于推动学校和科研的发展。腾讯举办的TCTF大赛也是国内目前数一数二的CTF赛事。2017年腾讯与教育部签署教育合作备忘录,2018年成立腾讯安全学院。从一系列动作都可以看出,腾讯对于安全人才的培养的重视。近年来腾讯安全逐步吸纳了上百万的安全专家,其中最著名的就是七大联合实验室的掌门人,他们都是国内最顶尖的白帽黑客。

另外,我们还推出了腾讯云网络安全运维认证,这是腾讯面向社会推出的针对安全运维岗位的企业级认证资格,适用于高等院校的网络工程专业、信息安全专业、云计算和计算机应用类专业的学生群体。这个认证的考核内容与网络安全运维实际工作岗位所需技能和要求是高度匹配的,获得认证的同学可以进入我们的人才库,被腾讯及其生态企业优先录用。

问卷

_为了给广大开发者提供最实用、最热门前沿、最干货的视频教程,请让我们听到你的需要,感谢您的时间!点击填写问卷

腾讯云大学是腾讯云旗下面向云生态用户的一站式学习成长平台。腾讯云大学大咖分享每周邀请内部技术大咖,为你提供免费、专业、行业最新技术动态分享。

阅读 3.5k

腾讯云旗下面向云生态用户的一站式学习成长平台。提供体系化、多样化的线上、线下学习方案。[链接]

50 声望
15 粉丝
0 条评论

腾讯云旗下面向云生态用户的一站式学习成长平台。提供体系化、多样化的线上、线下学习方案。[链接]

50 声望
15 粉丝
文章目录
宣传栏