ZKX's LAB

腾讯信息安全争霸赛的第四年:喝水人和挖井人

2020-09-25新闻13

腾讯信息安全争霸赛(TCTF)的诞生,是一个“出道即巅峰”的故事。

2017年,腾讯安全发起、腾讯安全联合实验室主办的第一届腾讯信息安全争霸赛,没有经历“冷启动”的开局之难,第一年就吸引了全球近1000支CTF战队参赛,盛名在外的俄罗斯老牌强队LC?BC战队、日本的binja战队和美国的Shellphish、PPP战队、匈牙利的传统CTF强队!SpamAndHex都在参赛战队之列。

腾讯信息安全争霸赛的第四年:喝水人和挖井人

2019年的0CTF/TCTF赛事在CTFTime上被打出了接近满分100分的高分——CTFTime是一个去中心化的赛事资讯和积分网站,以权威和公正著称,无论是对于战队还是赛事主办方来说,在CTFtime上的排名和得分都是衡量其水平的最有说服力的指标。

“我们不是(像你问题里描述的那样)花了四年或者花了几年打造一个这个水平的赛事,我们是从第一年开始就是最好的,后来几年水平也没有掉下来过。”腾讯安全科恩实验室的负责人吴石提及这一点,语气里是掩饰不住的骄傲。

生逢其时

正如唯物主义史观强调的“时势造英雄”所说:一个人的命运除了自我奋斗,也和历史进程离不开关系。TCTF的一骑绝尘,有很多天时地利的条件。

中国第一个公开的CTF赛事大约出现在2014年,经过几年的发展,到2017年的时候,虽然已经陆续出现一些新的CTF赛事,但质量良莠不齐,没有一个在国际上有影响力。也是那个时候,中国开始重视网络安全的建设,而举办安全竞赛是一个很好的推广网络安全的抓手。

“当时CTF在中国是一个将起未起的新鲜事,国内安全领域对这个比赛形式只有了一些粗浅的了解,但不知道一个好的CTF比赛应该是什么样的。”腾讯安全科恩实验室高级研究员谢天忆回忆,“我那时候就在想,如果以后有机会,我要让国内的CTF选手知道真正的CTF比赛是什么样的。”

巧的是,谢天忆有一天接到了老板吴石的一个提议:我想办一个面向全球的CTF比赛,你有没有信心办好?谢天忆心想:我就是干这个的啊。事情就这么愉快地决定了。

那时候国内有实力去打国际比赛、能打进决赛的CTF战队寥寥可数,叫得出名字的一个是清华的蓝莲花,另一个是上海交大的0ops,而谢天忆就曾经是0ops的队长。

和谢天忆出于兴趣投身CTF赛事不同,腾讯安全科恩实验室负责人吴石想要办TCTF,最早是出于培养人才的考虑。有一天,0ops战队的指导老师姜开达带了两个学生来找吴石,请吴石对他们进行“特训”,让他们在接下来要进行的一个CTF赛事中打出好成绩。“我当时也观察了一下,国内安全研究人员极度缺乏,我们几乎招不到人。如果整个行业都这么缺人,那么我是不是可以把这个事情搞大一点,让更多年轻人都可以参与进来?”

吴石的Keen Team已经被腾讯安全招致麾下,预算、人力、资源都有保障,如果说他之前也曾经产生过办一个国际赛事的想法的话,那这个时候这个想法的实现已经触手可及。吴石向他的老板、腾讯副总裁丁珂表达了想要办CTF赛事的意愿,得到了后者的大力支持。

2017年,TCTF正式“出道”。第一届TCTF由腾讯安全联合实验室主办,腾讯安全联合实验室七大掌门人吴石、于旸、袁仁广等悉数出阵,和数十所高校的资深网络安全老师一起组成了全明星导师团。通过与0ops战队的合作,第一届TCTF顺利申请到了有“黑客世界杯”之称的DEF CON CTF外卡赛的资格,成为中国大陆当时唯一拿到DEF CON CTF外卡赛资格的赛事。这意味着在TCTF中获得国际赛冠军的团队会直接进入DEF CON CTF总决赛。

“从第一年开始的确就有很多海外知名强队参加TCTF,我自己认为有两个原因,一个是0ops是中国数一数二的战队,与0ops合作办这个赛事,质量有保障;另一个是我们给决赛战队提供来中国的差旅,有机会来中国一趟,这些海外战队也很乐意。”吴石说。

和国际赛并列的是另一个面向高校学生的赛道“新星赛”,每年也吸引几百支中国高校战队出战。这些高校战队平时并没有太多机会去海外打比赛,但是在TCTF的赛场上,他们能和来自全世界的顶尖高手们同台竞技。“我们每年都坚持做线下赛,其实就是要给国内的这些选手提供一个能够面对面跟国际最顶尖选手交流的机会。这几年国内的CTF水平整体有飞速的增长,这与跟国际战队的交流是密不可分的。”

腾讯信息安全争霸赛的第四年:喝水人和挖井人

谢天忆介绍道,衡量一个CTF比赛好不好最关键的因素看题目质量。TCTF的出题人凭借丰富的海外参赛经验,吸收了国际高水平CTF赛事的一些理念,融合出题人自己的思路之后再去设计了很多很好的题目,在当时的CTF领域一下子就鹤立鸡群。“参赛选手会觉得比赛题目设计得很好,能学到东西、很有趣,解出来很有成就感。”

虽然是轻描淡写的几句,但其实出题是一个苦差事,常常要耗费一个团队一个月的时间。虽然在部门里承担了很多管理职责,但谢天忆每年还是很积极地参加各种国内外高规格的CTF赛事。一是自己的确很喜欢,二也是因为想要捕捉最前沿的CTF赛题。“要么跟进前沿安全研究,要么就经常去打比赛,看看别人在出一些什么类型的、什么方向的题目,否则你出的题目很容易就会落伍。”

喝水人和挖井人

与2017年腾讯安全联合实验室刚刚开始办TCTF的时候相比,虽然只有短短几年,国内的网络安全圈子已经发生了很大的变化。全国性的CTF赛事越来越多,组织水平相较四年前也有了质的提升,很多高校都有了自己的CTF战队:复旦大学六星战队、浙江大学AAA战队、清华大学Redbud、北航的Lancet、中山大学WaterDrop……去年由国家主管部门指导举办的“护网杯”安全竞赛,参赛团队达到了惊人的6479支。

甚至,在“国赛”中打出成绩的战队,在考研时甚至可以获得额外加分——这反映的是一种理念的变化:曾经被认为不务正业、奇技淫巧的CTF,如今已经被正名了。

当初困扰吴石的无人可招的局面也有明显的改善,仅腾讯安全科恩实验室自己而言,TCTF给它带来了占据实验室一半编制的新成员,今年代表腾讯安全在DEF CON CTF拿下冠军的A*0*E战队队长刘耕铭就是第一届TCTF的新星赛冠军战队成员。

TCTF组委会针对前两年参加比赛的选手做过一个回访,从结果上来看,参加过TCTF的选手绝大部分都从事了网络安全行业,他们流向了一线互联网公司的网安部门或者专门的网络安全公司,其中也有相当一部分加入了腾讯。

腾讯信息安全争霸赛的第四年:喝水人和挖井人

如今的网络安全比起四年前算是繁荣了很多,仅从人才培养的角度来看,以办赛的方式看起来稍显迂回,每年砸在TCTF赛事上的钱如果直接用来从高校定向挖人或者补贴,招人效率可能更高。但以目前网络安全人才缺口的状况,还远远不到坐享其成的阶段。教育部高等学校教指委的报告指出,中国每年通过高等教育向社会输送的安全人才不足1.5万,但每年安全领域的人才缺口却高达几十万。

“培养人才应该是一个正和博弈而不是零和博弈,是需要大家一起参与、携手来做好的事情。如果都不挖井、都只想喝现成水的话,这个行业起不来,每个人都没有水喝。”吴石说道,“目前有一个很明显的趋势,国家很多主管部门也在办这种比赛,这对于整个行业的繁荣都是有帮助的。”

吴石说,如果没有发生什么大的变故,TCTF他们会一直办下去,“和国内高校的学生保持一个比较好的互动”。

光荣与梦想

TCTF今年的预赛已经于6月底完成,决赛将在9月26号展开序幕。和大多数国际竞赛一样,由于疫情,今年的方式改成了线上。虽然没有了“海外差旅”的加持,现在的TCTF也足够吸引全球高手来切磋。

腾讯信息安全争霸赛的第四年:喝水人和挖井人

东京大学的CTF战队TSG今年计划筹办CTF赛事,由于和TCTF预赛时间冲突,他们调整了自己赛事的时间。“抱歉给大家带来困扰,但我们想参加0CTF(即TCTF的国际赛)!”

今年的决赛阵容一如既往地强大,来自韩国的Koreanbadass、来自战斗民族俄罗斯的More Smoked Leet Chicken、美国的00后战队perfect blue、中国高校联合战队r3kapig、波兰劲旅Dragon Sector、日本强队TokyoWestern、浙江大学的AAA战队、华南理工Kap0K、深圳大学的Aurora、西安电子科大的L战队……15支全球顶尖战队和15支中国高校战队齐聚一堂,老牌战队要捍卫荣耀,新星战队要崭露头角,他们都将在TCTF 2020的决赛上绽放他们的光荣与梦想。

雷锋网雷锋网

#行业互联网#腾讯

随机阅读

qrcode
访问手机版