看了这个标题,你又懂雷锋网宅客频道的套路了。
毕竟,我们是写过《30个黑客向某运营商内网发起攻击,结果对方拿出了对抗 NSA 级的武器……》和《近百名黑客向贵阳真实网络发起攻击,政府居然还给他们颁奖?》的人啊!
好的,我又坦白了:这是一场攻防演练,但是一家头部互联网用车平台(众所周知的那一家,以下简称 D)确实拿出了自己的真实互联网应用来“操练”。
以前有人一打开就吐槽“又不是真实攻击有什么好看的”,还好后来有宅友评论正了名:
每一场攻防演练都有一个目标。
这次雷锋网要说的这场比赛名为“ X-NUCA 企业安全众测靶场挑战赛”。
NUCA 我懂,就是全国高校网安联赛( National University Cybersecurity Association),加上“X”也许是为了显得神秘和酷炫吊炸天吧(据猜测,俗称zhuangbility )
这次目标是什么?作弊被抓又是怎么回事?
仿真靶场,头部互联网用车平台入局
这场比赛吸引了 112 支战队,501 人报名。11 月 25 上午 9:00,各战队鱼贯而入,对永信至诚搭建的靶场环境展开全面的攻势。
所谓“靶场”,就是还原了互联网企业内网场景的一个平台,为参赛选手提供了一次内网安全检测仿真演练的机会。参赛者需要在独立的靶场环境中,与队友共同探索黑暗,不断地搜集线索,绕开死胡同,逐步完善大脑中对这个区域的地形图,只有最早走出靶场的团队才能发现宝藏。
说白了,就是仿真了一个小型企业内网的典型场景,让参赛者尝试攻击,找出漏洞。
你要怀疑了,“仿真”和“真”还是有区别嘛,白云世界皮具城的名牌包能都是真的吗?
首先,这个“靶场”还是很接近真实内网场景的,对于安全行业练兵而言,可能已经比 CTF 等做题类竞赛更满足企业的需求。
再者,为了让攻击“更真”,本次比赛在靶场仿真环境中引入了真实业务网站的测试,测试目标为 D 旗下的某一真实互联网应用。
参赛者在靶场内网安全检查模式中,只需答对签到题,即可触发隐藏关卡,进入“有信众测”模式。参赛队伍需在比赛时间内对该应用进行渗透测试,发现漏洞并按照指定报告的格式提交审核。
苦战 8 小时后,来自暨南大学的 Xp0intFresh 战队荣登榜首,拿下了本场比赛的第一名,广东外语外贸大学的 GWHT 战队以微弱分差拿下比赛第二名,南京邮电大学的X1cT34m战队斩获了本场比赛的第三名。
蛤?D 居然敢拿出真实互联网应用来给大家“众测”?对,这就是之前提到的“有信众测”,有几个前提条件:
第一,有名有姓,不能乱来。所有的参赛者都实名注册,要求必须是中国注册的大学的学生,有指导老师,一个大学最多有两支队伍参赛。
“这个虚拟场景是我们浓缩的大多数典型的中小互联网企业的网络架构,到了众测,则是选手们作为一个众测团队挖掘 D 的全域漏洞,只要是在 D 域名下,找到它的漏洞就可以提交得分。”永信至诚 CTO 张凯说。
由此,引出第二个要求:D 与永信至诚约定,所有数据不存储在靶场的服务器上,漏洞都经过接口在 D 的 SRC 上提交。也就是说,只有 D 才能知道有什么漏洞。
第三,为了不影响 D 的业务,规定了比赛时间。
这样一来,D 就愿意参与这场“游戏”了。
上帝模式+抓作弊
事实上,这场比赛有一个重要原因:吸引大家挖漏洞,发现人才。这也是之前雷锋网提到的,每场比赛都有目的。
为了通过比赛甄选人才,张凯等人做了两件事。
第一,抓作弊,保证公平公正,展现选手真的有“实力”。
要强调一下,这是一场线上攻防赛,这意味着请“外援”代打、参赛团队之间“串题”、“串思路”等都是可以实现的。
雷锋网(公众号:雷锋网)曾采访过一些顶尖 CTF 战队的选手,发现一个默认规则:如果比赛没有明令不可请援手,一些战队会请场外队友助攻。
在这场比赛中,主办方明令“不许这样”。
但是,光规定不行,还得真发现。张凯称,于是,比赛平台上线了“烽火台反作弊系统”,配套多种手段来遏制作弊行为。
看上去有点像“烽火戏诸侯”有木有?不过,跟美女无关。张凯表示,“烽火嘛,大家一听就觉得很形象,烽火就是信号,我们要来抓作弊的信号。”
“即使相同一道题,你拿到的答案和他拿到答案应该是不同的,如果我发现了这个答案是你的,然后被他提交了,这就是一个很危险的信号——这个答案怎么漏出去?
只有一种可能,就是有些人把信息传递出去了,而他尝试,就是他希望作弊,在这样的游戏规则下,就算把答案稍微修改也不行,因为每一个答案的字符串随机生成,而且非常长,不是你能爆破得了的。
如果你爆破的话,系统也会直接提示把它接口封一段时间,这相当于你在攻击平台。”张凯说。
在本次竞赛中,烽火台反作弊平台共监测到了 84 次异常操作。
第二,“抢 HR 的活”,评测选手的行为和能力。
靶场上线了一款综合人才能力评定系统——“安全对抗能力体系”,可以理解为游戏中的个人综合能力评分,根据战队与单个选手在比赛中的表现给出安全能力评级,从多个维度综合评定每支战队、每名队员在信息收集、漏洞利用、痕迹清除等多方面的技术优势和短板,生成属于个人的“安全能力优势雷达图”。
“我们未来会持续跟踪每个学员的成长轨迹,为未来信息安全人才培训和筛选提供强有力的素材。”张凯说。
“非官方说法就是,你们抢了 HR 的活?”雷锋网问。
张凯说:“应该说我们给了参赛选手和 HR 一个更好的工具。这种在真实比赛中的能力图谱(未来可能还会结合这个人在i春秋上学习的行为)帮我们更加清楚的定义了选手们的能力专长。我们总说企业找不到想要的人,安全人才培养找不到施力点,现在以上帝视角来看,就可以有针对性地设计比赛过程,让更符合企业能力需求的人参与比赛,或者引导选手去向企业更真实的需求成长。”
问答
1.靶场真的很“真”吗?开始是怎么考虑设置这样的赛程的?
张凯:我们一直提的方案是我们要模拟一个场景,这个场景一定是在我们这种工业化的情况下比较常见的典型场景。
我们一般都会模拟,比如互联网的企业,或者一些小型的工业企业,这个场景里不仅有 web 类的,或者浏览器攻防、二进制攻防类的,我们是要搭建一个什么都有的典型场景。
它要有一个Web类区域作为入口进来,然后你再进入内网。这可能要分成几个层级,比如比较低数据权限的这种内网区域和比较高数据权限的数据区域,模拟一家企业,一般企业的网络就是以这样的规模来存在,即使是现在在云上部署的那些企业的网络基本也是这个架构。
我们希望让这些互联网安全圈内的人都能理解,一个黑客到底是如何对网络进行这样的攻击,在攻击过程中你就会知道自己在哪一个环节上设定相应的安全设备、规则、加固等,就能网络安全做好。
我们模拟了这样的一个企业内网,在四台虚拟机的情况下把它分割成了三个不同的网络,然后内置了 12 道题,一个战队登录平台后,队员首先看到的这个场景是黑暗的,他只看到了一个入口,那个地方有一个Web网站,我们告诉他,已知的这个故事是——我们知道了这个目标企业网站被黑客进行了攻击,我请来这些队伍的目的就是请他们能重现或复现一下这个网络场景里都有哪些漏洞,如何能够找到遗失的关键信息。
每个战队通过这个入口一步一步寻找相应的情报信息来完成这个网络的探索,找到相应的漏洞,最后拿到最危险的、最重要的资产信息。
在靶场中部署高度仿真的场景,是网络安全竞赛的发展方向。我希望未来靶场能够融合交通运输、通讯、水利、供电等基础设施应用场景。
我们做了一场比赛后,又觉得说我们只是在靶场里模拟这样一个场景,是不是真实性不够好?所以,我们加入了i春秋的有信众测的部分。
这个众测部分的目标就是一个真实的互联网企业。和我们这个靶场的不同之初在于,它是互联网上的一个开放入口,后面确实有一个企业那么大的网络,这个队伍可以同时体验虚拟的浓缩的典型场景和在互联网上的真实企场景,同时发起攻击,展现队伍的能力。
另外,我觉得“有信众测”是有市场的。我们“网络空间安全智能仿真和众测关键技术与服务北京市工程实验室”是2017年北京49个工程实验室中唯一一个众测关键技术实验室,获得了北京市发改委的正式批复,这意味着“有信众测”迈入了一个全新的阶段。
2.D 这次众测结果怎么样?
张凯:可能我们确实低估了众测的难度,一般情况下众测应该提前多少天放出来,但因为和主办方沟通了以后,主办方认为,既然我们说是一场靶场比赛,最好还是比赛过程中再把信息透露出去,所以这个时间又太短了,造成的后果就是有些战队并没有准备好,也确实够难。
就 D 的全域而言,它已经被挖了好多年,一直不断在搞,但是至少我们把这种模式介绍给了这些队伍,他们也知道了这家公司有 SRC 这样的地方。
就 D 自己的白帽子而言,其实也算是比较难挖的。这次算是拓展出来一个新模式。我们跟 D 聊的时候,D 其实也对于这次众测没有一个数量的预期,而是都想说进行尝试,看看这种形式可不可以。这算是滴滴第一次引入众测模式。
3.所以你们接下来会跟很多 SRC 来搞这样的事情?
张凯:嗯对。我们做了从 CTF 到 RHG(机器人自动攻防比赛)等一系列线上线下赛事平台,就是希望可以让参赛者的能力转变成网络安全的原动力,让安全竞赛的价值回归互联网安全。但还没有说做成了一个业务,这只是一个开始。
最后,来个小调查吧,你觉得怎样才是高校的小萌新引起企业的重视,顺利入职搞安全的最佳路径?
A.打 CTF,毕竟奖金丰厚,很多企业也有自己的 CTF
B.边上学边到目标企业的 SRC 挖洞,近水楼台先得月
C.去目标企业实习,接受大佬的实打实考验
D.我是企业的,我就来看看这群小萌新怎么想的
E,组队参加上述仿真型攻防挑战赛,刷一波简历
F.给宅客频道打电话,拿门票参加安全类活动,引起大佬的关注(别想了,凑数)
本文作者:雷锋网网络安全频道专栏作者,李勤。
想了解更多网络安全信息?欢迎关注雷锋网旗下微信公众号“宅客频道”(微信ID:letshome)。
。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/111738.html