全民参与的网络安全“奥运会”正在迈向“共同防御”

首页 / 业界 / 资讯 /  正文
作者:西西
来源:安全419
发布于:2023-04-21
四月万物勃发,2022 第三届“网鼎杯”网络安全大赛在杭州举行了收官之战,全国 2000 名网络安全精英共赴网络安全“奥运会”之约,点亮全球最大规模数字化网络安全训练靶场——网鼎之城。



多维度创新升级 树立网络安全竞赛新高度
 
据了解,本届“网鼎杯”在前两届的基础上提档升级,持续在大赛规则、赛制赛题设计、技术平台支持、赛事运营保障等方面树立国家级竞赛标准。
 
大赛组委会充分考虑数字经济时代网络安全人才所面临的新场景、新威胁,所应具备的新方法、新能力,在前两届夺旗赛(CTF)、攻防赛(AWD PLUS)、靶场赛的基础上,创新增加共同防御、实景防御赛(RDG)和人工智能漏洞挖掘赛(RHG),全面强化参赛选手的网络安全综合防护能力和安全应急处置能力。
 
网络安全攻防竞赛的起源可以追溯到20世纪90年代诞生于美国的DEF CON全球黑客大会,CTF随之兴起并火遍全球。这是一种通过网络夺旗方式切磋网络安全实践技术和交流网络安全研究成果的竞技活动。CTF在国内遍地开花的同时,攻防赛、靶场赛等多种赛制也逐渐演变、流行开来。比如攻防赛是通过选手对典型网络环境的威胁分析,以及对漏洞挖掘、利用和修复,综合检验参赛队伍在攻击、防御等方面的技术对抗能力;靶场赛是将真实的业务场景跟复杂的网络结构抽象到竞技环境中,参赛选手需按照任务要求渗透到指定网络环境中,获取关键设备或数据权限。
 
长期以来,在“未知攻焉知防”思路的宣贯之下,网络安全攻防竞赛一直偏重于考验参赛选手的“进攻”技能,以至于在许多人的潜意识中,这类竞赛一直是专属于顶尖高手的竞技场。但是,除了金字塔尖那些身怀绝技、战绩赫赫的名将,中间还分布着不同行业以及很多关键信息基础设施单位的IT护卫队,他们正是网络安全建设的主力军;往下的腰部,是更多的中小微企业及机构的运维管理员,他们犹如网络空间的免疫细胞,与网络安全头部力量共同组成了网络空间的免疫系统。
 
在互联网基础设施的脆弱性依赖越来越强的现在,单点引发的故障问题会像多米诺骨牌一样环环相扣,形成连锁反应。因此,常态化的风险识别、评估、防御是更多基层安全从业者的日常工作,相应的防御不再是独立的单点问题,需要多方共同采取相关措施才可能缓解将整个生态的系统性安全问题
 
本届网鼎杯首次引入了实景防御(RDG)赛制,并在赛事设计中融入了数据安全、IPv6、5G、IoT、人工智能、工业互联网等数字技术场景,高度贴合业务环境,考核参赛选手策略配置、数据分析、漏洞修复等实战技术水平,检验参赛者综合防御能力。从技术中来,到岗位中去,在具体的行业场景中多维度地量化、验证和评价网络安全人才。
 
本届大赛还创新设置了共同防御”机制,即是通过仿真基础设施运营单位内部通信网络业务场景,构建重要单位数据泄露风险消除的任务剧情,题目以场景中的某些任务的形式存在,参赛选手需要按照对剧情的理解,找到业务场景中的防御任务,进行威胁发现、漏洞修复、网络配置加固、攻击溯源等操作。并在探索、完成任务过程中,及时将有效的情报通过共同防御协同平台分享出来。最终通过共同的力量把安全事件消除清零,并整合力量形成共同防御协同联动的机制。
 


更进一步,基于大赛“发现选拔网络安全高端人才,提升网络安全攻防两端能力水平”的初衷,考虑到各行业的网络安全人才竞赛水平的不均,大赛组委会将战队按照行业属性,分成青龙、白虎、朱雀、玄武四组分别进行比拼排名,充分调动了社会各界的积极性,既能充分发现和检验各行业网络安全人才,又可以为各行业参赛队员持续提供展现舞台,让网络安全“奥运会”走向全国各个角落,实现社会网络安全防护水平的整体跃升。
 
采用“证无”理念 提升网络安全主动免疫力
 
值得注意的是,为本届大赛提供支撑的“数字风洞”产品体系,是永信至诚基于网络靶场的技术优势研发而成的系列产品,主要面向测试评估业务领域,它是网络靶场发展的重要形态之一,是数字化体系安全测试评估的基础设施。定位于对人、系统、数据等进行量化评估,贯穿规划建设、运营和处置等全生命周期的各个阶段,从而形成持续的验证,不断发现安全隐患并消除隐患,直到“证明没有问题”。
 
不言而喻,数字风洞的“证无”理念,与大赛提倡的“共同防御”思想可谓相得益彰。我们作为网络安全的守护者,需要通过网络安全竞赛的方式,为网络安全人才能力短板“证无”,为数字化系统安全隐患“证无”,为数据全生命周期安全风险“证无”,最终接近于无限安全,提升网络安全主动免疫力。
 
真正走进各行业领域,助力不同行业用户的网络安全能力建设和人才梯队建设,“网鼎杯”才能担负全球规模最大、覆盖面最广、影响力最大的国家级网络安全赛事的盛名。伴随数字经济的高速发展,经过实战演练的高质量网络安全人才将成为最坚实可靠的脊梁,亦如《网络空间共同防御公约》中倡议的一样,“愿与同仁一道,共建良好数字生态,为维护国家网络安全、保障数字政府安全运行、稳定数字社会秩序、促进数字经济健康发展,打造网络空间安全防御共同体,贡献自己的力量。”