实战选才 升维安全——深度解读“矩阵杯”网络安全大赛

首页 / 业界 / 资讯 /  正文
作者:西西
来源:安全419
发布于:2024-07-01
6月26日-28日,东半球规格高、规模大、奖金丰厚的网络安全顶级赛事——首届“矩阵杯”网络安全大赛在青岛吹响号角。从各个维度来看,这场比赛都称得上是近年来规格最高的一场行业盛事。此次赛事由360数字安全、华云安主办,ISC平台、SecOps平台承办,赛宁网安、永信至诚、红客社区协办,安全419受邀参与并见证本次大赛的全程,并作为支持媒体进行报道。
 
 
围绕安全+AI “矩阵杯”创新开启多维赛事
 
根据介绍,本次大赛致力于推动提升全民网络安全意识,发现顶尖安全人才,鼓励技术创新发展,推动安全行业共建共享。大赛裁判长、360首席安全研究员龚广表示:“矩阵杯”首次实现网络安全主流赛事类型全覆盖,设置了漏洞挖掘赛、人工智能(大模型)挑战赛、战队攻防对抗赛三大赛道,针对参赛选手在渗透挖掘、检测验证、人工智能以及攻防对抗等安全能力进行全方位考察与检验。
 
“矩阵杯”网络安全大赛裁判长、360首席安全研究员 龚广
 
其中,漏洞挖掘赛采用了“通用产品漏挖赛+国产软硬件安全检测赛+原创漏洞挖掘赛”三项赛事相结合的模式。通用产品漏挖赛聚焦国际流行产品,靶标覆盖程度领先行业,达到11大类近100个产品,包括但不限于操作系统、Web服务、网络核心设备、安防系统、浏览器、数据库管理系统、公共应用程序、大数据组件等。原创漏洞挖掘赛重点关注软件、系统或网络中首次被发现且之前未被公开报道过的安全漏洞,鼓励安全研究员通过发现软件和系统的安全性缺陷共同构建更加安全的数字环境,同时挖掘网络安全创新型实战人才。国产软硬件安全检测赛,其特色则在于推动国产主流软硬件产品安全性的提升。“矩阵杯”不仅是一场竞技比赛,更欲意搭建一个共建共享的安全生态。
 
作为时下的热门话题,人工智能(大模型)挑战赛同样吸引了大面积的关注与讨论。众所周知,人工智能的飞速发展为各行各业带来无限可能,也对网络安全领域应用及发展释放出无限潜力,以探索和研究利用人工智能技术为目标,该赛道创新采用机器人自主解题模式,主办方在赛题发布时提供预置漏洞相关信息,参赛选手编写机器人程序调度渗透工具实现对预设赛题的自主解题,全面考察选手的团队作战能力,防御能力,战队开发的纯AI机器人在面对linux二进制漏洞时的全自动化发掘和利用能力。
 
作为最还原实网环境和实战对抗的战队攻防对抗赛,通过线上初赛和线下决赛立体综合考察选手漏洞挖掘、漏洞分析、攻防对抗能力。尤其进入线下决赛阶段,参赛选手扮演渗透攻击者身份,按照作战任务的要求,渗透到指定的网络环境中获取关键信息,强调实战和实际业务场景结合。在终极对决阶段,选取前3名与人工智能挑战赛的前3名战队上演人类与机器人的巅峰对抗,人类和AI对不同技术难度和方向的赛题予以漏洞发现和利用,彰显人脑与人工智能的极致对决。
 
人工智能不仅作为创新技术和赛题类型覆盖赛场,同样也是本届大赛以及行业重点关注的技术趋势方向,因此,大赛还设置了一场全球数智安全大会,一场“安全+AI”数智创新大会,多位来自一流高校、安全企业、研究机构的安全专家围绕安全产业发展和智能化趋势分享前瞻观点与创新技术。360集团创始人周鸿祎指出,人工智能大模型将在未来10年内席卷所有行业,重塑所有产品。然而人工智能本身也会有漏洞,甚至比常规系统更容易遭到攻击。人工智能安全是“下一个皇冠上的明珠”,需要安全人才解决人工智能带来的网络安全、数据安全甚至失控问题,“矩阵杯”就是选拔这类专业人才、服务国家安全、提升网络安全整体防御能力的赛事。
 
开幕式暨全球数智安全大会
 
除了以多维赛事、创新赛制、海量靶标拔高大赛规格,“矩阵杯”在阵容规模和奖金激励方面也走在行业前列。我们了解到,大赛设置超2000万奖金池,对标国际,Pwn2Own世界黑客大赛代表着漏洞破解超高规格,其历届奖金总额均超过100万美元,“矩阵杯”已属同类赛事前列。
 
凭借丰富的赛事类型和丰厚的奖金激励,在过去几个月的招募及初筛审核阶段,“矩阵杯”吸引到来自中国、越南、马来西亚等国家知名科研院校、龙头企业的上千支战队报名参赛,进入本次线下决赛的战队超过百支,并且技能突出、梯队丰富、成绩耀眼,既包括屡次在其他国际国内著名大赛中斩获佳绩的明星战队,也有高校中储备的新星选手。
 
而为大赛提供专业性和公正性保障的专家评审委员会,由来自清华大学网研院、360、华为、阿里、百度、深信服、绿盟、华云安、赛宁网安、永信至诚等科研院校和企业的30多位专家学者、行业精英组成,在确保比赛公平公正进行的同时,评审委员会还专门提供针对性地辅导意见,帮助参赛选手进一步提升专业技能。
 
实网、实兵、实战、实练 网络安全大赛成产业发展炼金石
 
随着新一代信息技术发展与网络强国战略深入推进,一方面,网络安全领域的挑战愈发复杂,数据安全、关键信息基础设施安全、人工智能安全等方面的风险日益加剧,另一方面,实战型人才短缺的问题日益突出,网络安全人才的实战能力建设已经成为亟需解决的时代命题。
 
360集团创始人 周鸿祎
 
举办网络安全大赛意义何在,将如何搅动严峻复杂、对抗激烈的网络空间态势?主办方之一的360集团创始人周鸿祎在大赛开幕式上表示,长久以来,网络安全行业重视售卖产品,但不太重视漏洞,而正是因为漏洞的存在,影响着网络攻防的博弈规则。在软件定义一切的数字化时代,一个再庞大的系统、再先进的体系,只要有软件就会存在漏洞,有漏洞就会被人利用,攻击方可以在不知道密码的情况下穿透隔离渗透系统,因此,漏洞是攻防博弈中非常关键的武器和变量,网络安全大赛的重点之一就在于对漏洞的挖掘。
 
在过去,查杀一个病毒木马很简单,在如今,诸多网络攻击背后,往往是具有国家背景的APT组织,以及专业化的网络犯罪组织,对手变得愈加隐秘而强大。网络安全的本质在于人与人之间的对抗和较量,攻防双方都在不停地调整战略、修炼技能,在这种强对抗的局面下,如果我们只是盲目地指望通过部署一些安全设备就可以高枕无忧,是非常不现实的。网络安全大赛依托“实网、实兵、实战、实练”的理念,通过模拟攻防、渗透以及对抗,让优秀的网络安全人才在实战中锤炼能力,而不是变成安全产品的售后支持人员。
 
周鸿祎还谈道,在国内还没有自己的网络安全竞赛之时,以美国为代表的西方国家大肆举办各类比赛,尚且年轻的360曾组织选派优质的安全专家组队参赛,取得了非常耀眼的成绩。相比于收获高额的奖金激励,流失高价值漏洞和关键技战术,在网络空间攻防博弈中是得不偿失的。因此,360建议我国需要举办自己的网络安全竞赛,为顶尖的漏洞猎手们提供巅峰较量的平台,帮助国家更好地解决网络安全问题。
 
我们可以看到,包括“矩阵杯”在内,过去十年,还有诸如“强网杯”“天府杯”“网鼎杯”“天网杯”等等多种规格类型、面向不同群体的网络安全大赛如火如荼举办,不言而喻,网络安全大赛已经成为挖掘顶尖安全人才、推动技术创新发展、挖掘并应对潜在安全威胁、提升我国数字安全防护能力的一项重要举措。
 
结 语
 
回到大赛的初衷,“矩阵”(Matrix)是由数字、符号或表达式组成的矩形阵列,象征着技术、策略等优势资源的结合,也象征着多维度的竞赛平台,亦如电影《黑客帝国》中的Matrix概念,当人类幻想世界被人工智能控制成为机器的奴隶时,程序员出身的主角站出来进行勇敢反抗。以这股黑客力量作为隐喻,当前的数字化新技术和新应用蓬勃发展,引发多重安全挑战,“矩阵杯”通过实战化对抗竞技,致力于推动技术创新,看见安全风险,带动人才储备,筑牢安全屏障,相信通过比赛获取的经验、验证的产品、选拔的人才,都会成为不同企业、不同行业乃至社会国家网络安全水平提升的增益力量。