加快推進網絡安全學科競賽創(chuàng)新發(fā)展
■中國工程院院士 鄔江興

1996年,全球黑客大會首次推出CTF競賽模式。這種在特定平臺上進行攻防競技的方式,代替了之前黑客通過互相發(fā)起真實攻擊進行技術比拼的方式。
自此,在學科競賽的辭典中出現(xiàn)了“網絡安全學科競賽”這個名詞。經過30多年的發(fā)展,CTF已經風靡全球并在中國得到蓬勃發(fā)展。據統(tǒng)計,2018年我國的CTF競賽已經超過1000場。
然而,網絡安全學科競賽繁華之后如何發(fā)展?如何與網絡強國戰(zhàn)略有機結合?值得人們深思。
今年5月22日至23日,紫金山實驗室舉辦了擬態(tài)防御國際精英挑戰(zhàn)賽,29支國際頂級戰(zhàn)隊在20小時內,向6款擬態(tài)設備發(fā)起290萬次大強度攻擊。這次比賽最大的亮點,是建立了一種“人-機對抗”的網絡安全競賽模式,顛覆了傳統(tǒng)“人-人對抗”的CTF競賽模式,網友們比喻這是國際黑客大戰(zhàn)“摩托狗”。
這一對抗模式,我們稱之為“BWM”模式,是現(xiàn)有網絡安全競賽的第四種模式,不是游戲,不是“挖洞”,也不是水平認證,而是基于開放性眾測的一種競賽模式。
競賽的主體不是人與人,而是人與機器。傳統(tǒng)的CTF以及其他競賽模式,對抗的主體是人與人。BWM賽制,對抗的主體是人與機器,是通過設置一個合理的競賽場景和競賽規(guī)則,檢驗人的網絡攻擊能力是否能夠突破具有內生安全功能的網絡設備,這就如同圍棋界的人機大戰(zhàn)一樣。
競賽的載體不再是題目,而是網絡設備。BWM賽制一經亮相,參賽選手第一反應就是:沒有賽題了。事實上,這次上線的6款擬態(tài)構造COST級設備就是賽題,這里面蘊含著“一生二、二生三、三生萬物”的哲學思辨能力,有著無窮無盡的賽題,選手們依靠自己的思維“發(fā)現(xiàn)”題點,依靠自己的判斷“攻克”題點,沒有題目的比賽,更加富有探索性和挑戰(zhàn)性。
競賽的目的不僅僅是選拔和鍛煉人才,而是賦予了科學度量網絡產品安全性的新職能。傳統(tǒng)基于人的網絡安全競賽,其核心是發(fā)現(xiàn)和鍛煉人才,有的網絡安全競賽往往被“獵頭”公司所青睞。
競賽的確可以發(fā)現(xiàn)人才,但是這些天賦異稟的人僅僅用來打比賽顯然是不夠的。在BWM模式中,巧妙地引入了眾測的理念,大大提升了比賽的效益,使得用競賽來度量網絡產品的安全性成為了可能。
競賽的方式也不再是一錘子買賣,而是常態(tài)化測試和集中式競賽的有機結合。這次擬態(tài)精英挑戰(zhàn)賽同時發(fā)布了永久在線的內生安全試驗場,從6月26日開始,全天候接受全球“白帽黑客”的有獎眾測。未來的比賽,可能是常態(tài)化、無差別的競賽,鼓勵更多有創(chuàng)意、有興趣的技術專家去挑戰(zhàn)各種“不可能”。
競賽的焦點不再是漏洞,而是推進共享共用共建。在BWM模式下,零漏洞后門已不再是制勝法寶,你甚至可以自己預先布設一個漏洞后門乃至病毒木馬,因為擬態(tài)構造系統(tǒng)對已知或未知的病毒木馬具有天然免疫力。這種模式不以擁有的漏洞資源多寡為前提,不必擔心信息資源泄露,也不用顧忌境外頂級黑客的參與。共同的挑戰(zhàn)是:如何在擬態(tài)構造的“測不準”環(huán)境內,形成非配合條件下動態(tài)多元目標協(xié)同一致的穩(wěn)定逃逸機制。倘若人類無法戰(zhàn)勝 “摩托狗”,則打造網絡空間命運體就有了可靠的技術抓手。
未來的網絡安全學科競賽,將會實現(xiàn)多種模式共同發(fā)展,CTF類的比賽也會不斷改革,BWM模式將作為非CTF模式的比賽走向前臺。未來的競賽不再是游戲,而是服務產業(yè)和技術發(fā)展,為建設網絡強國服務。