摘要

英国剑桥大学近几年举办了两个大学生网络安全技能竞赛:一个是全国英超(Inter-Ace)竞赛,还有一个是与美国麻省理工学院合作的国际C2C竞赛(全称为Cambridge2Cambridge)。剑桥大学网络安全研究卓越学术中心负责人Frank Stajano等人总结了组织两项竞赛的经验,写成题为《培养新一代网络防御人才》的技术报告,详细讨论了组织2项竞赛中遇到的问题和解决方案,并提出网络安全技能竞赛未来发展的建议。

前言

当今社会越来越依赖数字基础设施,但不幸的是计算机和网络系统的设计往往是由功能而非安全驱动的。因此,大多数部署的系统都很脆弱。网络安全是保护国家安全、企业生存、在线业务和个人隐私的关键技术。防御网络攻击(特别是受国家资助的网络攻击)需要一大批专业的、了解安全原则并具有实战经验的人才。

大学网络安全教育工作者讲授课程只能对100名左右的学生有帮助,为了解决这种全球性技能差距,需要采取更大规模的举措,吸引数以百万计的人获得大学水平的网络安全知识和技能。

一般来说,安全(尤其是网络安全)是有对手的技术领域,只有在详细了解遭受攻击的情况下,才能确保现有系统的安全并开发新的系统进行有效防御。为建立未来网络防御人才队伍,让学生理解和运用攻击者使用的黑客技术是适当的,但需要在具有开放和道德标准的环境下进行。

Cambridge2Cambridge(以下简称C2C)比赛诞生的初衷是:通过鼓励新一代天才少年选择网络安全职业,培养专业的新一代网络防御人才,缩小网络空间安全人员的技能差距。剑桥大学在最近的两次民意调查中发现,43%的英超竞赛(Inter-Ace 2018)受访者和69%的C2C竞赛(C2C 2017)受访者明确表示“有可能考虑从事网络安全职业”。

《培养新一代网络防御人才》技术报告是一项倡议,目的是通过组织大学生道德黑客(Ethical hacking)竞赛,提高更多人对网络安全这一领域的兴趣和获取专业知识。学术界、政府机构和工业界的合作使这一倡议成为可能。

从2015年开始,剑桥大学已经举办了两类这样的比赛。Cambridge2 Cambridge是一个国际项目,强调参与者之间的合作,参赛选手最初来自英国剑桥大学和麻省理工学院(麻省理工学院位于美国波士顿剑桥市)。而英超竞赛(Inter-Ace)是一个英国全国性的竞赛,从有卓越中心(ACE-CSR:Academic Centre of Excellence for Cyber Security Research)的大学团队开始,目前已扩展到其它著名的英国机构。竞赛得到了英国内阁(Cabinet Office)、国家网络安全研究中心/政府通信总部(NCSC/GCHQ)、数字文化媒体与体育部(DCMS)、工程和自然科学研究委员会(EPSRC)和广泛企业赞助商的大力支持。

举办竞赛的动机

举办一两场竞赛显然不足以达到培养新一代网络防御人才的目标。一场竞赛最多只有几百名学生能参加比赛,而竞赛本身也并不能提供太多的培训。但竞赛至少可以成为提高学生群体网络安全意识的一个好途径,可以吸引年轻人集中起来为参加竞赛做准备。更重要的是新闻媒体上的报道可以激励那些还没有上大学的年轻人,使他们立志长大后能够成为其中一员。因此,竞赛本身并不是最终目标,它只是传递信息的载体,让人们意识到:网络安全是一个有趣的、刺激性的智力挑战,也是一个有回报、对社会有价值、能赚钱的职业。

竞赛的目标

成为推广的平台。如果能召集100名学生参加决赛,这100名选手会像奥运会选手一样具有吸引力和鼓舞力,场外也许会有10万或100万观众关注,并因此开始着迷网络安全并有意识地去训练。

成为对新人友好的平台。总会有一些超级敏锐的学生出于个人兴趣而暗地摸索,数千小时的黑客经验将使他们比其他人更强大。希望设计一场竞赛,吸引这些新人进入这一领域。

成为沟通的平台。竞赛聚集了来自世界各地的最聪明、最有热情的学生,很多人有可能从事网络安全职业,在未来可能成为公司或政府机关的首席安全官,成为世界网络安全领域的关键人物。竞赛是桥梁和纽带,使他们结交朋友,建立沟通联系的网络,交换心得并互相帮助。

成为多样性展示的平台。计算领域存在性别不平衡的情况,网络安全领域更是如此。要填补超过一百万人的技能差距,不得不重视占一半人口的女性人才,因此必须利用这些比赛吸引更多女性。

成为回馈教育的平台。大学计算机安全课程往往缺少现代网络空间安全的实战内容,以至于大学生通常可以完成课程获得学位,但仍然对如跨站点脚本攻击等问题无能为力。因此,为比赛开发的实战知识可以反馈到教学课程中,促进教育发展。

成为培养道德黑客的平台。黑客竞赛要求参赛者可以使用欺诈者和罪犯惯用的攻击技能,鼓励这样做的原因是人们不能在不擅长攻击的情况下提出强有力的防护方案。竞赛希望下一代网络防御者至少和坏人的攻击技术一样好,否则防御者永远不会有机会击败坏人。道德是区分好人和坏人的标准,竞赛组织者必须以道德驱动的方式塑造比赛,并将道德规范灌输给参赛者。

剑桥大学组织竞赛的背景和历史

提出竞赛想法的背景

网络安全研究卓越学术中心(ACE-CSR)是英国政府通信总部(GCHQ)和工程与自然科学研究委员会(EPSRC)认可的科研机构,剑桥大学卓越中心负责人Frank Stajano在2015年1月初(适逢英国首相卡梅伦对美国总统奥巴马进行正式访问之前)接到英国内阁提出的建议:能否在宣布美国和英国建立网络空间安全学术合作倡议时,剑桥大学和麻省理工学院两所大学之间组织一场剑桥与剑桥的竞赛?

尽管英国内阁提出了很多警告、麻省理工学院网络安全小组的摊牌听起来像一个不健康的想法、剑桥大学的学术同仁普遍对卡梅伦关于禁止端到端加密的决定表示反感,Frank Stajano博士还是认为这个想法听起来很诱人。

Frank Stajano博士咨询麻省理工学院计算机科学与人工智能实验室网络安全小组(CyberSecurity@CSAIL)主任Howard Shrobe博士,双方同意组织竞赛,使其发挥作用,协商解决包括消除对抗性方面的问题、与卡梅伦错误声明保持距离等一些细节,并将竞赛命名为“Cambridge to Cambridge”,决定每个竞赛团队都需包括来自两所大学的学生。

虽然英国官僚机构的进展非常缓慢,2015年底英国内阁和剑桥大学签订了合同,Frank Stajano博士招聘了一位敏锐的网络安全专家Graham Rymer,立即开始为学生准备和提供培训材料,进行了第一个夺旗(CTF)练习。

2016年C2C竞赛(Cambride2Cambridge 2016)

Hosting organization: MIT CSAIL

Dates: 2016-03-04 to 2016-03-05

Participating universities: 2

In-person competitors: 25

Platform provider: ForAllSecure

Supporting institutions: UK Cabinet Office, British Consulate Boston

Industrial sponsors: Microsoft, BT, Facebook, Rapid7, Threatstream, Cisco

Video: https://youtu.be/TKeixPta2vI

2016年3月,第一次为期24小时的C2C竞赛由美国麻省理工学院举办,来自麻省理工学院的15名大学生和来自剑桥大学的10名大学生参加竞赛,分别由Howard Shrobe和Frank Stajano亲自指导。这次C2C竞赛雇用了网络安全创业公司ForAllSecure(由卡耐基梅隆大学教授、DefCon巨星David Brumley创建的公司)。

2016年英超竞赛(Inter-ACE 2016)

Hosting organization: University of Cambridge

Dates: 2016-04-23

Participating universities: 10

In-person competitors: 40

Platform provider: Facebook

Supporting institutions: UK Cabinet Office, EPSRC

Industrial sponsors: Facebook

Video: https://www.bbc.co.uk/news/technology-36153391

在C2C 2016竞赛之前,Frank Stajano和Graham Rymer决定以网络安全研究学术卓越中心(ACE-CSR)名义,为英国政府通信总部(GCHQ)在国家层面举办类似的比赛.因为这是英国有卓越中心(ACE)的大学间的竞赛,故称为英超(Inter-ACE)网络安全挑战赛。比赛于2016年4月在剑桥举行,竞赛组织方依托Facebook的优秀安全团队承办,13所有ACE的大学中的10所大学组建了团队参赛,Inter-ACE挑战赛得到了NCSC/GHCQ的赞赏和支持。

2017年英超竞赛(Inter-ACE 2017)

Hosting organization: University of Cambridge

Dates: 2017-03-18

Participating universities: 12

In-person competitors: 100

Platform provider: Leidos

Supporting institutions: NCSC, UK Cabinet Office

Industrial sponsors: Leidos, NCC Group

Video: https://vimeo.com/211456053

C2C赛事原本是一次性的,因为竞赛效果好,2017年剑桥大学拟主办第二届。在C2C 2017赛事之前,剑桥大学获得英国政府通信总部(GCHQ)CyberInvest计划支持,2017年4月举办了第二届英超竞赛(Inter-ACE 2017),国防承包商Leidos公司作为主要赞助商,提供了用来训练美国军队的网络靶场作为竞赛平台。

2017年C2C竞赛(C2C 2017)

Hosting organization: University of Cambridge

Dates: 2017-07-24 to 2017-07-26

Participating universities: 23

In-person competitors: 111

Platform provider: Leidos

Supporting institutions: NCSC,UK Cabinet Office,US National Science Foundation

Industrial sponsors: Leidos, NCC Group, ForAllSecure, Immersive Labs, Context,

KPMG, Palo Alto Networks, Wiley

Video: https://vimeo.com/227942592

剑桥大学招募Michelle Houghton担任经理,2017年7月举办了第二届C2C竞赛,来自美国和英国的23所大学的100多名大学生参赛。

2018年英超竞赛(Inter-ACE 2018)

Hosting organization: University of Cambridge

Dates: 2018-03-16 to 2018-03-17

Participating universities: 18

In-person competitors: 134

Platform provider: University of Cambridge

Supporting institutions: NCSC

Industrial sponsors: BT, Context, Palo Alto Networks, Facebook

Video: https://vimeo.com/262210646

2018年3月,剑桥大学再次举办了Inter-ACE竞赛,创造了134人的参赛记录,竞赛由Graham Rymer撰写挑战问题并提供竞赛平台。

2018年C2C竞赛延期

竞赛组织方致力于将C2C竞赛扩展到美国和英国之外,向来自日本、以色列等国家的大学生开放C2C竞赛。但不幸的是,由于资格赛的失误,C2C竞赛不得不推迟到2019年。到目前为止,C2C竞赛已经真正全球化了。

相关竞赛情况

剑桥大学不是唯一也不是第一个组织网络安全竞赛鼓励新人才的机构,还有许多其它有价值的竞赛。剑桥大学组织竞赛的目标是解决网络空间安全人员的技能差距,只接纳大学生参赛。从招聘角度来看,参赛选手对企业合作伙伴尤其具有吸引力。其它竞赛包括:

英国网络安全挑战赛(The Cyber Security Challenge UK)

英国网络安全挑战赛对所有人开放,包括在线竞赛、面对面(face2face)和大师赛(MasterClass)等一系列赛事。组织方还通过高等教育、继续教育和学历教育等计划,提供教学、培训和竞赛经验交流的机会。

CyberCenturion竞赛

由Northrop Grumman领导的CyberCenturion竞赛是英国网络安全挑战赛的一部分,借鉴了美国CyberPatriot竞赛模式。参赛人员为12-18岁的青少年,四人一组,并可以有候选队员。挑战包括谜题(puzzle)、密码破译和网络安全等问题。竞赛鼓励多种组队方式,比如仅女孩团队、仅男孩团队和学员团队等。分为12-14岁和15-18岁不同年龄组,竞赛题目难度有所不同。

CyberFirst竞赛

CyberFirst竞赛是英国政府国家网络安全计划(UK government’s National Cyber Security Programme)的重要内容,由英国政府通信总部(GCHQ)的国家网络安全中心(NCSC)组织。竞赛仅限于获得英国大学综合奖学金计划资格的女孩参加,年龄在13岁至15岁之间,每四人一队。先参加在线比赛,然后前十名的队被邀请参加总决赛。

Cyber 9/12竞赛

Cyber 9/12学生挑战赛由美国智库大西洋理事会(The Atlantic Council)组织。竞赛内容主要以网络政策和战略为主,也有互动经验学习和竞赛情景练习等内容。Cyber 9/12学生挑战赛在世界各地举行,已举办赛事的城市包括美国华盛顿特区、瑞士日内瓦,澳大利亚悉尼和英国伦敦。

其它网络安全竞赛

许多有卓越中心(ACE-CSR)的大学,包括贝尔法斯特女王大学、爱丁堡大学和伯明翰大学,都将自己的内部夺旗赛(CTF)作为网络安全英超竞赛(Inter-ACE)的选拔赛。

许多公司,比如BAE Systems、Deloitte和Facebook,都有自己的CTF比赛,用于培训或招聘。

AppSec Europe和NULLCON等国际会议也举行CTF挑战赛。

国际上的CTF竞赛有全球网络奥林匹克竞赛(Global Cyberlympics),当然还有世界著名的DEFCON竞赛,这两个竞赛对任何人开放。

有关CTF竞赛的历史记录可以查阅CTFtime网站, https://ctftime.org/event/list/past。

为了进一步练习,感兴趣的同学可以参考由ForAllSecure创建的学习网站:https://picoctf.com。

技术报告的附录中还分享了夺旗赛(CTF)题目的分析评论、有关竞赛的新闻简报和活动手册,感兴趣的读者可以参考。

组织竞赛的经验和建议

一般性建议

一是需要协调一致的公关工作。竞赛的长期目标是培养新一代超百万级的网络防御人才,而竞赛选手却只有大约一百人,与长远目标相差甚远。因此,竞赛只是树立榜样,选拔大使,用来激励没有参加比赛的年轻人,从而达到真正的目标。因此需要公关策略,聘请优秀的公关团队策划。比如请参赛选手回到学校宣讲,介绍比赛中感到骄傲和激动的所作所为,通过新闻媒介发布竞赛中学生表现的新闻稿进行广泛宣传。新闻报道需要有视觉元素,确保比赛具有直观和亲力亲为的感觉,并能得到参赛选手和旁观者的欢迎。

二是要勇于承担错误。竞赛过程中几乎总会出现问题,也几乎总是可以采取一些补救措施挽救局面。比如重复使用旧的挑战问题、不正确地配置网络、不能及时提供足够的技术支持人员等等。但如果搞砸了,就承认错误,试图掩盖事实只会让人产生反感,作为组织者要在所有情况下承担责任。

三是要进行事后调查。每次竞赛后需要进行问卷调查,不要被投诉和抱怨搞得不知所措,要注意出现的趋势。如果给出空白纸,多数受访者只会告知他们不喜欢的事情。可以通过设定选择框的方式,询问什么是好的,什么是糟糕的。事后看总有很多事本可以做得更好,问卷调查中的评论能告诉组织方哪些会产生影响,哪些不会。并非所有负面评论都是公平的,尽管如此,如果站在虚心倾听的角度,肯定会得到有建设性的建议。

有关规划的建议

一是充分考虑各种依赖关系。比如发出公告、确定日期和地点、寻找场地空闲时间、选择满足竞赛人数需要的场地、确定参赛人数、得到确定的参赛人员回复等,进入一个循环依赖的怪圈。如果邀请学生,必须考虑学生的学期、考试时间等因素,这些因素因不同大学而异,因不同国家而异。还比如经费,有些花销和人数密切相关,有些赞助往往经过数月后才能确定。经验表明,竞赛中存在很多类似的循环依赖,有时需要组织者承诺在尚未达到必要的先决条件的同时提供必要的结果,这往往是令人不安的决定。

二是应对最后一刻退赛的情况。无论计划多么仔细,总有一些参赛选手人会因为机票、签证等各种原因在最后一刻退赛,这对组队和分组造成很大的麻烦。如果考虑象征性地收取费用,然后将其回报给实际参赛选手,这只会带来更多行政财务上的负担。值得建立一个参赛人员侯选名单,当一个有资格的参赛选手退出时,可以按顺序递进候选人。

三是与学生保持良好的沟通。个别学生通常对比赛充满热情,但有些大学没有通知到学生有关竞赛安排。为防止这种情况,需要组织方主动搜索和联系有关学生社团。建议设置网站或邮件列表,在向学校发通知公告的同时,允许有兴趣的学生注册并接收有关新闻。应充分利用社交媒体和其它渠道,方便学生知晓有价值的新闻。与学生保持良好沟通绝不仅限于通知公告,在活动开始前能负责任地快速响应个人查询的问题特别重要,这是一个不容低估的关键角色,需要专门为此分配资源。

四是充分验证挑战问题的质量。很多提供商会为CTF竞赛提供挑战问题并提供CTF竞赛平台。虽然提供商经验丰富并拥有令人印象深刻的资质,但在决定技术合作之前,最好对提供的挑战问题和竞赛平台进行某种质量控制,“先试用后购买”。需要巧妙洞察力解决的挑战问题要比暴力解决的挑战问题更具有娱乐性和刺激性;运用横向思维解决的问题要比使用常规黑客工具包解决的问题更让人愉快。在竞赛玩法方面,精心设计的CTF竞赛能提供机会,让落后团队超越当前的赢家而登上顶峰;相反,如果在第一天排名靠前的队伍就能保证三天结束时获胜,那么竞赛会显得无聊。因此,任何技术合作需遵循俄罗斯谚语“信任,但要核实”。竞赛经验表明,军用网络靶场(military cyber ranges)对CTF竞赛的可玩性只能做出较少的让步,使用起来并不那么愉快,不太适合CTF类型的“体育”赛事。

五是不要受条条框框限制。不要把比赛形式看作无法突破的边界,也不要把参赛选手当作对手去管理,竞赛的重点不在于谁达到顶峰,而是确保竞赛能吸引新人加入网络防御队伍、学到新东西和建立沟通交流的桥梁。竞赛不要仅限于计算机科学与工程专业的学生,事实上网络安全企业也抱怨应聘学生过于同质化,希望有来自其它背景的参与者,建立更多跨学科团队。

有关预算的建议

组织竞赛的最大成本是员工的工资及其相关管理费用。剑桥大学组织竞赛有2个专职人员和1个项目负责人。要根据竞赛规模确定人手,但至少需要1个黑客角色、1个活动策划经理和1个负责筹款的角色。竞赛需要指定公关机构,往往不便宜。通常情况竞赛对选手完全免费,需要考虑住宿、差旅、膳食等费用。然后是参赛选手的奖品,多数情况下,奖金和奖品由企业赞助商提供。剑桥大学组织竞赛的整体预算大约数十万英镑,企业赞助商贡献了大部分经费和竞赛运行平台。

一是尽早确保预算。宣布比赛时,通常需要早期做出一些承诺,大多数承诺都需要经费支持。理想情况下是先计划活动和预算,然后获得所需资金,最后才承诺。但实际情况从来没有这么美好,有些时候有关资金的承诺都有水分,往往到账也比较晚。

二是留出应急费用。无论计划多好,总会有意外。比如突然想出计划外的好主意或者出现了意想不到的情况等。尽所能设立应急费用,理想情况下是总预算的10%。这需要保持赞助投资组合的多样化,以保持独立性。

三是了解上级机构能做什么和不能做什么。剑桥大学在与英国政府内阁达成协议花费了很长时间,特别是当行政机关走上“体制轨道”时,一些基本的资金往来将变得复杂和耗时。非常值得事先调查了解清楚上级机构财务部门能轻松做的事情和痛恨的事情。

四是注意即使预算满足也会出现现金流问题。通常赞助经费需要很长时间到账,即使赞助商已经给了所有的保证,仍然需要签署合同。即使这样,也许几个月后甚至可能在比赛结束后,才能将资金存入账户。竞赛组织在争取时间作出承诺时,不得不支付现金,尤其在钱还未到账的情况下, 需要事前考虑清楚。

五是不必花很多钱。也有办法可以节省地组织CTF竞赛。为了降低成本,可以采取一些降低成本的措施,比如使用免费场地、让参赛选手负担差旅费、发放奖牌而不是现金、尽可能找赞助商提供技术和后勤工作、依靠助商的新闻媒体等等。

有关竞赛规则的建议

一是用规则约束参赛选手朝着预期目标前进。竞赛规则是不应被低估的权力工具。明确想要实现的目标,然后确保制定符合目标的规则。比如,为消除“剑桥pk剑桥”的有害模式,在C2C 2016中强制要求每个团队都有来自两所大学的成员以促进合作,这种成功往往取决于在规则中为参与者提供适当的激励。将道德规范纳入规则中也是值得的,作为组织者希望避免某些不良后果,需要采用一些规则让参与者不做不受欢迎的事情。比如使不受欢迎的事情变得不可能、制定规则明确禁止和不受欢迎的事情(如告诉选手不得攻击评分服务器)、明确不良行为的道德错误(与作弊相关)等等。

二是注意不同文化的敏感性。比如吸引更多女性参加比赛的一些措施,尽管这是一项受欢迎的倡议,但在美国被认为是有歧视性的。制定规则不应冒犯参赛选手,可以选择采取完全不同的方式纠正性别平衡,比如邀请网络领域有杰出贡献的职业女性榜样做演讲。

三是预料作弊行为。必须认真对待作弊行为。最佳的预防措施是通过技术手段使作弊成为不可能;如果不能做到这一点,就需要能审计到违反竞赛规则的行为,留下证据,在这种情况需要选手在赛前做出承诺接受违反规则的惩罚,最好事先明确违规行为轻重的处罚方式;最糟糕的情况是发生作弊不能被发现,分为“不是总能被发现”和“永远不会被发现”两种情况,这意味着有些人可能会侥幸逃脱,而有些人却因同样的行为受到惩罚。

四是将道德规范纳入竞赛行为规则中。CTF竞赛鼓励选手运用逆向工程、攻击计算机、发现利用漏洞等通常坏人犯罪中使用的所有攻击技能。对于竞赛这是必要的,因为攻击和防御是交织在一起的。区分使用这些攻击行为好坏的原则在于推动这些行动的价值观。不应理所当然的认为这一切行为是好的,应在竞赛规则中有充分明确的道德规范。作为道德黑客竞赛的组织者首要职责是发出明确信号:即无论看起来多么自然和无害,作弊都是错误的。对于未来的竞赛,重要的不仅是推出更好的技术和监管措施防止作弊,更重要的是要强化选手作为新一代好人的旗手意识,需要不惜一切代价维持道德上限。如果参赛选手认可和屈服于马基雅维利式(Machiavellian)的“结果证明手段”理念,那么他们很可能就会将专业黑客技能用于邪恶的用途,这是一个比如何利用缓冲区溢出更重要和基本的教训。

结束语

培养新一代的网络防御人才是一项雄心勃勃的重任,英国政府机构对竞赛的支持是对未来的前瞻性投资,剑桥大学创建C2C和Inter-Ace竞赛是种下了一颗种子,逐渐长成一棵大树。希望在10到20年内,能够看到重大的成果。除了期盼越来越多有能力的网络防御人才从竞赛中走出来,组织竞赛的最佳回报是:见证来自不同国家的网络安全人才在最初的一个竞赛中会面后,在其职业生涯中始终保持联系,协同拯救世界。

参考文献

Frank Stajano, Graham Rymer, Michelle Houghton, Raising a new generation of cyber defenders, https://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-922.html

译者:田夫笔耕

声明:本文来自中国保密协会科学技术分会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。