你又懂雷锋网宅客频道的套路了,政府居然还给他们颁奖?

看完这个标题,你又明白了雷锋网家客频道的套路。

毕竟我们写过“30名黑客攻击运营商内网,对方拿出武器对付NSA……”“近百名黑客攻击贵阳真网,政府居然给他们颁奖。” ? “人们!

黑客比赛攻击互联网真实应用,作弊被抓会被吊打

好吧,我再次承认:这是一次攻防演习,但领先的互联网汽车平台(知名的,以下简称D)确实拿出了自己真正的互联网应用来“练习”。

以前,有人一打开就抱怨,“这不是真正的攻击,有什么好”,但幸运的是,一些室友评论并更正了名称:

黑客比赛攻击互联网真实应用,作弊被抓会被吊打

每一次攻防演习都有一个目标。

雷锋网这次要讲的比赛叫做“X-NUCA企业安全人群测试范围挑战赛”。

NUCA,我的理解,就是全国高校网络安全联盟(tion),加上“X”可能会显得神秘酷炫(据猜测,俗称)

这次的目标是什么?作弊被抓怎么办?

模拟射击场,头部互联网车载平台入局

比赛吸引了112支队伍,501人报名。11月25日上午9:00,各支队伍齐聚一堂,对永信精心打造的靶场环境展开全面攻势。

黑客业务服务公司_黑客业务tt90go_黑客业务网

所谓“靶场”,就是一个还原互联网公司内网场景的平台,为参赛选手提供内网安全检测模拟演练的机会。参与者需要在独立的靶场环境中与队友一起探索黑暗,不断收集线索,绕过死胡同,逐步完善大脑中该区域的地形图。只有最先走出靶场的队伍才能发现宝物。

说白了,就是模拟一个典型的小型企业内网场景,让参赛者尝试攻击,寻找漏洞。

你不得不怀疑,“模拟”和“真实”还是有区别的。白云世界皮具城的名牌包包是真的吗?

黑客比赛攻击互联网真实应用,作弊被抓会被吊打

首先黑客业务网,这个“靶场”还是非常接近真实的内网场景的。对于安防行业培训来说,可能已经比CTF等问答比赛更能满足企业的需求。

此外,为了让攻击“更真实”,本次大赛在靶场的模拟环境中引入了真实商业网站的测试,测试对象为D旗下的真实互联网应用。

在靶场内网安检模式下,参赛选手只需正确回答签到问题,即可触发隐藏关卡,进入“与信者共考”模式。参赛队伍需在比赛期间对应用进行渗透测试,发现漏洞并按照规定的报告格式提交审核。

经过8个小时的奋战,暨南大学的队伍高居榜首,获得了比赛的第一名。广东外语外贸大学GWHT队以微弱优势获得亚军,南京邮电大学队赢得比赛。在比赛中排名第三。

蛤?D 居然敢拿出真正的互联网应用给大家做个“热门测试”?是的,这就是前面提到的“信徒测试”。有几个先决条件:

首先黑客业务网,你有一个名字和一个姓氏,所以你不能乱来。所有参与者必须以真实姓名注册。他们必须是在中国注册的大学的学生,并有导师。一所大学最多可以有两个团队参加。

“这个虚拟场景是我们浓缩的最典型的中小互联网公司的网络架构。说到公测,选手们作为公测团队,正在挖掘D的全局漏洞。作为只要在D域名下发现漏洞,就可以提交分数。” 永信信的CTO张凯说。

黑客业务网_黑客业务服务公司_黑客业务tt90go

这就引出了第二个要求:D和永信真诚的同意,所有的数据都不会存储在靶场的服务器上,漏洞会通过接口提交到D的SRC上。换句话说,只有 D 才能知道什么是漏洞。

第三,为了不影响D的业务,规定了比赛时间。

这样,D就愿意参与这个“游戏”了。

上帝模式+抓作弊

其实这个游戏还有一个重要的原因:吸引大家去挖掘漏洞,发现人才。这就是雷锋网之前提到的,每场比赛都有一个目的。

为了通过比赛选拔人才,张凯等人做了两件事。

一是抓作弊,保证公平正义,展现选手真正有“实力”。

需要强调的是,这是一款在线攻防博弈,也就是说可以用“外援”来替自己打,参赛队伍之间的“问题交叉”和“思想交叉”都可以达到了。

雷锋网采访了一些顶级CTF球员,发现了一个默认规则:如果没有明确的求助顺序,有的球队会向场外队友求助。

在这场比赛中,主办方明确下令“不要这样”。

然而,光有规定是不够的,你必须真正找出来。张凯表示,由此,比赛平台推出了“反作弊系统”,支持多种手段遏制造假。

黑客业务服务公司_黑客业务tt90go_黑客业务网

有点像《风火戏王爷》,有什么好看的?然而,这与美丽无关。张凯道:“嗯,烽火台,大家一听就觉得很生动。烽火是信号,我们要抓住作弊信号。”

黑客比赛攻击互联网真实应用,作弊被抓会被吊打

“即使是同一个问题,你得到的答案和他得到的答案应该是不同的。如果我发现答案是你的,然后他提交了,这是一个非常危险的信号——这个答案怎么会错过?出去?

只有一种可能,就是有人把信息传出去,他就去尝试,因为他想作弊。在这样的游戏规则下,即使答案稍作修改,因为每个答案的字符串都是随机生成的,而且很长,你也不能炸。

如果爆破,系统也会直接提示屏蔽其界面一段时间,相当于攻击平台。”张凯说。

在本次比赛中,反作弊平台检测到84个异常操作。

二是“抢HR”,考核选手的行为和能力。

靶场推出了综合天赋能力测评系统——“安全对抗能力系统”,可以理解为游戏中的个人综合能力评分。安全能力评级是根据球队和单人在比赛中的表现,从多个维度综合评价各队、各队员在信息收集、漏洞利用、痕迹清除等方面的技术优势和不足。 ,并生成个人“安全能力优势雷达图”。

“未来我们会持续追踪每一位学员的成长轨迹,为未来的信息安全人才培养和筛选提供有力的素材。” 张凯说道。

“非正式的说法是你抢了HR的工作?” 雷锋网问道。

张凯说:“应该说我们给了选手和HR一个更好的工具。这个真实游戏中的能力图(以后可能会结合这个人在i春秋的行为)来帮助我们更清晰的定义选手的能力和专业知识,我们常说企业找不到想要的人,安全人才的培养找不到长处,现在站在上帝的角度,有针对性的设计比赛流程,让比赛更符合公司。有能力需要的人参与竞争,或者引导球员成长到公司更真实的需要。”

黑客业务tt90go_黑客业务网_黑客业务服务公司

Q&A 1. 靶场真的“真实”吗?一开始你是怎么考虑制定这样的时间表的?

张凯:我们刚才提到的方案是要模拟一个场景,必须是我们工业化场景中比较常见的典型场景。

我们通常模拟,比如互联网公司,或者一些小型工业公司。在这个场景中,不仅有网页类型,还有浏览器攻防、二进制攻防。我们想要构建一个拥有一切的典型场景。

它必须有一个Web类型的区域作为入口,然后您才能进入内网。这可以分为几个层次,比如数据权限比较低的内网区和数据权限比较高的数据区,模拟一个企业,一般的企业网络都存在这个规模,即使现在在云端部署的那些企业的网络基本也是这种架构。

我们希望互联网安全圈中的每个人都能了解黑客如何对网络进行这样的攻击。在攻击过程中,你会知道你在哪里设置了相应的安全设备、规则和加固。通过等待,我们可以做好网络安全。

我们模拟了这样一个企业内网,在四台虚拟机的情况下将其划分为三个不同的网络,然后构建了12道题。一行人登入平台后,第一眼看到的场景是黑暗中,只看到一个入口。那个地方有一个网站。我们告诉他,已知的故事是——我们知道目标公司的网站被黑客攻击了。我邀请这些团队的目的是请他们重现或重现这个网络场景中的漏洞,以及如何找到丢失的关键信息。

通过这个门户,各个团队一步步搜索相应的情报信息,完成对网络的探索,找到相应的漏洞,最终得到最危险、最重要的资产信息。

在靶场部署高度模拟的场景是网络安全竞赛的发展方向。希望未来的射击场能够融合交通、通信、水利、供电等基础设施应用场景。

我们玩了一个游戏后,感觉我们只是在模拟靶场里的这样一个场景。现实还不够好吗?因此,我们加入了《我春秋》与信徒的部分。

本次公开测试部分的目标是一家真正的互联网公司。和我们一开始的靶场不同的是,它是互联网上的一个开放入口,背后确实有一个和公司一样大的网络。这个团队可以同时体验网络上虚拟浓缩的典型场景和真实的企业场景。发动攻击以展示团队的能力。

另外,我认为“信徒测试”是有市场的。我们的“网络空间安全智能仿真与人群测试关键技术与服务北京工程实验室”是2017年北京市49个工程实验室中唯一的人群测试关键技术实验室,获得北京市发改委正式批复,这意味着“信徒测试”进入了一个全新的阶段。

黑客业务网_黑客业务tt90go_黑客业务服务公司

2.D 这次公开测试的结果怎么样?

张凯:可能我们确实低估了公测的难度。一般情况下,公测应该提前多少天发布,但是在与主办方沟通后,主办方认为既然我们说是靶场比赛,最好在比赛中透露信息,所以这个时间太短了,后果就是有些队伍还没准备好,确实够难的。

就D的整个领域而言,已经挖了很多年,一直在持续从事,但至少我们把这个模式介绍给了这些团队,他们也知道这家公司有SRC这样的地方。

就D自己的白帽而言,其实比较难挖。这一次,开发了一种新模型。和D聊的时候,D其实对这次公测并没有量化的期望,只是想试一试,看看这种形式是否可行。这是滴滴首次引入众测模式。

3.所以你以后会用很多SRC做这个吗?

张凯:对对对。我们搭建了从CTF到RHG(机器人自动攻防大赛)等一系列线上线下赛事平台,希望将参赛选手的能力转化为网络安全的驱动力,让安全竞赛的价值回归互联网安全。但并没有说一项业务已经完成,这只是一个开始。

最后,让我们做一个小调查。您认为获得公司关注的最佳方式以及安全上岗的最佳方式是什么?

A.玩CTF,毕竟奖金丰厚,很多公司也有自己的CTF

B.边学习边去目标公司的SRC挖坑

C.去目标公司实习,接受老板的真实考验

D.我是做生意的,我看看这群小萌新怎么想的

E、组队参加以上模拟式攻防挑战,刷一波简历

F.打电话给主场嘉宾频道,拿票参加安保活动,引起大佬们的注意(别想了,补个号)

关键词:黑客业务网