有很多形式和级别:但终归来讲最主要的意义在于培养安全人才网络大赛。
比方说:通过举办CTF来培养网络安全人才,已经发展成为了国际网络安全圈的共识。
有一个趋势是,近几年,国际、国内的CTF赛事越来越多,举办方有些是有政府背景,比如韩国的 Codegate CTF;有些是安全会议牵头的,比如著名的 DEF CON CTF;有些是战队办的,比如PPP 的 PlaidCTF(这种最为常见);有些是企业办的,比如腾讯的TCTF ,连续3年成为中国大陆唯一DEF CON CTF外卡赛授权,也就是说打进了TCTF国际赛的决赛,就能够直接晋级DEF CON CTF决赛,因此吸引了很多国际知名战队的参与。
除此之外,很多国内、国外企业,甚至是国家机构,还会专门举办面向内部员工的 CTF。从公开信息了解到,美国国防部从 2014 年开始举办名为“CyberStakes”的 CTF ,和网络安全人才培养计划直接挂钩。“CyberStakes”作为其中重要的训练环节,甚至还专门邀请曾经在CTF竞赛领域成绩出众的选手前来授课。
从CTF中走出来,收获的不止是技术
打CTF是非常好的安全技术能力训练方式。首先,CTF与计算机科学、信息安全紧密相关,比如逆向分析、漏洞挖掘与利用、Web安全或者密码学等。一般来说,优秀 CTF 选手在从事安全技术工作时也会有很大优势,在处理现实的安全问题时,可以运用到CTF当中的一些知识,而好的CTF赛事,题目质量更高,选手提升也会更快。
另一方面,研究安全技术过程中训练出来的思维能力是很有用处的。比如分析能力、判断能力、规划能力、搜集能力、学习能力、提炼能力等,这些能力的培养,不管是对专业的提升,还是对于职业能力的养成,都帮助非常大,即使以后不做安全,在其他领域也能融会贯通。
比如1996 年成立的黑客技术团体“w00w00”,成员中就出现了非常杰出的人物,包括WhatsApp 的联合创始人、Jan KoumNapster(世界最早的音乐共享平台) 的联合创始人、Shawn FanningArbor Networks 的联合创始人、Dug SongNmap 的开发者等等,这个团体不是特别大,却人才辈出。
最后,不管你是不是安全相关专业,或者只是对安全感兴趣,想未来从事相关的工作,都建议能够参加一些CTF的赛事,并在比赛之余,找机会接触一下安全行业,了解行业里有哪些角色,了解每种角色需要什么技能,了解自己适合哪种岗位。这些积累,都会在将来的某一天,回馈给你意想不到的惊喜。