CTF（奪旗賽）起源于1996年DEFCON全球黑客大會，是全球范圍網(wǎng)絡(luò)安全圈流行的競賽形式，DEFCON作為CTF賽制的發(fā)源地，是全球最高技術(shù)水平和影響力的CTF競賽，類似于CTF賽場中的“世界杯”。

CTF之所以在全球網(wǎng)絡(luò)安全界流行，是因?yàn)樵摫荣愋问郊婢呷の缎浴?shí)用性和教育意義，為網(wǎng)絡(luò)安全專業(yè)人員提供了一種展示黑客技能的方法，同時又能在建設(shè)性、安全的環(huán)境中學(xué)習(xí)新概念。成功的CTF賽事對于設(shè)計者和參賽者來說都是巨大的挑戰(zhàn)，可激發(fā)出新穎的攻擊路徑和創(chuàng)造性場景，并被企業(yè)攻防安全專業(yè)人員應(yīng)用到日常工作中。

設(shè)計高質(zhì)量CTF賽事除了技術(shù)挑戰(zhàn)之外，還需要考慮環(huán)境設(shè)置、實(shí)際競賽操作、設(shè)置引人入勝的游戲所需的創(chuàng)意規(guī)劃，以及游戲化相關(guān)的細(xì)節(jié)因素，例如評分結(jié)構(gòu)和權(quán)重的設(shè)置等。

Netskope威脅研究實(shí)驗(yàn)室團(tuán)隊(duì)首席研究員Jenko Hwong是2023年DEF CON Cloud Village CTF的團(tuán)隊(duì)負(fù)責(zé)人，他表示：“作為一名設(shè)計師，我希望CTF具有挑戰(zhàn)性和樂趣，同時又具備相關(guān)性和實(shí)用性?！?/p>

Hwong指出，雖然CTF賽事非常流行，但是比賽設(shè)計和最佳實(shí)踐方面的信息卻非常匱乏，這導(dǎo)致很多CTF賽事設(shè)計者反復(fù)“踩坑”。以下，Hwong分享了他設(shè)計DEF CON CTF賽事的七點(diǎn)經(jīng)驗(yàn)教訓(xùn)：

一、講好故事是關(guān)鍵

Hwong表示，為了增加CTF賽事的趣味性和吸引力，DEF CON Cloud Village團(tuán)隊(duì)花大力氣編寫引人入勝且有趣的故事情節(jié)。這里的“故事”可以看作是一個內(nèi)置了現(xiàn)實(shí)的網(wǎng)絡(luò)安全場景的電影劇本。這次DEF CON CTF活動他們選擇了“矮人”主題，趣味性十足。但重要的不僅是編寫故事情節(jié)，故事中融入的技術(shù)挑戰(zhàn)也很重要。

“在妖精和矮人的故事場景中，作為設(shè)計者，你需要提出安全專業(yè)人員可能遇到的合理場景，包括潛在的攻擊路徑和合理的防御，”Hwong指出：“作為CTF設(shè)計師，編故事的能力越強(qiáng)，CTF賽事就越有趣，對參賽者的吸引力就越大。”

二、采用軟件開發(fā)方法設(shè)計賽題技術(shù)元素

Hwong建議，CTF設(shè)計者應(yīng)該采用軟件開發(fā)方法來設(shè)計賽題的技術(shù)元素。

“你必須考慮設(shè)計、實(shí)施和測試，”Hwong解釋說，他和他的團(tuán)隊(duì)經(jīng)歷了慘痛的教訓(xùn)才領(lǐng)悟，在一個復(fù)雜的，由眾多參與者用各種方法操縱的CTF環(huán)境中進(jìn)行測試是一個巨大的挑戰(zhàn)。

“（比賽前）我們沒能完成陰性測試和可行性檢查工作，作為主要設(shè)計者，我沒有指導(dǎo)測試，負(fù)有主要責(zé)任，”Hwong說：“部分原因是我們沒有足夠的時間進(jìn)行測試，所以我在比賽正在進(jìn)行時鎖定了一些環(huán)境，避免比賽過于容易（找到漏洞）。

Hwong學(xué)到的重要教訓(xùn)之一是，CTF設(shè)計人員需要將軟件開發(fā)的嚴(yán)謹(jǐn)性帶到CTF環(huán)境測試和可行性工作的整個流程中。

三、操作嚴(yán)謹(jǐn)性也很重要

嚴(yán)謹(jǐn)?shù)能浖_發(fā)并不是唯一重要的技術(shù)能力，運(yùn)行CTF賽事的工作人員也需要嚴(yán)格遵守操作要求。

“我們有一些出色的人員來運(yùn)行服務(wù)器、AWS帳戶以及Google和Azure帳戶，并確保一切保持運(yùn)行，并且我們能監(jiān)控一切，”Hwong說：“所有這些問題都必須得到處理。如果你忽視它，就可能意味著失敗、破壞，或性能問題。”

Hwong遇到的運(yùn)營問題之一是參賽者和賽事平臺間的一些沖突，因?yàn)楸荣惌h(huán)境受到限制，無法為AWS、Google和Azure上的每個參與者創(chuàng)建獨(dú)立的環(huán)境。隨著CTF比賽的推進(jìn)，Hwong和他的團(tuán)隊(duì)重新調(diào)整了政策，為參與者提供真正隔離的環(huán)境，避免互相干擾。

Hwong指出，在運(yùn)營方面，CTF設(shè)計者還必須積極促進(jìn)組織者和參賽者之間的持續(xù)溝通。

四、難度分級和評分系統(tǒng)

Hwong警告說，CTF組織者往往會低估賽題難度級別設(shè)定及開發(fā)公平評分系統(tǒng)的困難程度。在實(shí)際比賽中，Hwong的團(tuán)隊(duì)設(shè)計的一些看似簡單的關(guān)卡實(shí)際上難度很大，而一些看上去很難的賽題的成功完成者數(shù)量卻比預(yù)期得多。

CTF的另一個挑戰(zhàn)是找出一個有意義的評分系統(tǒng)?；贒EF CON的實(shí)操經(jīng)驗(yàn)，Hwong推薦使用鐘形曲線評分系統(tǒng)。還有一個問題是如何規(guī)范和平衡大型CTF團(tuán)隊(duì)在獲得挑戰(zhàn)點(diǎn)方面的優(yōu)勢。

“如果一個戰(zhàn)隊(duì)人數(shù)較多，挑戰(zhàn)任務(wù)可以拆分由多個隊(duì)員并行完成。如果你的團(tuán)隊(duì)有10個人，速度就會提高10倍。所以人數(shù)絕對是一個優(yōu)勢，”Whong指出：“我們需要某種動態(tài)評分來稍微平衡一下?！?/p>

一種選擇是讓挑戰(zhàn)連續(xù)進(jìn)行，但其缺點(diǎn)是可能會使CTF過于僵化和線性，并且可能會產(chǎn)生瓶頸或依賴關(guān)系，從而破壞一個或多個賽事。Hwong表示，他還希望看到更多的CTF對參與者的技術(shù)進(jìn)行獎勵，例如在環(huán)境中的秘密行動能力（是否留下太多腳印和指紋）。

五、藍(lán)隊(duì)更看中CTF的實(shí)用性

Hwong認(rèn)為普通的CTF已經(jīng)不足以吸引藍(lán)隊(duì)參與挑戰(zhàn)。

“藍(lán)隊(duì)演習(xí)往往是這樣的：‘我們的環(huán)境有配置錯誤，存在很多漏洞。你能修復(fù)它們嗎？’”Hwong說：“藍(lán)隊(duì)所做的只是測試這些配置是否被更改，或者紅隊(duì)是否可以訪問某個公共存儲桶。一旦將其離線，就意味著藍(lán)隊(duì)修復(fù)了漏洞并獲得積分。

對藍(lán)隊(duì)來說，實(shí)用性更強(qiáng)，更貼近實(shí)戰(zhàn)的挑戰(zhàn)是這樣的：紅隊(duì)已經(jīng)成功進(jìn)入環(huán)境，藍(lán)隊(duì)必須找到他們并將他們踢出環(huán)境?；蛘撸瑱z測到正在發(fā)生事件，紅隊(duì)已經(jīng)獲得賬號憑據(jù)。此場景中，藍(lán)隊(duì)只有注銷攻擊者的訪問權(quán)限才有機(jī)會獲得最高分。”

Hwong指出，這些CTF場景更難實(shí)現(xiàn)，但對于防御者來說更真實(shí)，也更有價值。

六、CTF需要更多新鮮組件

Hwong呼吁CTF設(shè)計者在CTF賽題中引入更多新漏洞利用和漏洞信息。這是Hwong在第一次參加DEF CON Cloud Village時強(qiáng)調(diào)的問題，他決心在明年的CTF大賽中改進(jìn)這一點(diǎn)。

“這是把CTF變成實(shí)用的學(xué)習(xí)和培訓(xùn)工具的一個關(guān)鍵舉措，”Hwong解釋道：“我們很樂意使用研究人員的最新成果、甚至包括在當(dāng)界DEF CON上提出的相關(guān)漏洞利用方法和成果。”

七、通過模塊化開發(fā)提高可復(fù)用性

最后，Hwong透露他汲取的最大教訓(xùn)之一是，業(yè)界需要找到更多方法來為CTF開發(fā)可重用組件，就像軟件開發(fā)人員為應(yīng)用程序所做的那樣。Hwong夢想建設(shè)一個開放的GitHub存儲庫，其中包含CTF代碼，作為開發(fā)CTF的基礎(chǔ)模塊。

“CTF開發(fā)模塊支持定制，能夠省去60%的重復(fù)工作，這樣CTF組織者和設(shè)計者就可以專注于真正的創(chuàng)新工作，例如添加新技術(shù)、場景和故事情節(jié)?！?/p>