CTF（奪旗賽）起源于1996年DEFCON全球黑客大會，是全球范圍網(wǎng)絡安全圈流行的競賽形式，DEFCON作為CTF賽制的發(fā)源地，是全球最高技術(shù)水平和影響力的CTF競賽，類似于CTF賽場中的“世界杯”。

CTF之所以在全球網(wǎng)絡安全界流行，是因為該比賽形式兼具趣味性、實用性和教育意義，為網(wǎng)絡安全專業(yè)人員提供了一種展示黑客技能的方法，同時又能在建設性、安全的環(huán)境中學習新概念。成功的CTF賽事對于設計者和參賽者來說都是巨大的挑戰(zhàn)，可激發(fā)出新穎的攻擊路徑和創(chuàng)造性場景，并被企業(yè)攻防安全專業(yè)人員應用到日常工作中。

設計高質(zhì)量CTF賽事除了技術(shù)挑戰(zhàn)之外，還需要考慮環(huán)境設置、實際競賽操作、設置引人入勝的游戲所需的創(chuàng)意規(guī)劃，以及游戲化相關(guān)的細節(jié)因素，例如評分結(jié)構(gòu)和權(quán)重的設置等。

Netskope威脅研究實驗室團隊首席研究員Jenko Hwong是2023年DEF CON Cloud Village CTF的團隊負責人，他表示：“作為一名設計師，我希望CTF具有挑戰(zhàn)性和樂趣，同時又具備相關(guān)性和實用性?！?/p>

Hwong指出，雖然CTF賽事非常流行，但是比賽設計和最佳實踐方面的信息卻非常匱乏，這導致很多CTF賽事設計者反復“踩坑”。以下，Hwong分享了他設計DEF CON CTF賽事的七點經(jīng)驗教訓：

一、講好故事是關(guān)鍵

Hwong表示，為了增加CTF賽事的趣味性和吸引力，DEF CON Cloud Village團隊花大力氣編寫引人入勝且有趣的故事情節(jié)。這里的“故事”可以看作是一個內(nèi)置了現(xiàn)實的網(wǎng)絡安全場景的電影劇本。這次DEF CON CTF活動他們選擇了“矮人”主題，趣味性十足。但重要的不僅是編寫故事情節(jié)，故事中融入的技術(shù)挑戰(zhàn)也很重要。

“在妖精和矮人的故事場景中，作為設計者，你需要提出安全專業(yè)人員可能遇到的合理場景，包括潛在的攻擊路徑和合理的防御，”Hwong指出：“作為CTF設計師，編故事的能力越強，CTF賽事就越有趣，對參賽者的吸引力就越大?！?/p>

二、采用軟件開發(fā)方法設計賽題技術(shù)元素

Hwong建議，CTF設計者應該采用軟件開發(fā)方法來設計賽題的技術(shù)元素。

“你必須考慮設計、實施和測試，”Hwong解釋說，他和他的團隊經(jīng)歷了慘痛的教訓才領(lǐng)悟，在一個復雜的，由眾多參與者用各種方法操縱的CTF環(huán)境中進行測試是一個巨大的挑戰(zhàn)。

“（比賽前）我們沒能完成陰性測試和可行性檢查工作，作為主要設計者，我沒有指導測試，負有主要責任，”Hwong說：“部分原因是我們沒有足夠的時間進行測試，所以我在比賽正在進行時鎖定了一些環(huán)境，避免比賽過于容易（找到漏洞）。

Hwong學到的重要教訓之一是，CTF設計人員需要將軟件開發(fā)的嚴謹性帶到CTF環(huán)境測試和可行性工作的整個流程中。

三、操作嚴謹性也很重要

嚴謹?shù)能浖_發(fā)并不是唯一重要的技術(shù)能力，運行CTF賽事的工作人員也需要嚴格遵守操作要求。

“我們有一些出色的人員來運行服務器、AWS帳戶以及Google和Azure帳戶，并確保一切保持運行，并且我們能監(jiān)控一切，”Hwong說：“所有這些問題都必須得到處理。如果你忽視它，就可能意味著失敗、破壞，或性能問題?！?/p>

Hwong遇到的運營問題之一是參賽者和賽事平臺間的一些沖突，因為比賽環(huán)境受到限制，無法為AWS、Google和Azure上的每個參與者創(chuàng)建獨立的環(huán)境。隨著CTF比賽的推進，Hwong和他的團隊重新調(diào)整了政策，為參與者提供真正隔離的環(huán)境，避免互相干擾。

Hwong指出，在運營方面，CTF設計者還必須積極促進組織者和參賽者之間的持續(xù)溝通。

四、難度分級和評分系統(tǒng)

Hwong警告說，CTF組織者往往會低估賽題難度級別設定及開發(fā)公平評分系統(tǒng)的困難程度。在實際比賽中，Hwong的團隊設計的一些看似簡單的關(guān)卡實際上難度很大，而一些看上去很難的賽題的成功完成者數(shù)量卻比預期得多。

CTF的另一個挑戰(zhàn)是找出一個有意義的評分系統(tǒng)?；贒EF CON的實操經(jīng)驗，Hwong推薦使用鐘形曲線評分系統(tǒng)。還有一個問題是如何規(guī)范和平衡大型CTF團隊在獲得挑戰(zhàn)點方面的優(yōu)勢。

“如果一個戰(zhàn)隊人數(shù)較多，挑戰(zhàn)任務可以拆分由多個隊員并行完成。如果你的團隊有10個人，速度就會提高10倍。所以人數(shù)絕對是一個優(yōu)勢，”Whong指出：“我們需要某種動態(tài)評分來稍微平衡一下?！?/p>

一種選擇是讓挑戰(zhàn)連續(xù)進行，但其缺點是可能會使CTF過于僵化和線性，并且可能會產(chǎn)生瓶頸或依賴關(guān)系，從而破壞一個或多個賽事。Hwong表示，他還希望看到更多的CTF對參與者的技術(shù)進行獎勵，例如在環(huán)境中的秘密行動能力（是否留下太多腳印和指紋）。

五、藍隊更看中CTF的實用性

Hwong認為普通的CTF已經(jīng)不足以吸引藍隊參與挑戰(zhàn)。

“藍隊演習往往是這樣的：‘我們的環(huán)境有配置錯誤，存在很多漏洞。你能修復它們嗎？’”Hwong說：“藍隊所做的只是測試這些配置是否被更改，或者紅隊是否可以訪問某個公共存儲桶。一旦將其離線，就意味著藍隊修復了漏洞并獲得積分。

對藍隊來說，實用性更強，更貼近實戰(zhàn)的挑戰(zhàn)是這樣的：紅隊已經(jīng)成功進入環(huán)境，藍隊必須找到他們并將他們踢出環(huán)境。或者，檢測到正在發(fā)生事件，紅隊已經(jīng)獲得賬號憑據(jù)。此場景中，藍隊只有注銷攻擊者的訪問權(quán)限才有機會獲得最高分?！?/p>

Hwong指出，這些CTF場景更難實現(xiàn)，但對于防御者來說更真實，也更有價值。

六、CTF需要更多新鮮組件

Hwong呼吁CTF設計者在CTF賽題中引入更多新漏洞利用和漏洞信息。這是Hwong在第一次參加DEF CON Cloud Village時強調(diào)的問題，他決心在明年的CTF大賽中改進這一點。

“這是把CTF變成實用的學習和培訓工具的一個關(guān)鍵舉措，”Hwong解釋道：“我們很樂意使用研究人員的最新成果、甚至包括在當界DEF CON上提出的相關(guān)漏洞利用方法和成果?！?/p>

七、通過模塊化開發(fā)提高可復用性

最后，Hwong透露他汲取的最大教訓之一是，業(yè)界需要找到更多方法來為CTF開發(fā)可重用組件，就像軟件開發(fā)人員為應用程序所做的那樣。Hwong夢想建設一個開放的GitHub存儲庫，其中包含CTF代碼，作為開發(fā)CTF的基礎(chǔ)模塊。

“CTF開發(fā)模塊支持定制，能夠省去60%的重復工作，這樣CTF組織者和設計者就可以專注于真正的創(chuàng)新工作，例如添加新技術(shù)、場景和故事情節(jié)。”