前沿对话 | 深育大讲堂之CTFer向攻防实战场景的进阶

迟忠旸：深信服安全服务认证专家，产业教育中心资深讲师、竞赛负责人，曾任职于中国电子科技网络信息安全有限公司，担任渗透测试工程师、安全讲师，多次为政府部门、大中型企业提供网络安全培训；具有丰富的内、外网渗透测试和红蓝对抗实战经验，擅长CTF、Web安全渗透测试、内网安全渗透测试、红蓝对抗等多个方向课程。

欧阳思裕：目前就职于深蓝攻防实验室天威战队，从事应急响应、渗透测试、红蓝对抗相关工作。作为红队攻击手曾多次参与网络安全攻防竞赛中获奖或优秀名次。深蓝攻防实验室，是深信服专门进行攻防研究与红队实战的团队。研究对象包括：红蓝对抗、渗透攻击链、通用漏洞分析与挖掘、武器开发、二进制安全等。作为攻击队参加各种实战演习、攻防竞赛、漏洞挖掘大赛等，在国家级、省级、行业级等各类演习中表现突出，名列前茅。

Q1：目前CTF比赛有很多，在您心目中什么样的比赛算是一场好的比赛？

迟忠旸：我认为一是题目质量，衡量CTF比赛质量最关键的因素看题目质量，难度较高的题目可以让你在打比赛或者赛后复现的过程中精进自己；二是普适性，一场大型的网络安全竞赛参赛选手水平各不相同，好的比赛的题目难度会适配大部分的参赛选手，让大部分的人来有所得；三是体验感：平台的稳定性，平台用户体验到的各处细节以及主办方带给参赛选手整体的体验感。

Q2：在众多的比赛中，如何找到优秀的比赛呢？

迟忠旸：并不是参赛人数越多，宣传越广泛的比赛就是最好的比赛，适合自己的比赛才是最好的比赛；适合自己现阶段的技术能力，如果刚开始学习就可以多参加校赛，现在很多高校会举办新生赛或者面向全网的校级比赛。再进一步可以在https://www.ctfhub.com（国内）或者https://ctftime.org/（国外）去搜索比赛，在上面会有比赛的评分和时间。

Q3：国内CTF比赛的发展趋势？

迟忠旸：从比赛技术角度，一般情况下国内的竞赛以Web、杂项为主，密码学、逆向、Pwn为辅；近些年国内的比赛的题目也更注重底层技术的内容，例如一些Web的题目会涉及NGINX的底层代码，更加注重逆向和Pwn的题目。

在比赛的可视化上，CTF解题的过程就像游戏，但是CTF比赛的痛点在于无法像电竞游戏一样去可视化展示，这个问题会对CTF的普及和推广有很大的影响，不懂安全的人无法直接感受到CTF比赛的魅力。2020年DEFCON的主办方o-o-overflow的所出的KOH赛制的题目给CTF比赛的可视化提供了思路和方向。在网络安全大赛未来不断发展的过程中，CTF竞赛的可观赏性会越来越好。

Q4：众所周知，具备CTF竞赛能力可以应用在Web安全、逆向、漏洞利用等场景下，而攻防应用在真实攻防演练场景中，同样也需要Web安全、逆向等知识储备，那么攻防和CTF有什么区别呢？

欧阳思裕：CTF的题目是单独的场景，大部分都是实战场景下提炼出来的一套场景，含有大量的理论知识和操作；而真实的攻防场景，面对的是一个组织，一个目标，同样会使用到对应的知识和技能，但需要一个点接一个点的连接起来，比如打点要用到的Web安全知识、内网要用到的内网渗透知识和木马免杀知识等。

Q5：关于CTFer的职业发展有什么好的建议呢？

欧阳思裕：根据自己的兴趣和特长，往相应的学习路径发展即可。二进制选手可以从事免杀、病毒研究等工作，Web选手可以从事渗透、攻防、安全研究等工作。移动安全选手可以从事移动安全相关工作。甚至是合约安全、AI安全的路线，都是可以发展的。但不管是什么方向，编程是基础。

Q6：如今攻防日渐常态化，需求增多，CTFer如何转向攻防方向？

欧阳思裕：攻防需要扎实的基础知识和灵活的渗透思维。首先，要着重关注CTF中的Web安全、二进制、移动安全等内容，打好Web安全的基础。然后可以自己搭建靶场环境进行测试，比如建立一个域环境，从外到内搭建各种漏洞环境再进行利用学习，搭建靶场可以学会漏洞的利用，也可以更加熟悉漏洞产生的原理，同样锻炼自己的渗透思路。