IBM首度在臺灣舉辦CTF駭客搶旗攻防賽,全臺灣有17個隊伍參賽,其中,除了學生和HITCON戰隊都組隊參賽外,警政署更首度派出三個隊伍體驗CTF比賽。

圖片來源: 

黃彥棻攝

預計今年8月在美國舉辦的DEF CON CTF駭客搶旗攻防賽,臺灣首度有兩個隊伍參賽,因為CTF比賽的熱潮,IBM X-Force也首度在臺灣舉辦CTF比賽,並和愛爾蘭和臺灣Honeynet Project分會以及臺灣駭客協會策略合作,邀請全臺灣學生和資安專家們組隊參賽。

此次參與的17個隊伍中,除了有高中生、大學生組隊參賽,臺灣HITCON戰隊成員也組隊共襄盛舉外,更有警政署受邀,推出三隊參賽。警政署資訊室主任蘇清偉表示,警政署派員參賽除了體驗CTF的比賽氛圍之外,也是為了幫國家培育未來科技警察、因應未來犯罪偵辦所需的嘗試。

CTF比賽題目來自IBM X-Force企業弱點資料庫

協助臺灣IBM舉辦CTF比賽的專家之一,就是愛爾蘭IBM資安遊戲化與模擬技術長Jason Flood,也是愛爾蘭Honeynet Project創辦人。他表示,IBM CTF比賽曾經在美國、歐洲和拉丁美洲舉辦過,也和OWASP合作舉辦CTF競賽,比賽題目的類型來自於IBM X-Force的企業弱點資料庫,包括從網頁前端到後端的弱點,以及存在作業系統和各種軟體的漏洞。Jason Flood認為,從企業面臨的資安弱點出題,也可以觀察現場參賽的駭客高手從什麼樣的邏輯思考,如何解決企業的資安難題。

此外,他表示,物聯網安全也是現在重要的資安風險之一,現場也提供物聯網安全的Maker題,必須手動插上晶片後,才有辦法解題。此次的比賽題目內容,主要考驗參賽者的技能包括:逆向工程、漏洞分析、封包流量分析、加解密以及團隊合作的能力等。除了鼓勵使用各種開源的資安工具外,他也強調,對企業資安而言,「道德」是白帽駭客很重要的關鍵因素,在「有所為、有所不為」的前提下,一旦攻陷不能攻陷的伺服器,直接踢出比賽。

現場部署資安設備,模擬企業的資安攻防態勢

IBM全球首席資安架構師李承達指出,IBM舉辦的CTF比賽和其他業者或者社群舉辦的CTF不一樣之處在於,現場參加CTF比賽的參賽者,如同企業的滲透測試團隊甚至是紅隊測試團隊(Red Team),而IBM團隊也透過在現場同步部署IBM的企業資安產品,視覺化的呈現企業面臨的資安風險現況。他也說,這種視覺化資訊的呈現,現場可以提供給觀賽者參考,也是一種讓企業用戶看IBM如何展示其相關資安產品的實證。

李承達指出,從IBM部署的QRadar IPS的設備中,可以透過各式各樣的Log資訊,看到各個參賽團隊的各種攻擊手法,例如,各種可疑的來源IP帶來的風險有多大;緊接著,透過IBM QRadar的SIEM(資安事件日誌平臺),彙整各種資安設備的Log(登錄檔),呈現比賽現場(或是企業)面臨的攻防狀態。

最後,他也說,企業可以透過IBM Watson for Cyber Security這套資安分析工具,可以進行各種關聯式分析,自動畫出不同主機之間的關聯圖,藉由視覺化方式,企業更容易掌握資安風險所在。「透過這個Watson資安分析工具,一直看到有一臺參賽者電腦,一直連到某個惡意IP,才發現,原來這個參賽者的電腦竟然中毒了。」李承達說。

IBM CTF賽制類似King of The Hill,部分參賽隊伍認題目設計不夠嚴謹

由於這次IBM CTF設計的CTF比賽賽制類似「King of The Hill」的比賽形式,類似搶灘遊戲,以占領服務的時間多寡來決定分數高低,可以占領伺服器的服務時間越久,得分也越高。這也和現實世界的資安威脅一樣,如果駭客可以長時間占領企業的伺服器,對企業的威脅也就越高。但現場有多組參賽者表示,主辦單位出題設計不夠嚴謹,第一個取得VM控制權的隊伍,因為沒有設計其他可以翻盤的機制,其他隊伍就再也無法奪回控制權。多個參賽隊伍成員認為,現實的企業資安環境中,不論攻防雙方呈現多久的對峙狀態,都應該都還是會有其他方式再度取得企業主機的控制權,而不是只靠搶快,慢了一步之後,就永無翻身之地。

 


Advertisement

更多 iThome相關內容