中国平安首届CTF夺旗赛完美收官 长亭科技倾力支持

　　11月19日下午，平安集团第一届CTF夺旗赛线下决赛拉开帷幕，初赛(线上解题赛)胜出的12支战队，历经240分钟48轮艰苦卓绝的比拼，最终在预赛中就表现出色的“GOGOGO”战队力拔头筹，“shiba lnu”、“AI Team”战队分别获得第二、三名。至此，这场被视为中国平安集团信息安全技术员工“大比武”的赛事完美收官。

　　    

　　CTF有助于提升员工安全实战能力  平安科技将继续举办

　　平安科技CEO陈立明表示，伴随着全球经济一体化浪潮，在互联网、物联网、大数据、云计算等技术飞速发展的当下，此前只能在电影中才能看到的网络攻击开始规模化、常态化、具象化，且破坏力跟核武器一样没有上限。这就要求大到国家、组织、机构、企业，小到个人都需要提高信息安全意识和水平。事实上网络空间的对抗，本质是网络安全人才的对抗。一直以来，信息安全都是平安科技的重中之重，像CTF这种能很好的促进和提升员工安全实战水平的赛事，平安科技明年还会继续举办，并且还会将优胜选手送往全球最知名的美国DEFCON大会交流学习。

　　    

　　值得一提的是，平安集团首次举办CTF赛事就引入了业内通用的赛制——模拟现实中黑客的攻击和网络维护者的防御而展开的线上攻防对抗比赛。不怕打击员工信心和积极性，其勇敢和认真程度成色十足。通过比赛规则和内容不难发现，本届赛事着重于全球前沿攻防技术的引入，全程涉及Web安全，漏洞挖掘与利用，逆向分析，移动安全，密码学，隐写术，取证分析等，希望突破传统注重内部防御和化解风险的固有思维，使中国平安的安全技术人才能够站在不同的视角，深入了解信息网络面临的外来威胁和风险。

　　作为本次比赛技术支持单位的长亭科技，其核心团队脱胎于国内知名的清华大学蓝莲花战队，队长杨坤博士带领这支团队赢得DEFCON CTF全球第二名，是国内团队迄今参赛最佳成绩，今年3月，更是在温哥华举办的2017 Pwn2Own 黑客世界杯比赛中，且与代表中国队出战的腾讯、360共同包揽了全球前三名。据了解，中国平安的本次CTF大赛，也是由杨坤博士(现任长亭科技安全研究院负责人)亲力亲为，全程主导题目设计、赛制流程、平台搭建和评审工作。

　　12战队240分钟48轮激烈对抗  平时多流汗战时少流血  

　　据悉，决赛共四道题目：1、bookmark二进制；2、pbbs web php；3、mycms web java；4、simple-convert web – python。“寿险荣耀”战队拿了pbbs一血，打开攻击序幕；开场40分钟左右，“重在参与”战队拿下mycms一血，利用struts2漏洞，打全场，每轮增长1100分；其他队伍分析流量，发现struts2，但是不太好修补，也陆续开始利用这个点互相攻击。

　　    

　　比赛进行到快一半时，第25轮；“GOGOGO”战队拿下bookmark一血，打全场，开始飞快追分；mycms题 “shiba lnu”战队和“BANK_ISC”战队互相攻击，并且将其余队伍服务打挂，除了可以获取flag的分数还可以分到其余队伍服务down了之后的罚分；结果导致很多队伍出现了服务down掉同时又被拿flag的情况，每轮会掉200分；

　　在这种情况下，“GOGOGO”战队战略性放弃了所有web题，删掉了web服务，虽然每轮会挂掉罚分，但是不会丢flag；“GOGOGO”战队在攻击其余队伍的拿全场flag的基础上，干掉了其余队伍的服务，并且留了后门；其余队伍每轮不仅丢flag，服务也挂；这也意味着“GOGOGO”战队每轮涨2000分左右，只要保持这个势头稳拿冠军。

　　在38轮的时候“AI Team”战队找到了bookmark的防御手段，免于被“GOGOGO”战队攻击，可以和“GOGOGO”战队一起平分其余队伍的罚分，每轮增加500分左右；依靠该项得分，最后“AI Team”战队冲到了排行榜第三名；而“shiba lnu”战队则凭借mycms其他队伍服务down掉的罚分，分数持续增长，最后夺取第二名；最终，“GOGOGO”战队凭借二进制题目的优势笑到最后获得比赛冠军。

　　    

　　现场比赛气氛紧张，扣人心弦，队伍排名交替上升，以至于现场观众和后续到来的领导纷纷表示看的非常刺激。业内评论指出，这类“练兵”性质的攻防比赛，有助于提升企业平安集团信息、网络安全工作人员的整体素质，在对抗来源于网络的恶意攻击时更有把握。

　　CTF赛事有助于发现和选拔网络安全人才   平安科技示范性效应凸显

　　CTF(Capture The Flag)中文译作夺旗赛，是指在网络安全技术人员之间进行技术竞技的一种比赛形式，起源于1996年DEFCON全球黑客大会，以比赛形式代替黑客们之间的真实技术比拼。发展至今，已经成为全球范围内流行的网络安全竞赛形式。不过由于其比赛形式与内容依然拥有浓厚的黑客精神和黑客文化，故一直受网络、信息安全行业从业者追捧。近年来，CTF竞赛活动蓬勃发展，国内外各类高质量的CTF竞赛层出不穷，可见CTF已经成为了学习锻炼信息安全技术，展现安全能力和水平的绝佳平台。以至于连韩国政府也忍不住办了“Codegate CTF”，美国国防部办了“CyberStakes CTF”。

　　不过对于国内当前的环境而言，企业办CTF赛事的现实意义更大。在“没有网络安全就没有国家安全”、《中华人民共和国网络安全法》颁布实施一年有余且有多家企业因违反该法被惩处的背景下，企业通过CTF赛事这类手段培养安全人才和提高员工安全水平，是值得鼓励和学习的。

　　而平安科技作为平安集团的高科技内核，不仅负责开发并运营集团的关键平台和服务，支持集团的保险、银行、投资和互联网业务高效发展。还是平安集团的技术孵化器，在云、人工智能和大数据方面有着强劲的研究和开发能力。伴随着平安集团成长，平安科技积累了丰富的“科技+互联网+金融”经验，在技术研究和储备方面，已拥有超过18项前沿新技术、独特的全球研究和开发AI内部的能力，包括微表情、图像和语音识别及语义理解。未来，平安科技将继续以客户为先、开拓进娶创新突破为文化，并注重企业社会责任和环境保护，立志成为世界领先的金融科技公司，促成未来以“科技引领金融”的发展模式。