【臺灣資安大會直擊】如何培育企業實戰資安人才？全新資安防禦競賽來了

「我們需要更多的資安人才，才能幫助我們的產業作好資安」，HITCON創辦人徐千洋在今年臺灣資安大會的演說中，一開始就點出了國內企業在資安上的痛點，缺乏資安人才，也因此HITCON在過去舉辦了多次的CTF競賽，去年12月還舉辦了HITCON Defense大賽，這些競賽背後的目的，都在培育國內資安人才。

但是，傳統CTF競賽，儘管可以讓資安人才學習到很多駭客攻擊技巧，但徐千洋也坦言，這些競賽中學得的技巧能否實際在企業中用於防禦，可能每個人有不同的解答。許多的企業資安人才和IT、稽核有關，但這些人未必很懂駭客攻防技巧，即便他們學習了，在IT的資安維運實務上可能會發現派不上用場。當企業發生資安事件時，他們在CTF競賽中學習解題未必能幫上忙。

可是，面對資安攻擊的威脅，企業更迫切需要的是資源的統合利用，不只是企業自己的資源，還需要來自外部廠商的資源整合，內外部的資源整合來解決企業的安全問題。

他認為，企業資安團隊培育人才時，有兩大課題，如何讓資安人才具備資安威脅應變能力，以及能體認到情資分享的重要性。

防禦競賽來模擬企業遭遇攻擊的真實情境

因此，為了讓培育人才的資安競賽更貼近企業的真實情況，去年底舉行的HITCON Defense大賽決定將企業的IT環境搬到競賽中。

「這完全是個大工程，距離決定要辦只有兩個月」，徐千洋一語道出當初籌辦HITCON Defense的艱辛之處，不僅籌備的時間緊迫，資源也嚴重不足。

首先，過去HITCON資安競賽隊伍多達十多隊，HITCON Defense大賽最初規劃是十四隊，雖然後來降低到十隊，但舉辦時間在年底，他們很快發現全臺無法湊出十套DDoS防禦設備，而每個隊伍需要的伺服器機櫃也是如此，最終只能湊出7套設備，1套給主辦單位扮演的紅隊(攻擊者)使用，6套提供給參賽團隊(藍隊)使用。由於這些借來的設備價格高昂，他們還保了鉅額的保險。

每個隊伍會分配到雲端主機、實體主機若干臺，還有數臺桌上型電腦，模擬小型企業的內部網路環境，每個參賽隊伍會被分配到帳號密碼，讓他們登入自己的設備系統，如同企業真實的IT維運環境般，讓他們自行操作、設定這些設備，檢測系統上的漏洞並將其修補。

而主辦單位則扮演紅隊，每隔一段時間對每個隊伍發動攻擊，若因為沒修補漏洞而被入侵，積分就會被扣分，直到扣完分數為止，而只要伺服器服務未被中斷，就會不斷累積積分。真實世界的一分鐘相當於比賽中的一小時，依日間、夜間還有不同的計分方式，而評分的標準包括了網路是否正常，是否在預定時間內解決問題，排除駭客攻擊引發的危機、是否可以合作。

徐千洋表示，「我們希望競賽的目的從人才擴大到團隊，不只是一個人的力量，而是整個團隊，而是整個資源的力量。」企業面對資安攻擊，需要具備快速應變、找出問題的能力，Defense競賽中參賽隊伍扮演藍隊，實際面對紅隊的各種攻擊，如木馬、DDoS等，從中學習應變的能力。

競賽設計也引入情資分享的概念，「傳統的競賽，每個隊伍為了解決對手，解出題目不可能讓別人知道，但在Defense競賽中，我們鼓勵隊伍分享出來。」他說。只要分享解題方法給主辦方，就能獲得積分獎勵，同時有30分鐘的休息時間，不會受到主辦單位紅隊攻擊，其他隊伍若是卡關也能以積分，向主辦單位換取解題線索。

甚至，競賽現場還有藍隊廠商進駐，每個隊伍也能用積分換取所需要的軟體工具，立即用於解決問題。

另外，過去企業被DDoS攻擊，工程師可能會選擇關閉主機，但會造成服務停擺，使企業營業蒙受損失，所以在Defense的競賽中，隊伍如果遭受攻擊仍能保持服務不中斷就能累積積分，相反地，如果服務中斷，積分便不會增加。

還有一個特別之處，那就是每個競賽隊伍都可以向外求援，不論是透過電話或是網路，甚至走出去求援都可以，相比之一，傳統的資安競賽設計，隊伍必須在固定的封閉場所，斷絕對外的通訊。「這和企業遭遇資安攻擊的真實情境相同，企業以各種方式尋求外部的援助，不論是朋友、找社群高手或是廠商。」。

主辦單位也安排了另類的社交攻擊，由正妹拿著USB隨身碟，在比賽現場和參賽者交談，趁其不備之時，伺機插入隨身碟至參賽隊伍的設備上，一旦被插上主辦單位的紅隊就會偵測到，參賽隊伍就會被扣分。以此提高各個隊伍對實體設備的安全意識。

對於國內企業的資安人員缺乏學習的管道，徐千洋建議現在坊間已有不少的資安訓練課程，在學費上也有政府的補助，可供想要學習的企業資安人員利用，HITCON也同時歡迎資安人員參加競賽。