在網絡安全圈子里，白帽子群體一直蒙著一層神秘的面紗。

他們既能夠通過高超的技術能力，挖掘出互聯網的安全漏洞，又能憑借“白帽子”的道德操守，與真正的黑客“黑帽子”時常上演針尖對麥芒的網絡對決。

作為一股不可忽視的，維護世界網絡、計算機安全的主要力量，白帽子不僅有固定的小圈子，也有他們喜歡的公開比試的賽事，這就是CTF。

12月7日，由長亭科技舉辦的2019 Real World CTF國際網絡安全大賽在北京正式拉開帷幕。本次大賽以“Hack the real”為主題，為期兩天的盛會囊括“國際網絡安全大賽”“阿里云安全挑戰賽”“安全訓練營”“技術論壇”“Hack Valley”五大板塊。

阿里云的加入，似乎讓這場白帽子最看重的CTF比賽，多了一些不同的味道。

用實戰，重新定義CTF賽事標準

CTF（Capture The Flag），又叫信息安全領域的奪旗賽。它從1996年的美國拉斯維加斯發源而來，主要分為解題和攻防兩種形式，綜合考驗白帽子戰隊的技術、策略和能力。

由于CTF非常接近現實中的網絡安全攻防，被國際安全圈普遍認可是可以培養安全人才的重要手段，也頗為受到熱愛網絡安全技術的年輕人喜歡。這些年來，CTF賽場上從不缺少熱血、堅持和突破自我的故事，也誕生一批又一批網絡安全的白帽子精英。

自身也是白帽子出身的，阿里云云平臺安全總監，云產品安全負責人牛紀雷，花名東廠，對CTF賽事也并不陌生，“2014年加入阿里之后，首先接觸的就是人才培養和團隊建設。當時為了應屆生的招聘，北京、成都、武漢、西安等這些城市都跑遍了，但是效率還是比較低，通常面試100個人僅有1-2個是適合的，然后再到實習階段，最后一半都留不到。”

其實，這種產學脫鉤的情況在行業內早已凸顯了，學校的課程和專業，與用人企業的需求脫節。所以，在2015到2016年的時候，阿里云也跟隨著CTF賽事來招聘人才，亞洲服務器，國內服務器，招人的效率確實高了很多，但后來發現也有一定的缺陷。

因為，真正的“real”其實并不來自于比賽本身，而是在真實的業務場景中。如東廠所說，“CTF通常是是純比賽型的，這些題目本身是有答案的，而阿里云的賽事加入之后，我們提供的都是真實的環境，場景更真實，反饋的能力也更接近實戰。”

為了此次比賽，阿里云首次開放真實的線上運行環境，并挑選 ECS（云服務器）、RDS for MySQL（數據庫）、MaxCompute（大數據計算服務）三款云上核心產品接受選手挑戰。“我們是習慣了以內部的視角看問題，而CTF這些參賽隊則是外部的視角看問題。盡管阿里云內部，也有專門挖洞的藍軍，還會請業界頂級的團隊來做攻擊。但我們還是希望CTF的精英能夠幫助我們反饋真實的問題。”

據了解，作為全球首個、也是唯一將公共云真實售賣級產品進行賽題設計的賽事，本次挑戰賽不僅面向廣大白帽子開放阿里云相關產品，并讓這些頂級選手通過實戰驗證阿里云產品的安全性和穩定性。大賽還特別設置了高達500萬的總獎金池和最高60萬元的單項獎金，打破了過往獎金記錄。

雙11試煉，與阿里云技術相互印證

今年雙11，天貓以2684億的成交額創造了一個新的記錄。伴隨著新的交易記錄，阿里云所面對的各項峰值記錄也一個個被打破，每秒交易創建峰值54.4萬筆，實時計算消息處理峰值25.51億條/秒，消息系統峰值處理量15750萬條/秒，批處理計算數據量雙11當天達到982PB等等。

如果說，每年的雙11都是阿里云技術的試煉場，安全自然也不例外。雙11經歷的24小時，底是怎樣的一個24小時？

阿里云安全官方公布的數據顯示：雙11期間，云平臺自動識別并攔截來自184個國家的60億次攻擊；為天貓、淘寶等多個平臺應用攔截來自17種不同方式的473萬次攻擊、2.9萬個惡意攻擊IP，成功防御1917次DDoS攻擊，云原生DDoS防護包商業化解決方案完美支持IPv4、IPv6雙棧流量；為國內外100+雙11活動提供全面防護，分析處理2000萬次業務請求，并為云上客戶提供2億次風險識別服務，保障客戶安全。

東廠表示，“雙11第一大挑戰是峰值壓力，既要滿足業務的需求，也要保證安全不能出問題。在平時，安全的策略在常規情況下沒問題，但是雙11的巨大流量會對云安全能力產生極大考驗，支撐好業務的同時還要保障安全。”