在網(wǎng)絡(luò)安全圈子里，白帽子群體一直蒙著一層神秘的面紗。

他們既能夠通過(guò)高超的技術(shù)能力，挖掘出互聯(lián)網(wǎng)的安全漏洞，又能憑借“白帽子”的道德操守，與真正的黑客“黑帽子”時(shí)常上演針尖對(duì)麥芒的網(wǎng)絡(luò)對(duì)決。

作為一股不可忽視的，維護(hù)世界網(wǎng)絡(luò)、計(jì)算機(jī)安全的主要力量，白帽子不僅有固定的小圈子，也有他們喜歡的公開(kāi)比試的賽事，這就是CTF。

12月7日，由長(zhǎng)亭科技舉辦的2019 Real World CTF國(guó)際網(wǎng)絡(luò)安全大賽在北京正式拉開(kāi)帷幕。本次大賽以“Hack the real”為主題，為期兩天的盛會(huì)囊括“國(guó)際網(wǎng)絡(luò)安全大賽”“阿里云安全挑戰(zhàn)賽”“安全訓(xùn)練營(yíng)”“技術(shù)論壇”“Hack Valley”五大板塊。

阿里云的加入，似乎讓這場(chǎng)白帽子最看重的CTF比賽，多了一些不同的味道。

用實(shí)戰(zhàn)，重新定義CTF賽事標(biāo)準(zhǔn)

CTF（Capture The Flag），又叫信息安全領(lǐng)域的奪旗賽。它從1996年的美國(guó)拉斯維加斯發(fā)源而來(lái)，主要分為解題和攻防兩種形式，綜合考驗(yàn)白帽子戰(zhàn)隊(duì)的技術(shù)、策略和能力。

由于CTF非常接近現(xiàn)實(shí)中的網(wǎng)絡(luò)安全攻防，被國(guó)際安全圈普遍認(rèn)可是可以培養(yǎng)安全人才的重要手段，也頗為受到熱愛(ài)網(wǎng)絡(luò)安全技術(shù)的年輕人喜歡。這些年來(lái)，CTF賽場(chǎng)上從不缺少熱血、堅(jiān)持和突破自我的故事，也誕生一批又一批網(wǎng)絡(luò)安全的白帽子精英。

自身也是白帽子出身的，阿里云云平臺(tái)安全總監(jiān)，云產(chǎn)品安全負(fù)責(zé)人牛紀(jì)雷，花名東廠，對(duì)CTF賽事也并不陌生，“2014年加入阿里之后，首先接觸的就是人才培養(yǎng)和團(tuán)隊(duì)建設(shè)。當(dāng)時(shí)為了應(yīng)屆生的招聘，北京、成都、武漢、西安等這些城市都跑遍了，但是效率還是比較低，通常面試100個(gè)人僅有1-2個(gè)是適合的，然后再到實(shí)習(xí)階段，最后一半都留不到。”

其實(shí)，這種產(chǎn)學(xué)脫鉤的情況在行業(yè)內(nèi)早已凸顯了，學(xué)校的課程和專業(yè)，與用人企業(yè)的需求脫節(jié)。所以，在2015到2016年的時(shí)候，阿里云也跟隨著CTF賽事來(lái)招聘人才，亞洲服務(wù)器，國(guó)內(nèi)服務(wù)器，招人的效率確實(shí)高了很多，但后來(lái)發(fā)現(xiàn)也有一定的缺陷。

因?yàn)椋嬲?ldquo;real”其實(shí)并不來(lái)自于比賽本身，而是在真實(shí)的業(yè)務(wù)場(chǎng)景中。如東廠所說(shuō)，“CTF通常是是純比賽型的，這些題目本身是有答案的，而阿里云的賽事加入之后，我們提供的都是真實(shí)的環(huán)境，場(chǎng)景更真實(shí)，反饋的能力也更接近實(shí)戰(zhàn)。”

為了此次比賽，阿里云首次開(kāi)放真實(shí)的線上運(yùn)行環(huán)境，并挑選 ECS（云服務(wù)器）、RDS for MySQL（數(shù)據(jù)庫(kù)）、MaxCompute（大數(shù)據(jù)計(jì)算服務(wù)）三款云上核心產(chǎn)品接受選手挑戰(zhàn)。“我們是習(xí)慣了以內(nèi)部的視角看問(wèn)題，而CTF這些參賽隊(duì)則是外部的視角看問(wèn)題。盡管阿里云內(nèi)部，也有專門(mén)挖洞的藍(lán)軍，還會(huì)請(qǐng)業(yè)界頂級(jí)的團(tuán)隊(duì)來(lái)做攻擊。但我們還是希望CTF的精英能夠幫助我們反饋真實(shí)的問(wèn)題。”

據(jù)了解，作為全球首個(gè)、也是唯一將公共云真實(shí)售賣(mài)級(jí)產(chǎn)品進(jìn)行賽題設(shè)計(jì)的賽事，本次挑戰(zhàn)賽不僅面向廣大白帽子開(kāi)放阿里云相關(guān)產(chǎn)品，并讓這些頂級(jí)選手通過(guò)實(shí)戰(zhàn)驗(yàn)證阿里云產(chǎn)品的安全性和穩(wěn)定性。大賽還特別設(shè)置了高達(dá)500萬(wàn)的總獎(jiǎng)金池和最高60萬(wàn)元的單項(xiàng)獎(jiǎng)金，打破了過(guò)往獎(jiǎng)金記錄。

雙11試煉，與阿里云技術(shù)相互印證

今年雙11，天貓以2684億的成交額創(chuàng)造了一個(gè)新的記錄。伴隨著新的交易記錄，阿里云所面對(duì)的各項(xiàng)峰值記錄也一個(gè)個(gè)被打破，每秒交易創(chuàng)建峰值54.4萬(wàn)筆，實(shí)時(shí)計(jì)算消息處理峰值25.51億條/秒，消息系統(tǒng)峰值處理量15750萬(wàn)條/秒，批處理計(jì)算數(shù)據(jù)量雙11當(dāng)天達(dá)到982PB等等。

如果說(shuō)，每年的雙11都是阿里云技術(shù)的試煉場(chǎng)，安全自然也不例外。雙11經(jīng)歷的24小時(shí)，底是怎樣的一個(gè)24小時(shí)？

阿里云安全官方公布的數(shù)據(jù)顯示：雙11期間，云平臺(tái)自動(dòng)識(shí)別并攔截來(lái)自184個(gè)國(guó)家的60億次攻擊；為天貓、淘寶等多個(gè)平臺(tái)應(yīng)用攔截來(lái)自17種不同方式的473萬(wàn)次攻擊、2.9萬(wàn)個(gè)惡意攻擊IP，成功防御1917次DDoS攻擊，云原生DDoS防護(hù)包商業(yè)化解決方案完美支持IPv4、IPv6雙棧流量；為國(guó)內(nèi)外100+雙11活動(dòng)提供全面防護(hù)，分析處理2000萬(wàn)次業(yè)務(wù)請(qǐng)求，并為云上客戶提供2億次風(fēng)險(xiǎn)識(shí)別服務(wù)，保障客戶安全。

東廠表示，“雙11第一大挑戰(zhàn)是峰值壓力，既要滿足業(yè)務(wù)的需求，也要保證安全不能出問(wèn)題。在平時(shí)，安全的策略在常規(guī)情況下沒(méi)問(wèn)題，但是雙11的巨大流量會(huì)對(duì)云安全能力產(chǎn)生極大考驗(yàn)，支撐好業(yè)務(wù)的同時(shí)還要保障安全。”