在網(wǎng)絡安全圈子里，白帽子群體一直蒙著一層神秘的面紗。

他們既能夠通過高超的技術能力，挖掘出互聯(lián)網(wǎng)的安全漏洞，又能憑借“白帽子”的道德操守，與真正的黑客“黑帽子”時常上演針尖對麥芒的網(wǎng)絡對決。

作為一股不可忽視的，維護世界網(wǎng)絡、計算機安全的主要力量，白帽子不僅有固定的小圈子，也有他們喜歡的公開比試的賽事，這就是CTF。

12月7日，由長亭科技舉辦的2019 Real World CTF國際網(wǎng)絡安全大賽在北京正式拉開帷幕。本次大賽以“Hack the real”為主題，為期兩天的盛會囊括“國際網(wǎng)絡安全大賽”“阿里云安全挑戰(zhàn)賽”“安全訓練營”“技術論壇”“Hack Valley”五大板塊。

阿里云的加入，似乎讓這場白帽子最看重的CTF比賽，多了一些不同的味道。

用實戰(zhàn)，重新定義CTF賽事標準

CTF（Capture The Flag），又叫信息安全領域的奪旗賽。它從1996年的美國拉斯維加斯發(fā)源而來，主要分為解題和攻防兩種形式，綜合考驗白帽子戰(zhàn)隊的技術、策略和能力。

由于CTF非常接近現(xiàn)實中的網(wǎng)絡安全攻防，被國際安全圈普遍認可是可以培養(yǎng)安全人才的重要手段，也頗為受到熱愛網(wǎng)絡安全技術的年輕人喜歡。這些年來，CTF賽場上從不缺少熱血、堅持和突破自我的故事，也誕生一批又一批網(wǎng)絡安全的白帽子精英。

自身也是白帽子出身的，阿里云云平臺安全總監(jiān)，云產(chǎn)品安全負責人牛紀雷，花名東廠，對CTF賽事也并不陌生，“2014年加入阿里之后，首先接觸的就是人才培養(yǎng)和團隊建設。當時為了應屆生的招聘，北京、成都、武漢、西安等這些城市都跑遍了，但是效率還是比較低，通常面試100個人僅有1-2個是適合的，然后再到實習階段，最后一半都留不到。”

其實，這種產(chǎn)學脫鉤的情況在行業(yè)內(nèi)早已凸顯了，學校的課程和專業(yè)，與用人企業(yè)的需求脫節(jié)。所以，在2015到2016年的時候，阿里云也跟隨著CTF賽事來招聘人才，亞洲服務器，國內(nèi)服務器，招人的效率確實高了很多，但后來發(fā)現(xiàn)也有一定的缺陷。

因為，真正的“real”其實并不來自于比賽本身，而是在真實的業(yè)務場景中。如東廠所說，“CTF通常是是純比賽型的，這些題目本身是有答案的，而阿里云的賽事加入之后，我們提供的都是真實的環(huán)境，場景更真實，反饋的能力也更接近實戰(zhàn)。”

為了此次比賽，阿里云首次開放真實的線上運行環(huán)境，并挑選 ECS（云服務器）、RDS for MySQL（數(shù)據(jù)庫）、MaxCompute（大數(shù)據(jù)計算服務）三款云上核心產(chǎn)品接受選手挑戰(zhàn)。“我們是習慣了以內(nèi)部的視角看問題，而CTF這些參賽隊則是外部的視角看問題。盡管阿里云內(nèi)部，也有專門挖洞的藍軍，還會請業(yè)界頂級的團隊來做攻擊。但我們還是希望CTF的精英能夠幫助我們反饋真實的問題。”

據(jù)了解，作為全球首個、也是唯一將公共云真實售賣級產(chǎn)品進行賽題設計的賽事，本次挑戰(zhàn)賽不僅面向廣大白帽子開放阿里云相關產(chǎn)品，并讓這些頂級選手通過實戰(zhàn)驗證阿里云產(chǎn)品的安全性和穩(wěn)定性。大賽還特別設置了高達500萬的總獎金池和最高60萬元的單項獎金，打破了過往獎金記錄。

雙11試煉，與阿里云技術相互印證

今年雙11，天貓以2684億的成交額創(chuàng)造了一個新的記錄。伴隨著新的交易記錄，阿里云所面對的各項峰值記錄也一個個被打破，每秒交易創(chuàng)建峰值54.4萬筆，實時計算消息處理峰值25.51億條/秒，消息系統(tǒng)峰值處理量15750萬條/秒，批處理計算數(shù)據(jù)量雙11當天達到982PB等等。

如果說，每年的雙11都是阿里云技術的試煉場，安全自然也不例外。雙11經(jīng)歷的24小時，底是怎樣的一個24小時？

阿里云安全官方公布的數(shù)據(jù)顯示：雙11期間，云平臺自動識別并攔截來自184個國家的60億次攻擊；為天貓、淘寶等多個平臺應用攔截來自17種不同方式的473萬次攻擊、2.9萬個惡意攻擊IP，成功防御1917次DDoS攻擊，云原生DDoS防護包商業(yè)化解決方案完美支持IPv4、IPv6雙棧流量；為國內(nèi)外100+雙11活動提供全面防護，分析處理2000萬次業(yè)務請求，并為云上客戶提供2億次風險識別服務，保障客戶安全。

東廠表示，“雙11第一大挑戰(zhàn)是峰值壓力，既要滿足業(yè)務的需求，也要保證安全不能出問題。在平時，安全的策略在常規(guī)情況下沒問題，但是雙11的巨大流量會對云安全能力產(chǎn)生極大考驗，支撐好業(yè)務的同時還要保障安全。”