史上最强安全大赛:2022潮汐安全应用开发大赛
7月2日,经过一周的大众投票,2022首届潮汐安全应用开发大赛决出了总冠军以及前三甲,比赛圆满落下帷幕。
首届潮汐安全应用开发大赛由安定坊CyberSec以及螣龙安科主办,比赛历时两个月,共吸引了50组个人/团队报名,最终8组单位进入了于2022年6月25日举办的决赛以及DEMO DAY。
- 其中七组个人/团队来自中国:LoRexxar’(作品:静态白盒扫描工具),蛋黄(快速端口扫描工具),w8ayyy(WEB漏洞扫描器编排),FISHER(漏洞预警处置编排),影舞者(内网综合扫描工具),ph4ntom(多级代理工具),星盟安全团队(栈溢出漏洞自动化测试工具)。
- 此外,还有一组团队来自美国:Network Busters(自动化密码破解编排)。
图:决赛作品展示
参与决赛的项目专业水平都非常高,决赛选手基本汇聚了中国网络安全开源的顶流大佬。
他们之中有不少来自国内一线企业(360,奇安信,知道创宇,腾讯,拼多多等),美国的参赛团队Network Busters则是来自于佐治亚理工学院(美国著名的理工学院之一,世界排名38)和伊利诺伊理工学院(美国独立科技大学联盟成员之一,IT信息技术全美前30)的网络安全博士团队。
参赛项目在Github累计超过2万个Star(w13scan,fscan,stowaway...),专业方向涉及自动化渗透(BAS)、交互式应用程序安全测试(IAST)、攻击面管理(ASM)、模糊测试(fuzzing)等多个方向。
在DEMO DAY展示过程中,比赛特邀专家评委薛质教授(上海交通大学网络空间安全学院副院长)、王轶骏(上海交通大学网络空间安全学院教师,网络攻防领域从业20年)、陈力波(上海交通大学网络空间安全学院教师,CTF战队“蓝莲花”初创成员)、以及螣龙安科创始人兼CEO王昊天针对各个项目也发表了自己的看法,和选手们进行了答疑互动。
图:DEMO DAY王轶骏老师针对fscan项目进行点评
有近1000名安全从业者围观了决赛日DEMO DAY并于其后一周内参与了投票,最终影舞者(fscan内网综合扫描工具)以203票获得了比赛第一名,星盟安全团队和LoRexxar分别获得第二名和第三名,比赛前三名共同赢得3万元现金大奖。
图:投票页面
这次比赛的主办方安定坊CyberSec、螣龙安科以及潮汐安全平台旨在通过本次比赛,进一步推动国内外主动安全的技术变革:
- 从网络安全走进人们的视野,网络安全领域长期以“被动安全”为核心价值观,然而随着“木桶”的板块数逐渐增多,基于“木桶原理”的被动型安全防御建设已经不足以完善地保护企业/个人的安全。
- 近年来,紧张的国际形势及自动化黑客攻击的兴起,都倒逼安全人员去主动地进行安全“检测筛查”,常态化的护网行动、日益细颗粒度的国家网安政策也使得“主动安全”进一步成为了不可逆转的行业大趋势。
潮汐主动安全平台(lev.zone)作为一个自动化的任务调度和编排平台,实现了通用安全能力的模块化、标准化和自动化。凭借潮汐,用户无需配置安装复杂的环境、无需学习工具/应用的使用方式、无需进行手动的工具调用,就可以在任意系统环境执行探测式的、检测式的、分析式的工具,甚至可以直接使用自动化任务实现主动安全工作,将10h的工作缩短到30mins。潮汐的终极目标是实现工具在跨网络、跨系统、跨平台的环境中运行,实现非侵入式的自动化编排调用,实现【分布式计算环境原生操作系统】,成长为新一代主动安全基础设施。
图:潮汐市场页面
