資安公司趨勢科技過去幾年來,向來是臺灣CTF比賽團隊HITCON的獨家贊助者,但在2015年10月時,卻從贊助者搖身一變成為主辦者,主辦了在11月於日本東京舉辦的「趨勢科技亞太區暨日本CTF資安搶旗攻防賽(CTF)決賽」。
會有這樣的角色轉變,趨勢科技執行長陳怡樺表示,除了希望透過CTF培養更多優秀的資安人才外,更重要的關鍵在於,透過主辦CTF比賽,負責出題的團隊就可以把該公司到客戶端解決問題的第一線經驗,轉化成不同的CTF題目,作為訓練資安人才的舞臺。
CTF比賽就像現代資安威脅的縮影
一手推動並主導趨勢CTF競賽成形的陳怡樺表示,在說服趨勢科技內部同意舉辦CTF競賽時,因為資源有限,要將原本範圍比較廣的軟體程式競賽,改成範圍比較侷限的資安CTF搶旗攻防賽,首先,就得面對來自內部排山倒海而來的質疑聲浪;再者,也有些人擔心,這樣的CTF競賽,會不會反而吸引一些黑帽或灰帽駭客進來,對公司內部企業文化造成衝擊。
陳怡樺在內部說服的過程中,就一直反問自己和所有趨勢科技的同事,舉辦CTF可以為趨勢科技帶來什麼不一樣的價值?趨勢科技原本就是一間歷史悠久的資安公司,雖然以前專門抓病毒,但是在最近十年以來,整體的資安市場已經有了很大的轉變,早期的防毒軟體能夠提供的抓病毒、防毒功能,早已經不符合現在企業所面臨的威脅趨勢。
而陳怡樺觀察到,這種所謂的搶旗攻防賽CTF,其實就是一種漏洞修補的比賽,這種攻防方式,和現在許多企業所面臨的資安威脅是類似的。
她認為,透過CTF比賽的形式,則可以讓更多的年輕人覺得「資訊安全」是一門有趣的學問,可以從比賽中體會並學習到資安攻防的要義。
她也說,既然是攻防的競賽,參賽者就得學會如何找到其他隊伍伺服器的漏洞,並駭進其他隊伍的伺服器得分,同時也必須懂得保護自己隊伍的伺服器,以免被其他隊伍撰寫的攻擊程式打爆。「因為,要做好資安就得要先懂得駭客怎麼攻擊,但是,只有更厲害的駭客,才懂得如何防禦。」陳怡樺認為,舉辦CTF競賽就是一種好的培育資安人才、訓練攻防能力的方式。
她認為,藉由舉辦比賽讓更多人願意投入資安產業,即使現在還不是那麼多人投入,但總是一個好的開始。再者,當很多年輕人不知道未來該何去何從時,在全球都缺乏資安人才、企業都希望有自己的資安團隊時,資安就是未來人才投入的好出路。陳怡樺也希望,藉由舉辦CTF比賽的方式開始培養更多的資安人才,也會開始贊助更多大學校園中的資安社團成立,藉此形成一種正向的人才需求與發展。
不過,陳怡樺也說,CTF比賽其實是現在很多競賽中,獎金相對少但門檻卻相對高,要鼓勵這些資安人才參與比賽,獎金往往不是第一優先的吸引力,更重要的是,透過解答各種CTF題目的過程中,讓這些資安人才可以學習到不一樣的資安思維技巧和解題方式,就像是線上遊戲打怪一樣,一關關的過關斬將,最終就能夠展現自己的實力。
過去20多年來,趨勢科技在全球各地,在第一線協助他們的客戶解決許多資安問題,在研究的過程中,也發掘了許多不同的資安威脅。陳怡樺希望,透過舉辦趨勢科技的CTF比賽,可以讓這些寶貴的第一手經驗,成為每個參賽者要設法解答的題目,可以藉此真實的了解到,在全球各地企業所面臨的資安威脅樣貌。
趨勢科技執行長陳怡樺表示,未來趨勢科技將長期舉辦CTF比賽,希望透過比賽,將更多在第一線協助客戶處理資安事件的經驗,也可以變成CTF題目,培養更多資安人才。
承諾將長期舉辦CTF比賽,也不排除擴大比賽規模
她也提到,趨勢科技這次自己從以往單純的贊助CTF比賽,到搖身一變,成為CTF競賽的主辦單位,過程中,其實是非常戒慎恐懼的,怕沒有人參加,也怕一口氣太多人參加。不過,從一開始各界對於趨勢舉辦的CTF比賽反應就相當熱烈,有一千多隊註冊報名,實際參與初賽的隊伍則有881隊,最後選出10名隊伍,參與在日本東京現場舉辦的趨勢科技CTF決賽。
「趨勢科技對於怎麼舉辦一場好的CTF比賽,其實並沒有經驗,甚至到活動舉辦的前一天,都還在擔心網路是否會出狀況。」陳怡樺表示,這個過程中,仰賴許多業界專業人士的幫忙,才有第一次趨勢CTF比賽的正式登場。
這次CTF比賽最後選定由日本團隊主辦,除了因為日本政府和社會對於資安都相當重視以外,因為涉及要出題,擔任主辦CTF比賽的團隊也必須要具備足夠的技術能力,才可能完成這樣「不可能的任務」。因此,在幾個具備技術研發實力的團隊爭取下,由日本團隊首挑大樑,扛起無中生有的第一次CTF比賽的規畫和執行。
回首從確定趨勢科技要舉辦第一次的CTF比賽,到初賽登場,以及最後的現場決賽的舉行,陳怡樺深深地認為,透過舉辦這個比賽的過程中,她不僅看到趨勢科技全體員工展現出的向心力和榮譽感,甚至透過像是臺灣和日本跨國合作的經驗,也帶動不同國家內部團隊的能量提升。
而她也相信,只要形塑好一個有利於資安人才投入的環境,就可以培養出好的資安人才,陳怡樺坦言,舉辦CTF比賽的成效,並不是短期一年或兩年就可以看到的,但是,她承諾,趨勢科技將長期舉辦CTF比賽,未來也不排除擴大舉辦。她認為,這不只是趨勢科技對於培養資安人才的一種長期宣示,當未來能夠培養出越多的頂尖資安人才時,包括趨勢科技在內,越能夠找到第一等的資安人才。
管好自己,變成一間資安人員願意加入的公司
要能夠培養出優秀的資安人才,政府也扮演重要的角色。陳怡樺認為,如果政府光只有砸錢,是無法培養出好的資安人才,要由上而下的政策支持,並提供好的教育環境。
當然,培育出優秀的人才後,未來也要有出路。她指出,現在有許多國家都用法律規定政府和企業對資安的作為,隨之而來,也會帶來許多資安的工作的機會,而政府透過法律強迫企業做一些資安的作為,不僅是一種對企業的自我保護,也讓包括臺灣在內,培養資安人才的環境更健全,也有更多優秀的資安人才冒出頭。
當然,陳怡樺也同意,法律規範的作為往往都只是資安的低標,但能夠穩穩地踏出第一步時,臺灣未來培育資安人才的環境才會更健全。
面對這些技術能力很強的資安人員,有不少是具備孤獨狼型性格的技術人員,趨勢科技如何招募這些專家、又該如何管理,則是陳怡樺經常被詢問的問題。不過,陳怡樺並不認為,這群資安專家們可以被管理,她反而指出,身為執行長唯一能做的就是管好自己的公司,成為這些具有孤獨狼型性格的資安技術人員們,願意加入的公司。
像是之前趨勢科技從惠普公司手中買下了IPS業者TippingPoint以及旗下的研究團隊ZDI,陳怡樺原本很擔心這群研究團隊成員不願意加入趨勢科技,但最終他們答應全數都留下來,就是因為認為趨勢科技重視資安研究、也重視資安研究員。她說:「重點在於,管好自己,成為一間讓這些資安人員加入會覺得驕傲的公司。」