永信至诚高级副总裁潘柱廷(大潘)做主题分享
潘柱廷认为,“‘让错发生在靶场’是对靶场定位最精准最精髓的描述,没有之一”。安全不是构建出来的,而是靠减少错误来达成的,是通过把错误一个一个剔除一个一个解决来构筑的,而靶场是构筑安全的重要演练场,让错发生在靶场,而不让错发生在真实的环境,这也是提升整个安全体系最有效的进阶方式。
让错发生在靶场,那这“错”都有什么?可能出现在什么地方?潘总提到:首先,可能缘于“人”,人有能力的原因,有疏忽的原因;其次,可能缘于“装备”,装备里面有BUG或者是有设计错误;第三,也可能是战术方案本来就错了;再有可能是出现系统性的问题,比如兼容性;其他,如超复杂系统可能涌现出一些原来意想不到的安全问题;再比如一些极限情况,在现实世界中不见得总能遇到超高流量的攻击,在靶场里可以去构建这种少见和极限的条件场景进行演练;另外一个就是可能我们还没遇见、没想到的一些威胁,可以通过科研的随机性和创新性在靶场中去尝试和构建等等,这些“错”的情况都可以通过靶场来验证。
永信至诚通过人才培养和安全竞赛起家,坚持“人是安全的核心”的理念,围绕人做了很多积累,在人才培养方面,成立的知名网络安全在线教育平台i春秋,通过四年积累形成了数千计的视频资源和实验场景,完整的课程体系;通过竞赛这种最公平的方式完成了人才培养的闭环;通过竞赛、众测及执行实际任务等方式完成了选拔人才的工作;通过借助靶场的能力,连接互联网与白帽群体,将人才资源聚集,形成了有信众测的新业务模式;过去四年支撑了含强网杯、网鼎杯、巅峰极客等万人规模赛事在内的三百余场赛事,其中有三届RHG人工智能攻防大赛,通过构建像黑客帝国里的matrix似的场景平台,高质量达成了攻、防和场景的攻防三要素,为整个靶场未来各方面功能提供了重要技术支撑点。同时,竞赛方式也是一种很好的探讨靶场技术的手段,通过竞赛把各方的资源调动起来往前推进。
今天,永信至诚作为网络靶场的主要开发和提供者,是基于各形态技术底层的极大共性,通过频繁使用、反复迭代、突破提升,反哺新技术应用实现了今天的技术突破。“在靶场技术上,永信至诚希望跟业内各位伙伴充分合作,为大家提供支撑,与大家协同发展,共同构建一个完善的靶场生态,为关键基础设施和国家安全,为老百姓的网上安全去做服务”,最后潘总强调。