國際上資安發展掀起一股新式作法,利用「競賽 & 社群」整合企業、政府、駭客社群等資源,打造開放式平台
讓市民、企業針對提出問題解決提案(如:Talk Hackthon Community),或舉辦資安駭客松競賽(Hackthon)發掘突破性解決方案,從中挖掘或鼓勵創業機會。一方面促進資通訊安全人才跨界合作,加速資安人才產業化。
二方面提供集結跨國企業、各級政府的專家人際網路,讓各種群體相互交流促成新創氛圍。
為此,本計畫打造一個資安競賽交流平台,結合資安社群共同協助臺灣人才參與國際賽事與主題式攻防競賽,藉以系統化累積資安人才、提升研發新創氛圍,達到台灣
資安人才國際化、社群產業化與
競賽多元化。
● 三大競賽
(1) CTF國際資安競賽
CTF (Capture the Flag) 是一種學習資安攻擊與防禦的駭客競賽,CTF 賽制分為 Jeopardy(解謎) 、 Attack & Defense(攻防) 及King of Hill(搶灘) 三種,參賽隊伍依據競賽規則,利用各種駭客技術力,藉由解密或漏洞利用方式取得分數。
為讓更多優秀臺灣年輕人能與世界駭客高手競爭,從2015年開始經濟部工業局國內資安社群 (如:HITCON台灣駭客協會) 共同聯手舉辦國際CTF資安賽事,創下政府單位與資安社群共同聯手舉辦國際資安賽事之首例。2022 HITCON CTF 累積數據 全球9,896隊
、29,500人次
參與本競賽。HITCON CTF競賽為國際最大的駭客競賽DEFCON CTF 指定的種子賽,並為全球指標性 CTF 競賽,提供與外國隊伍較勁機會,接軌國際資安技術,同時也促使臺灣舉辦CTF賽制競賽遍地開花,培育未來資安人才。
• 2019 HITCON DEFENSE企業資安攻防大賽加入工業控制相關攻擊
• 2020 HITCON X BALSN CTF 資安交流經典賽冠軍隊伍由經濟部王美花部長頒發獎項
(2) Bug Bounty
借重國內優秀的白帽駭客與資安社群,
以駭客思維協助產業找出各種潛在的漏洞,
透過資安攻防場域進行滲透測試,檢視物聯網設備、應用系統之資訊安全等級和防護能力,不僅可以強化產品安全,同時也讓選手有實際練兵的場域,培育產品漏洞檢測人才。
經濟部工業局漏洞挖掘競賽於 2018 年首次舉辦後深獲業界好評,前二屆以挖掘WEB產品為主,2020年以實體設備為標的,2021年將以場域/系統為目標。
• 2020 IDB X HITCON 漏洞挖掘競賽」聯網設備組冠軍由國安會李漢銘諮委頒發獎項
(3) 企業Defense攻防競賽
由政府結合社群,以企業為對象的實境攻防賽。以
企業真實 IT 架構為基礎,加入企業常忽略的防守弱點及擬真的駭客攻擊手法,
讓
參賽團隊身歷其境的體驗駭客入侵,考驗其實戰經驗及熟練的防守技巧。
HITCON Defense三大特色:
- 企業攻防賽:模擬企業內部資安團隊工作環境,於競賽現場部署網路環境,並提供每隊若干台雲端主機服務及實體主機,參賽隊伍需在限時內,利用網路或資安設備分析和阻擋主辦方攻擊。
- 攻擊模擬:以企業真實 IT 架構為基礎,加入企業常忽略的防守弱點及擬真的駭客攻擊手法,讓參賽團隊身歷其境體驗駭客入侵,了解維持企業服務正常運作所帶來的實質效益。
- 情資分享:導入情資分享模式,鼓勵各隊伍共享遇到的攻擊威脅,來達到隊伍間互助、互利的目的,讓參賽隊伍了解情資分享之重要性及精神
為打造與企業相同的真實IT環境,競賽現場安裝了價值上億元的軟硬體架構,同時也將最受關注的議題(如:工控安全)帶入競賽攻擊方式與研討會及體驗課程中,
兼顧IT和OT領域,為與會者帶來更全面的資安知識。
• 2021 HITCON DEFENSE企業資安攻防大賽因應疫情帶來的遠端資安防護需求,改為線上競賽模式,並呼應政府推動5G的策略方向,架設5G專網融入比賽環境