“小時(shí)候我總是糾結(jié)要上清華還是北大，后來發(fā)現(xiàn)原來是我想多了。。。。”

長大后的我又發(fā)現(xiàn)，比這個(gè)段子更可怕的是——如何加入中國頂級黑客戰(zhàn)隊(duì)藍(lán)蓮花。

摸著良心說，這支黑客戰(zhàn)隊(duì)絕對不止“中國頂級”，用“世界知名”形容也不為過。

它的名字絕大多數(shù)安全從業(yè)者都聽過，百度百科上對它的收錄是“藍(lán)蓮花（Blue-Lotus）戰(zhàn)隊(duì)是一支源自清華大學(xué)的網(wǎng)絡(luò)安全技術(shù)競賽和研究團(tuán)隊(duì)，是中國參與 CTF（Capture The Flag）網(wǎng)絡(luò)安全技術(shù)競賽成績最為突出的一支國際知名戰(zhàn)隊(duì)。2013 年成為華人世界歷史上首支成功闖入 DEFCON 黑客大會 CTF 全球總決賽的隊(duì)伍。。。”

因?yàn)檫@支戰(zhàn)隊(duì)太過厲害，百度想了想，又不能把戰(zhàn)隊(duì)買走，所以這幾年以贊助冠名的方式在其前面冠上了“百度－藍(lán)蓮花”的名號。

藍(lán)蓮花不只被一家互聯(lián)網(wǎng)巨頭盯上。藍(lán)蓮花戰(zhàn)隊(duì)最早由清華大學(xué)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室老師和學(xué)生組成，從這支戰(zhàn)隊(duì)“畢業(yè)”的隊(duì)員幾乎被安全圈哄搶，有的以“阿里星”的身份被阿里招入麾下，有的進(jìn)入騰訊安全聯(lián)合實(shí)驗(yàn)室，或者干脆組隊(duì)創(chuàng)業(yè)，幾年內(nèi)搞出了頗有名氣的安全創(chuàng)業(yè)公司。

不過，人要是沒有夢想，和咸魚有什么區(qū)別。

最近，雷鋒網(wǎng)宅客頻道編輯遇到了藍(lán)蓮花戰(zhàn)隊(duì)的創(chuàng)建者之一、清華大學(xué)副研究員諸葛建偉，向他咨詢了這個(gè)問題——如何才能加入藍(lán)蓮花這種中國頂級黑客戰(zhàn)隊(duì)？

難于上清華

2012 年之后，藍(lán)蓮花戰(zhàn)隊(duì)吸收過浙大、上交、復(fù)旦、成信等國內(nèi)其他高校學(xué)生，及阿里巴巴、綠盟等公司成員加入。

也就是說，只要技術(shù)足夠牛，加入藍(lán)蓮花不是夢。

比如，兩年前在知乎上也有這么一個(gè)提問：怎么才能進(jìn)入清華藍(lán)蓮花戰(zhàn)隊(duì)？感覺只要在知乎上聯(lián)系隊(duì)員朱文雷、楊坤等人，并用技術(shù)征服他們就好（就這么說一下，要征服他們估計(jì)不容易）。

但形勢不一樣了，想通過上知乎聯(lián)系戰(zhàn)隊(duì)大牛加入藍(lán)蓮花應(yīng)該是不可能了（僅為編輯猜測，歡迎已經(jīng)畢業(yè)的朱文雷來打臉）。

現(xiàn)在由于 CTF 比賽很多，各大高校都組建了自己的 CTF 戰(zhàn)隊(duì)，藍(lán)蓮花戰(zhàn)隊(duì)也日漸趨向于由清華大學(xué)本校成員構(gòu)成，而且諸葛建偉告訴編輯，一般是由“清華大學(xué)研究生”組成，正式隊(duì)員不到 20 人，因?yàn)椤扒迦A大學(xué)網(wǎng)絡(luò)安全學(xué)科申請了碩、博士點(diǎn)，本科專業(yè)屬于清華大學(xué)整個(gè)信息類學(xué)科中，沒有設(shè)立單獨(dú)的網(wǎng)絡(luò)安全本科專業(yè)”。

所以，要想加入藍(lán)蓮花，第一步是先考上清華的研究生？？？

不不不，在清華大學(xué)，有一個(gè)學(xué)生自發(fā)創(chuàng)辦和管理的學(xué)生社團(tuán)，在“百團(tuán)大戰(zhàn)”等活動中，會吸納學(xué)生入會，通過清華大學(xué)舉辦的校園賽，除了加入這個(gè)協(xié)會，還可能入選清華大學(xué)的“紫荊花”戰(zhàn)隊(duì)，這支隊(duì)伍主要參加國內(nèi)信息安全類競賽，在紫荊花戰(zhàn)隊(duì)中表現(xiàn)優(yōu)異的學(xué)生可加入藍(lán)蓮花戰(zhàn)隊(duì)，主打國際賽和國際外卡賽。

小小科普一下，所謂外卡賽，是指 DEFCON 黑客大會每年會給其認(rèn)定的國際強(qiáng)隊(duì)派發(fā)進(jìn)入 DEFCON 黑客大會 CTF 總決賽的資格，這些強(qiáng)隊(duì)會舉辦比賽來遴選參賽隊(duì)伍，尤其因?yàn)榻陙?DEFCON CTF 不限制參賽隊(duì)伍的人數(shù)，很多參加外卡賽獲勝的隊(duì)伍可能以聯(lián)隊(duì)名義參加總決賽。

不過，就算是紫荊花戰(zhàn)隊(duì)的優(yōu)秀隊(duì)員，基本上每年也只有兩個(gè)人可進(jìn)入藍(lán)蓮花戰(zhàn)隊(duì)。

加大基數(shù)

［諸葛建偉］

諸葛建偉的目標(biāo)，不是把每個(gè)人送進(jìn)藍(lán)蓮花。

2013 年，藍(lán)蓮花的創(chuàng)建者諸葛建偉與段海新等人創(chuàng)立了賽寧網(wǎng)安公司，賽寧網(wǎng)安的主要業(yè)務(wù)之一是承辦各類 CTF 賽事。

他有一個(gè)“播撒火種”的心愿。

“把自己限制在清華，我只能培養(yǎng)這部分最頂尖的人才，但是如果能把培養(yǎng)的經(jīng)驗(yàn)結(jié)合社會資源規(guī)?；赝茝V，那么，我不僅可以服務(wù)于清華頂級的網(wǎng)絡(luò)安全戰(zhàn)略人才培養(yǎng)，還能面向整個(gè)教育行業(yè)，甚至向國家相關(guān)機(jī)構(gòu)、企事業(yè)單位的網(wǎng)絡(luò)安全建設(shè)輸送人才?！敝T葛建偉說。

如果把網(wǎng)絡(luò)安全人才結(jié)構(gòu)比喻成一座金字塔，在塔尖的高水平人才是各方爭搶的關(guān)注點(diǎn)，但承載整座金字塔，能夠提升整體安全水平還靠基數(shù)大的“底座”。

甚至，像現(xiàn)在大家聚焦的智能化攻防人才，諸葛建偉認(rèn)為，只有百分之一、千分之一的人有這種意識或者能力來指導(dǎo)、研究智能化攻防程序，包括諸葛建偉在清華的實(shí)驗(yàn)室在內(nèi)，每年對外能輸出的這種高技能攻防人才數(shù)量是極其有限的。

說白了，不是每個(gè)人都能成為楊坤、朱文雷。。。以及照片里的這些人。

［藍(lán)蓮花戰(zhàn)隊(duì)的最新一張照片，覺得有必要再放一次，畢竟畫圈圈的小哥還被稱為清華“霍建華”］

將網(wǎng)絡(luò)安全學(xué)科打造成一個(gè)成熟學(xué)科，構(gòu)建創(chuàng)新能力實(shí)踐賽，吸引更多安全愛好者參與，培養(yǎng)其能力是這個(gè)“教育者”出于本能的選擇。

“在美國，已經(jīng)有初中生參加 CTF 比賽，中國也組織了面向全國中學(xué)生的網(wǎng)絡(luò)安全的競賽，是以 CTF 解題的模式進(jìn)行的，而且已經(jīng)與大學(xué)的自主招生緊密聯(lián)系?！敝T葛建偉希望，網(wǎng)絡(luò)安全學(xué)科可以下沉到更低年齡段，比如，今年他五歲的孩子已經(jīng)接觸了硬件編程相關(guān)的課程。

最好的選擇嗎

對于 CTF 是否是選拔及培養(yǎng)網(wǎng)絡(luò)安全人才最好的方式，業(yè)界也有爭議。比如：

目前 CTF 太多了，普及價(jià)值大于真正的技術(shù)價(jià)值。

CTF 僅是技巧型的比賽，對網(wǎng)絡(luò)安全實(shí)戰(zhàn)意義不大。

他們?yōu)槭裁磿@么認(rèn)為呢？

雷鋒網(wǎng)曾經(jīng)科普過（TK教主說的，詳情請見《白帽黑客教主 TK 告訴你，黑客的游戲 CTF 究竟是什么 | 硬創(chuàng)公開課總結(jié)文+視頻》），CTF 的比賽形式有以下幾種：

1.出“題目”的解題模式，包含逆向、漏洞（也稱攻防）、算法、審計(jì)、綜合……，難度不一，分值不一，越難的題目分值越多。

2.攻防模式。

第一種，每一支隊(duì)伍一同攻擊同一個(gè)目標(biāo)，考驗(yàn)攻擊能力；

第二種，所有參賽隊(duì)伍進(jìn)行防守，遭受攻擊，考驗(yàn)防守能力；

第三種，結(jié)合前兩種，綜合考驗(yàn)攻防能力。這種模式對技術(shù)、戰(zhàn)術(shù)、策略要求更高。一般是回合制，一個(gè)回合五分鐘?？梢园凑兆约旱牟呗赃x擇優(yōu)先攻擊或防守，打誰不打誰，隊(duì)伍自己決定，一個(gè)回合暫停一次。

第四種，大家同時(shí)攻擊一個(gè)服務(wù)器，比誰占領(lǐng)服務(wù)器的時(shí)間長，保持自己的控制權(quán)，不被別人干掉。

看上去，尤其如果比賽用的是出題模式，就可能有各種各樣的題庫，既然有題庫，題型也是固定的，大家只要把題目做熟了就好，不能考量真正的攻防能力。

諸葛建偉不這么認(rèn)為，一味否定 CTF 這類比賽的價(jià)值是不可取的，一場 CTF 價(jià)值有多大，要看比賽設(shè)置方想要考察選手能力的維度。

說白了，種什么樣的種子，結(jié)什么樣的果子。

相較于傳統(tǒng)的CTF比賽，他更推崇創(chuàng)新型的 CTF 賽程設(shè)置。

傳統(tǒng)的攻防賽可能更注重選手攻擊的能力，但攻防賽應(yīng)該“攻防兼?zhèn)洹薄?/p>

以最近舉辦的第十一屆全國大學(xué)生信息安全競賽為例，這場比賽以各個(gè)選手隊(duì)伍命題的模式代替了組織方命題的模式，當(dāng)然，這種模式借鑒了之前韓國 POC 大會以及世界黑客大師賽 WCTF 的命題方式，但不同的是，第一，結(jié)合業(yè)內(nèi)實(shí)際業(yè)務(wù)安全需求構(gòu)建靶標(biāo)環(huán)境，培養(yǎng)參賽選手的創(chuàng)新開發(fā)能力。在半決賽的前兩周內(nèi)，除了安全開發(fā)外，選手還需要在設(shè)計(jì)的應(yīng)用中植入企業(yè)精心設(shè)計(jì)的安全挑戰(zhàn)，這種挑戰(zhàn)可能是一個(gè)預(yù)設(shè)的安全漏洞。

這不是最難的點(diǎn)，最難的點(diǎn)在于精心植入了這個(gè)漏洞，還要保證業(yè)務(wù)邏輯的正常運(yùn)行，能夠?qū)ν庹Ｌ峁┓?wù)。

“大家普遍認(rèn)為，信息安全人才要有逆向思維，我給你一個(gè)程序，你要能逆向分析，找到漏洞，但這樣可能會忽視開發(fā)能力的培養(yǎng)，其實(shí)信息安全人才需要知道什么樣的開發(fā)過程是安全的，編碼時(shí)使用什么樣的函數(shù)、開發(fā)的規(guī)范等，才能確保不會有一些非預(yù)期的安全漏洞?！敝T葛建偉說。

理解了安全開發(fā)的過程，安全人員和開發(fā)團(tuán)隊(duì)才有共同語言和良好的合作基礎(chǔ)。

第二，為了解開別人的“謎底”，選手可能需要糅合密碼學(xué)等 CTF 中要考察的技術(shù)點(diǎn)，并將這些技術(shù)應(yīng)用到業(yè)務(wù)需求中，需要有安全檢測能力和漏洞利用能力。

第三，選手需要有安全修復(fù)和加固的能力。

當(dāng)然，上述比賽只是 CTF 的創(chuàng)新模式之一。諸葛建偉介紹，現(xiàn)在業(yè)內(nèi)在推動各種真實(shí)場景的CTF，比如工業(yè)互聯(lián)網(wǎng)安全、防御體系共測等，甚至植入真實(shí)業(yè)務(wù)場景里的軟件讓大家“找茬”。

我們也預(yù)設(shè)了一個(gè)前提，對于網(wǎng)絡(luò)安全人才培養(yǎng)，尤其是高校學(xué)生，以 CTF 類競賽的方式來激發(fā)人對技術(shù)的學(xué)習(xí)熱情可能是目前應(yīng)用得最廣泛的理論結(jié)合實(shí)踐的選擇。

CTF 的參加者可能從菜鳥級初學(xué)者延伸到職業(yè)安全研究員，假如 CTF 是丈量能力的尺子，你是什么樣的寬度，就會選擇什么樣的尺子。

編輯手記

藍(lán)蓮花的創(chuàng)建者曾提到了歌手許巍的《藍(lán)蓮花》中的一句歌詞：“沒有什么能夠阻擋，你對自由的向往”，以此來闡述“突破技術(shù)邊界的極客精神”，諸葛建偉等人不斷嘗試革新 CTF 的創(chuàng)新模式，從學(xué)界到業(yè)界，希冀將藍(lán)蓮花的火種播撒到更廣闊的基數(shù)上也是遵循了創(chuàng)建藍(lán)蓮花的初衷。

回到最開頭的那個(gè)問題，“如何加入中國頂級黑客戰(zhàn)隊(duì)藍(lán)蓮花”，當(dāng)你發(fā)問并認(rèn)真思考這個(gè)問題時(shí)，也許正是探索自由邊界的開始。恭喜你，你雖尚不在藍(lán)蓮花，但已接收到了它的火種。

本文作者：雷鋒網(wǎng)網(wǎng)絡(luò)安全專欄作者，李勤

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。