台湾CTF战队TWN 48获得DEF CON CTF全球第三名

台湾CTF战队TWN 48参加在美国拉斯维加斯8月11日～8月13日举办的DEF CON CTF（抢旗攻防赛），历经三天的比赛，在全球12个战队中脱颖而出，最终获得全球第三名的好成绩，仅次于获得第一名、由美国卡内基梅隆大学PPP战队与韩国The Duck战队组成的The Parliament of Duck，以及获得第二名、如今CTFTime世界排行榜中排名首位Blue Water战队。

TWN 48是由新生代TSJ和Balsn安全战队为核心主力，团队成员来自各校学生、安全社交媒体与业界的顶尖年轻好手，总计54人，其中在职19名、在学学生则有35名。台湾战队于今年五月，历经全球1,828队报名、竞争激烈的预赛中脱颖而出，以第五名成绩进入决赛。

这也是台湾CTF战队第十次进入DEF CON CTF决赛，第三次拿到全球第三名的好成绩，过去九年台湾战队的成绩，则是拿过三次第二名、二次第四名、一次第五名和一次第九名的成绩。

TWN 48队长之一的林宇翔表示，2022年DEF CON CTF比赛算是这个团队的第一次合作，很多人也都第一次打这种形式的比赛，所以导致分工上较没效率。

但林宇翔说，因为大家有了去年的比赛磨合经验后，再加上今年首度引入PM制度，在不同题目中设置经理PM的角色，让战队锁定答题策略，同时配合各个成员的专长，也让竞赛过程人力资源运用更加有效率。不过，他指出，今年题目总共有12题，题数算是非常多，因为团队合作过程中很顺利，才能顺利拿下不错的成绩。

TWN 48队员之一的尤理衡表示，今年比赛环境跟去年相比稳定很多，题目内容也都有在平均水准上，出题的形式一样有Attack & Defense以及King Of Hill（KOH）的类型。

此次TWN 48最后总分为6756分，其中，TWN 48拿下防御项目最高分（370分）以及攻击项目第二高分（5128分）其他KOH得分为758分。

而从去年开始的Live CTF，是指定成员进行一对一捉对厮杀的现场比赛，也有像电竞比赛一样，提供专人现场实况讲解和转播。尤理衡觉得最可惜的是，一对一实况赛LiveCTF的部分，采用双淘汰制，第一轮就遇上去年冠军HypeBoy，第二场输给ShellPhish无缘晋级，导致LiveCTF得分只有500分。

由于现在的CTF比赛赛制，已经不只是传统的攻防（Attack and Defense）的题目，也有比较反映现实世界、类似抢滩游戏的King of Hill（KOH），这是一种以占领服务时间多寡来决定分数高低的比赛。

当参赛战队可以占领服务器的服务时间越久时，得分也越高，这也类似现实世界的安全威胁，假若黑客可以长时间占领企业服务器，对企业造成的威胁也就越高。

观察今年DEF CON CTF的题目就发现，主办方明显有应对实务需求进行题目设计，举例而言，以往各种binary为主题的命题方式几乎是主流，但今年主办方特别回应与会者的要求，除了有一题web题目之外，在许多题目里也同时有binary和web混合的题目。

今年也是带队指导教授之一的资通安全局副局长郑欣明表示，虽然今年的主办单位竞赛规则和环境相较于去年更为完善，不过会场也发生计分板、服务检查和网络架构偶有不稳定的状况，甚至还发生临时添加规则，例如限制攻击次数或是网络带宽的问题，但因为团队分工明确且有默契，加上领队及与会协助的同仁都有一定的经验，使得团队可以即时实例出应对和解决方案。

郑欣明也说，相较前几年只通过计划形式带领团队，每每都是在进入决赛之后还要寻找企业赞助经费，且因为准备时间短，甚至于战队选手彼此没有足够时间熟悉专长与磨合。但是，今年安全局参与后，可以更有规划地串联包括安全院以及教育部等单位的资源，共同协助台湾的安全人才组成团队，也多了让学员彼此专长熟习与磨合的机会，当然更有助于团队经验传承与参赛。

本次带队指导教授之一国立阳明交大资讯工程系教授黄俊颖表示，台湾战队TWN48能取得本次荣耀，各个选手平时不断练习以磨练实战技能功不可没，从五月入围决赛开始，就开始自主进行两周一次线上会议，开发竞赛期间可能会使用到的工具，包括攻击管理程序、封包分析工具、程序修正工具、计分统计工具等等。

黄俊颖说，台湾战队TWN 48在第一天比赛结束时，排名第五名；而第二天结束时，经历选手们熬夜的奋战，排名更爬升到第二名；第三天决赛时，能够取得第三名好成绩。

数字发展部安全局此次也携手资通安全研究院，共同协助台湾CTF战队TWN 48准备比赛，安全院人才培力中心主任郑玮表示，安全院为了强化参赛选手们的默契，特别举办赛前增能工作坊来完成实体见面交流，让较少有同队竞赛经验的战队成员培养合作默契。

所有的国际赛事若要有好的成绩表现，优秀的后勤支持是非常重要的助力，郑玮指出，此次安全院在院长何全德的大力支持下，由安全院董事尤暖霞以及人培中心主任郑玮带领三位团队成员，共同协助战队各种事前和现场事务的后勤支持，最终目的就是要让参赛成员可以安心比赛、无后顾之忧。

郑玮观察到，在赛事期间，战队成员不论遇到什么突发状况，不管是规则变动或网络问题都能冷静应对，都可以感受到选手们在比赛中彼此合作互动的气氛，是非常火爆、融洽与和谐的。

她也说，前两天的比赛皆在晚间六点结束，尽管选手们已经疲惫不堪，但他们仍打起精神进行本日检讨和人力调整，这样的精神真的很让人感动；加上今年带队的四位指导教授：安全局副局长也是台科大信息工程系教授郑欣明、阳明交大信息工程系教授黄俊颖、台大信息工程系副教授萧旭君、中正大学信息工程系助理教授王铭宏与往年一样，提供了选手们指导与情感支持，也帮助选手们可以在比赛中发挥最佳状态。

本次带队指导教授之一国立台湾大学资讯工程系副教授萧旭君表示，今年入围决赛的队伍多为各国社交媒体联组成成，实力不容小觑，台湾战队能获得此成绩，实属难能可贵。

台湾CTF战队自从2014年获得DEF CON CTF比赛第二名以来，每年都顺利入围决赛，迄今已经第十年参赛，参与比赛的成员也从早期的HITCON战队加上217战队成员，逐步交棒给新生代战队成员，包括：Balsn战队和TSJ.tw战队，战队后继有人，也展示台湾安全人才培育有成。

郑欣明指出，台湾的安全人才培育，由学生到社会人士、由政府人员到企业人员，主要目的是培育各领域及机关所需人才。他以本次参与安全竞赛的高端技术人才为例，配合台湾第六期资通安全发展方案，从2022年开始通过CCoE计划，安排经费支持有潜力的选手训练与参与DEF CON CTF，今年安全局也补助安全院，一起更有制度化来经营安全实战人才的养成。

他说，像是今年就举办了多次会议，讨论去年参赛经验、共同商议可以更进步的地方，从今年五月预赛开始准备，以及通过预赛到决赛前的期间，也举办了多次增能活动，不仅让选手可以了解彼此的专长、增加团队默契，他认为更重要的是，可以在战队中选出适合的选手当经理（PM），依照战队选手的特性来分组并由PM管理，再由队长与PM沟通，如此一来，就可以更有效率地协调比赛的人力分配。

相较于前几年比赛，郑欣明指出，今年解题过程非常顺畅，因为信任PM的管理而能分进合击，选手们也有更多的休息时间，因此，在比赛最累的第二天晚上，选手们的精神与情绪状态还都能保持得不错，比赛结束之后的气氛也非常活络，战队选手们对于成果觉得兴奋且满意。他认为，这也证明，将政府的资源与经费投入在关键之处，就可以更好地养成台湾的安全实战人才。

数字发展部也发新闻稿表示，希望通过推动参与国际安全大型竞赛，让台湾安全年轻好手吸取宝贵的学习与实战经验，并将积极投入心力为培育在学及在职安全人才，进一步提升台湾在国际上的曝光率及整体竞争力。