11月3日,2022補(bǔ)天白帽大會(huì)在上海正式召開�。大會(huì)期間,補(bǔ)天漏洞響應(yīng)平臺(tái)聯(lián)合奇安信安服團(tuán)隊(duì)��、奇安信行業(yè)安全研究中心���,發(fā)布了《中國實(shí)戰(zhàn)化白帽人才能力白皮書》)(簡稱《白皮書》)����、《中國白帽人才能力與發(fā)展?fàn)顩r調(diào)研報(bào)告》(簡稱《報(bào)告》)�����,詳細(xì)展示了過去一年中國白帽人才的發(fā)展?fàn)顩r。
【資料圖】
漏洞提交數(shù)量大幅提升
女性白帽開始崛起
《報(bào)告》顯示���,在受邀參與調(diào)研的581名活躍的白帽子中����,2022年人均向各大平臺(tái)提交各類安全漏洞69個(gè)�����,較2021年人均47個(gè)增長了46.8%�����,白帽子的漏洞挖掘能力普遍提升�。其中,約有58.3%的白帽人才�����,每年人均提交有效安全漏洞數(shù)量超過10個(gè)��,更有約6.6%的白帽人才每年人均提交有效漏洞數(shù)量超過300個(gè)����,堪稱漏洞界的“超級(jí)挖掘機(jī)”�。
與之形成鮮明對(duì)比的是�����,白帽人才的挖洞收入?yún)s不升反降����。調(diào)研數(shù)據(jù)顯示��,2002年國內(nèi)白帽子人均可通過挖洞或參與演習(xí)獲取獎(jiǎng)金收入約31573元,較2021年的57679元下降了約45.3%���。《報(bào)告》認(rèn)為����,造成平均收入下降的主要原因包括高價(jià)值漏洞越來越難挖、新手白帽子不斷涌入����、職業(yè)挖洞高手的流失以及各大SRC預(yù)算削減等多個(gè)方面。
值得注意的是��,在不斷涌入的新鮮血液中,女性白帽人才已經(jīng)成為了一股不可忽視的力量���。調(diào)研顯示����,2022年�,在所有白帽人才中,男性占比88.2%����,女性占比11.8,%,男女比例約為7.5比1�。盡管女性仍是“少數(shù)派”,但占比已較2021年的4.6%增長了7.2個(gè)百分點(diǎn)���。
興趣是最好的老師
白帽人才進(jìn)一步年輕化
從年齡段分布來看����,90后��、00后仍然是白帽人才的主力群體����,占比分別為50.3%和43.4%�。相比于2021年��,90后占比有所下降���,00后占比有所增加。實(shí)際上�����,總體來看�,80后、90后的白帽人數(shù)占比都較2021年有所下降��,而00后����、10后占比都有所增長����。
00后群體的增長使得白帽人才的年輕化程度進(jìn)一步提升?!秷?bào)告》顯示,2022年國內(nèi)活躍白帽人才的平均入行年齡約為21.6歲��,較2021年的21.9歲下降了0.3歲。其中���,絕大多數(shù)人還是在18歲~22歲間,也就是在讀大學(xué)期間入行做的白帽子��,占比約為55.9%�����;18歲以下入行的白帽子約占16.2%��;23~27歲�����,也就是大學(xué)畢業(yè)后4年內(nèi)入行的白帽子��,約占20.7%�。
從行業(yè)分布來看,學(xué)生群體是白帽人才最大的組成部分����,占比高達(dá)37.7%,其次是安全企業(yè)員工�,占比約為26.5%�。以往不太顯著的互聯(lián)網(wǎng)行業(yè)�����,一躍成為2022年白帽人才產(chǎn)出的第三大來源����,占比約為16.4%。另有3.8%的白帽子是職業(yè)挖洞人�,較2021年的5.8%下降了2個(gè)百分點(diǎn)。
在被問及入行原因時(shí)����,絕大部分受訪白帽子選擇了興趣愛好?����!秷?bào)告》顯示�����,64.9%的白帽子是因?yàn)閻酆枚x擇從事白帽工作��。
特別值得注意的是��,在2021年的調(diào)研中�,19.8%的白帽子選擇了“安全的理想”,僅7.0%的白帽子選擇了“增加個(gè)人收入”��。而在2022年的調(diào)研中�����,選擇“安全的理想”的白帽子銳減到12.4%�����,而選擇“增加個(gè)人收入”的白帽子大幅增加到12.6%��?���!霸黾觽€(gè)人收入”也一躍超過“安全的理想”,成為白帽子選擇入行的第二大原因��。
白帽人才平均水平大幅提升
高階人才依然稀缺
上文提到�����,作為白帽人才的最核心成果�,人均漏洞提交的數(shù)量有了顯著的提升。這在一定程度上意味著我國白帽人才質(zhì)量有了顯著的提升���,這一點(diǎn)在《白皮書》的觀點(diǎn)中也得到了驗(yàn)證���。
據(jù)介紹,在2021年發(fā)布的“實(shí)戰(zhàn)化白帽人才能力圖譜”基礎(chǔ)上����,《白皮書》對(duì)進(jìn)行了擴(kuò)展,將白帽子的實(shí)戰(zhàn)化能力分為3個(gè)級(jí)別���、14個(gè)大類�����、87項(xiàng)具體能力����。3個(gè)級(jí)別分別為基礎(chǔ)能力����、進(jìn)階能力和高階能力�,其學(xué)習(xí)和掌握難度依次提升�����。調(diào)研數(shù)據(jù)顯示�����,87項(xiàng)具體能力的平均掌握率已經(jīng)從2020年末的38.8%�,提升至2022年7月的45.4%�,提升了6.6個(gè)百分點(diǎn)。
其中����,基礎(chǔ)能力中2大類20項(xiàng)具體能力的平均掌握率從67.0%提升至74.2%,提升了7.2個(gè)百分點(diǎn)�;進(jìn)階能力4大類23項(xiàng)具體能力的平均掌握率從40.3%提升至55.0%,提升了14.7個(gè)百分點(diǎn)�,是三個(gè)級(jí)別的能力中增長幅度最大的;而高階能力的平均掌握率則基本上沒有明顯的變化�����,8大類44項(xiàng)具體能力的平均掌握率從28.3%小幅下降至27.3%�,微降1.0個(gè)百分點(diǎn)。
具體而言,在基礎(chǔ)能力方面�����,Web漏洞利用能力的平均掌握率從57.0%��,大幅增長到74.5%��;而基礎(chǔ)安全工具的平均掌握率則變化不大�,從74.5%微降至73.6%。目前���,兩大類實(shí)戰(zhàn)化基礎(chǔ)能力的平均掌握率已經(jīng)十分接近�,人才儲(chǔ)備均相對(duì)充實(shí)����。
在進(jìn)階能力方面,Web漏洞挖掘和社工釣魚這兩類技能的人才的儲(chǔ)備量和增長速度都相對(duì)較多�。其中,Web漏洞挖掘能力的平均掌握率提升幅度最大��,從39.9%大幅提升至64.8%�,一躍成為平均掌握率最高的進(jìn)階能力類別。社工釣魚能力的平均掌握率從48.8%提升至58.5%����。而掌握Web開發(fā)與編寫能力的白帽人才仍然是相對(duì)稀缺的����,平均掌握率在四類進(jìn)階能力中最低��,僅為31.1%���。
在高階能力方面,掌握各類能力的人才分布情況近兩年來變化不大����。盡管各項(xiàng)內(nèi)網(wǎng)滲透能力的平均掌握率,從2020年末的59.7%下降到2022年7月的48.5%��,但仍然是白帽人才平均掌握率最高的實(shí)戰(zhàn)化高階能力類別���。其次是身份隱藏能力�,5項(xiàng)技能的平均掌握率已達(dá)47.2%���。在高階能力中���,系統(tǒng)漏洞利用與防護(hù)、編寫PoC或EXP作為支撐政企機(jī)構(gòu)漏洞防護(hù)的最重要的兩項(xiàng)能力,其平均掌握率最低�,分別僅為12.1%和11.9%。也就是說���,平均大約每8個(gè)白帽子���,才有1名白帽子掌握這兩類實(shí)戰(zhàn)化能力。
可以看到的是����,盡管白帽子的平均水平有了明顯的提升,但在高階能力掌握方面依然存在明顯的缺失����,依然需要借助各方合作培養(yǎng)白帽人才。
注:能力下方黃色條越長代表掌握率越高
在支撐白帽人才培養(yǎng)方面���,補(bǔ)天平臺(tái)通過提供真實(shí)的訓(xùn)練環(huán)境���,開放實(shí)戰(zhàn)工具箱和資源,定制專屬課程��、頂級(jí)黑客進(jìn)行技術(shù)教學(xué)����,依托長期積累�,利用獨(dú)有的技術(shù)人才優(yōu)勢,助力培養(yǎng)出具有頂級(jí)技術(shù)的網(wǎng)絡(luò)安全實(shí)戰(zhàn)型人才���,為行業(yè)提供強(qiáng)有力的人才保障����,提升支撐安全業(yè)務(wù)的各項(xiàng)能力,應(yīng)對(duì)新形勢下的網(wǎng)絡(luò)安全挑戰(zhàn)���。
值得注意的是,在北京冬奧會(huì)網(wǎng)絡(luò)安全保障期間�����,由白帽人才隊(duì)伍組成���、經(jīng)過層層選拔的“冬奧網(wǎng)絡(luò)安全衛(wèi)士”24小時(shí)在線��,發(fā)起超過2000萬次測試請(qǐng)求��,測試總時(shí)長超過1萬小時(shí),成功發(fā)現(xiàn)了大量有效系統(tǒng)漏洞和冬奧相關(guān)威脅情報(bào)���。
報(bào)告原文請(qǐng)查看:
《中國實(shí)戰(zhàn)化白帽人才能力白皮書》
https://www.qianxin.com/threat/reportdetail?report_id=165
《中國白帽人才能力與發(fā)展?fàn)顩r調(diào)研報(bào)告》
https://www.qianxin.com/threat/reportdetail?report_id=166
