2023中国实战化白帽人才能力白皮书.pdf
《2023中国实战化白帽人才能力白皮书.pdf》由会员分享,可在线阅读,更多相关《2023中国实战化白帽人才能力白皮书.pdf(40页珍藏版)》请在咨信网上搜索。
1、 中国实战化白帽人才能力白皮书 2022.11 补天漏洞响应平台 奇安信安服团队 奇安信行业安全研究中心 主要观点 实战化白帽人才的能力正在以实战化白帽人才的能力正在以 5 50 0%回归率为标准结构性调整。回归率为标准结构性调整。通过报告数据可见,若一类能力的人才平均掌握率显著高于 50%,那么人才平均掌握率就会随时间变化呈现下降趋势。反之若显著低于 50%,则人才平均掌握率会随时间变化呈现显著或小幅的上升趋势。实战化白帽人才队伍能力逐渐全面、均衡、优化发展。实战化白帽人才队伍能力逐渐全面、均衡、优化发展。相当一部分新入行的白帽子,不愿意在已经很卷的成熟市场领域继续深耕,如 Web 漏洞利用
2、(基础)、Web 漏洞挖掘(进阶)等领域内竞争,而是转向人才相对更加稀缺的高级安全工具(高阶)、编写 PoC 或EXP(高阶)、掌握 CPU 指令集(高阶)等方面能力的学习。未来相当长一段时间,高水平实战化白帽人才仍将比较稀缺。未来相当长一段时间,高水平实战化白帽人才仍将比较稀缺。在高阶能力的各个类别中,实战化白帽人才系统层漏洞利用与防护的掌握能力仍旧最低。仅为 14.1%。也就是说,平均每 7 个白帽子,才有一名白帽子掌握系统层漏洞利用与防护的实战化能力。白帽人才最为稀缺的单项实战化能力是针对 iOS 和 macOS 系统编写 PoC 或 EXP 的能力。掌握这两项能力的白帽子仅有 6.6%
3、和 3.5%。也就是说,平均每 100 个白帽子中,最多才有 5 个白帽子具备编写 iOS 或 macOS 操作系统漏洞验证代码或漏洞利用代码的能力。从高级安全工具入手学习高阶能力是白帽人才很好的选择。从高级安全工具入手学习高阶能力是白帽人才很好的选择。在高阶能力的各个类别中,高级安全工具的平均掌握率较 2020 年有显著的上升,从 23.9%增长到 29.2%。摘 要 最新调研成果显示,在“实战化白帽人才能力图谱”所关注的 3 个级别、14 大类、87项具体的实战化能力中,各项能力总体的平均掌握率已经从 2020 年末的 38.8%,提升至 2023 年 8 月的 41.4%,提升了 2.6
4、 个百分点。但与 2022 年 7 月的 45.5%比,降低了4 个百分点。基础能力的 2 大类 20 项具体能力的平均掌握率从 74.2%下降至 66.3%,降低了 7.9 个百分点;进阶能力 4 大类 23 项具体能力的平均掌握率从55.0%降低至 43.5%,下降了11.5个百分点,而高阶能力的平均掌握率从 27.3%增长至 28.7%,增加了 1.4个百分点,8 大类 44 项具体能力的平均掌握率是三个级别的能力中唯一有所增长的方向。Web漏洞利用能力的平均掌握率从57.0%,大幅增长到74.5%,而后又平稳恢复至65.8%;而基础安全工具的平均掌握率则变化不大,从 74.5%持续下降
5、至 67.1%。目前,两大类实战化基础能力的平均掌握率已经十分接近,人才储备均相对充实。Web 漏洞挖掘和社工钓鱼这两类技能的人才的储备量近两年均超过半数。其中,Web 漏洞挖掘能力的平均掌握率为 56.7%,社工钓鱼能力的平均掌握率为 52.1%。内网渗透能力的平均掌握率,从 2020 年末的 59.7%下降到 2023 年 8 月的 45.9%,但仍然是白帽人才平均掌握率最高的实战化高阶能力类别。其次是身份隐藏能力,2023 年白帽人才身份隐藏能力的平均掌握率为 44.7%。调研显示,Burp Suite 的平均掌握率最高,为 92.5%,是 2023 年度实战化白帽人才中唯一掌握率超过
6、9 成的基础安全工具,算得上是最基础的入门级安全工具。其次为Sqlmap,平均掌握率为 82.4%,排名第二。而 AppScan 和 Cobalt Strike 的平均掌握率均不足 50%。也就是说,一半以上的白帽子不会使用 Cobalt Strike 和 AppScan 两款安全工具。调研显示,针对苹果公司的操作系统,有 PoC 或 EXP 编写能力的白帽子非常“稀有”,iOS 6.6%、macOS 3.5%。关键字关键字:实战化、白帽子、攻防演习、能力图谱、漏洞挖掘、目 录 研究背景研究背景.1 第一章第一章 实战化白帽人才能力变化趋势实战化白帽人才能力变化趋势.3 第二章第二章 实战化白
7、帽人才能力现状分析实战化白帽人才能力现状分析.7 一、基础能力.7 二、进阶能力.8 三、高阶能力.11 第三章第三章 总结总结.18 附录附录 1 1 实战化白帽实战化白帽人才人才能力各项技能详解能力各项技能详解.19 一、基础能力.19 二、进阶能力.22 三、高阶能力.25 附录附录 2 2 补天漏洞响应平台补天漏洞响应平台.35 附录附录 3 3 奇安信蓝队能力及攻防实践奇安信蓝队能力及攻防实践.错误!未定义书签。1 研究背景 实战化能力,是网络安全实战化发展对白帽子攻防能力的必然要求。相比于单纯的挖洞能力,白帽子的实战化能力有以下几方面的特点:1)攻防过程针对的是业务系统,而并非单纯
8、的 IT 系统。2)挖洞只是攻防过程中的辅助,攻击必须要有实际效果。3)针对系统的攻击是一个过程,技术之外允许使用社工。4)实战在动态攻防环境中进行,目标系统有人运行值守。2021 年 1 月,补天漏洞响应平台、奇安信安服团队、奇安信行业安全研究中心首次联合发布的中国实战化白帽人才能力白皮书(2020)(简称:白皮书(2020)。白皮书(2020 结合 1900 余个目标系统的攻防实战经验,首次提出了实战化白帽人才能力的概念,并给出了“实战化白帽人才能力图谱”。图谱详细列举了白帽人才在实战化过程中,所需要掌握的 3 个级别、14 个大类、87 项具体能力。白皮书还对每一项技能的含义与要求,进行
9、了详细的说明。以图谱为基础,我们对 518 名白帽子进行了实战化能力调研。白皮书(2020对实战化白帽人才的能力培养给出了明确的指导方向和市场分析,引起了大量用人单位、教育机构、特别是白帽子群体的高度关注和认可。2023 年 8 月,补天漏洞响应平台再次对平台上活跃的 518 名白帽子进行了实战化能力调研,并以此次调研为基础,撰写了中国实战化白帽人才能力白皮书(2023)(简称:白皮书(2023),希望能够对提升国内白帽子群体的整体能力水平,促进安全行业的实战化白帽子人才发展及能力培养工作有所帮助。特别说明,白皮书(2023)“实战化白帽人才能力图谱”由 3 个级别、14 个大类、87项具体能
10、力集合而成。如下图所示。2 3 第一章 实战化白帽人才能力变化趋势 自 2021 年 1 月,中国实战化白帽人才能力白皮书(2020)发布以来,我国白帽人才群体的实战化能力已经得到了普遍的、显著的提升。最新调研成果显示,在“实战化白帽人才能力图谱”所关注的 3 个级别、14 大类、87 项具体的实战化能力中,各项能力总体的平均掌握率已经从 2020 年末的 38.8%,提升至 2023 年 8 月的 41.4%,提升了 2.6 个百分点。但与 2022 年 7 月的 45.5%比,降低了 4 个百分点。其中,基础能力的 2 大类 20 项具体能力的平均掌握率从 74.2%下降至 66.3%,降
11、低了7.9 个百分点;进阶能力 4 大类 23 项具体能力的平均掌握率从55.0%降低至 43.5%,下降了11.5 个百分点,而高阶能力的平均掌握率从 27.3%增长至 28.7%,增加了 1.4 个百分点,8大类 44 项具体能力的平均掌握率是三个级别的能力中唯一有所增长的方向。在本次白皮书中,单项能力的平均掌握率,是指在受调研的白帽子群体中,掌握某项具体的实战化能力的白帽子人数,占所有受调研白帽子总人数的比例。而多项能力的总体平均掌握率,则是各单项能力的平均掌握率的总平均值,具体计算方法如下:单项能力的平均掌握率=掌握该项能力的白帽子人数受调研的白帽群体总人数 多项能力总体平均掌握率=1
12、 第项能力的平均掌握率=1 通过数据分析,我们惊讶的发现“50%回归率”现象。即表面上看,基础能力人才平均掌握率从 74.2%下降到了 66.3%,进阶能力从 55.0%下降到了 43.3%,高阶能力变化不大,总平均掌握率从 45.4%下降到 41.4%,似乎是人才掌握的能力越来越少了。但详细分析基础能力、进阶能力、高阶能力的细分项变化后,就会发现,对于白帽人才来说,人才对不同能力的平均掌握率的平衡点似乎恰好出现在 50%左右。4 50%50%回归率回归率 当一个市场竞争激烈、内卷严重时,人才就会流出,同时也并不会降低这个市场的整体供给能力。反之,如果一个市场人才稀缺,就会不断的有人才涌入这个
13、市场,提升这个领域的整体供给能力。如果一个市场人才供求平衡,那么人才流入和流出的速度都会相差不大。我们发现,不论是对比三年的总趋势还是对比 20222023 年的变化,也不论一个技能是基础能力、进阶能力还是高阶能力(能力级别只代表能力学习的难度,不代表人才的稀缺程度),一个显著的共同现象就是:1、如果一类能力的人才平均掌握率显著高于 50%,那么人才平均掌握率就会随时间变化呈现显著的下降趋势 2、如果一类能力的人才平均掌握率显著低于 50%,那么人才平均掌握率就会随时间变化呈现显著的或小幅的上升趋势 3、如果一类能力的人才平均掌握率接近于 50%,那么人才平均掌握率就会随时间变化呈现小幅波动态
14、势 所以说,白帽人才的能力平均掌握率并不是简单的下降了,而是实在的结构性调整。50%回归率的本质,是市场对人才竞争的调节作用。相当一部分新入行的白帽子,不愿意在已经很卷的成熟市场领域内竞争,如 Web 漏洞利用(基础能力)、Web 漏洞挖掘(进阶能力)等,而是转向人才相对更加稀缺的高级安全工具(高阶能力)、编写 PoC 或 EXP(高阶能力)、掌握 CPU 指令集(高阶能力)等方面能力的学习。(详细分析见下文)相比基础能力和进阶能力实战化白帽人才选择更加困难的高阶能力,所以才造成了高阶能力平均掌握率的增长幅度没能填补基础能力、进阶能力平均掌握率的下降占比,进而导致安全技能的总体平均掌握率有所下
15、降的情况发生。综上,我们推断白帽人才能力的建设与发展,不能简单的只看人才掌握技能数量的多少,而是应当积极的促进人才队伍能力结构全面、均衡、优化发展。适当的压缩过剩的低端产能,尽快补足短板,提升进阶能力,特别是高阶能力的平均掌握率,是白帽人才培养的当务之急。而我们的 白皮书 已经给白帽子自学、给有关单位引导培养,指出了具体的、科学的方向。详细分析来看,相比于 2020 年末,到 2023 年 8 月,虽然拥有高阶能力的实战化白帽人才的比例,有小幅增加,但在整体白帽人才能力掌握上仍旧处于最少。这也进一步说明,高水平的实战化白帽人才,在当前和未来相当长的一段时间里,仍将是比较稀缺的。下图给出的是两类
16、基础能力平均掌握率的变化趋势。可以看出,Web 漏洞利用能力的平均掌握率从 57.0%,大幅增长到 74.5%,而后又平稳恢复至 65.8%;而基础安全工具的平均掌握率则变化不大,从 74.5%持续下降至 67.1%。目前,两大类实战化基础能力的平均掌握率已经十分接近,人才储备均相对充实。5 下图给出的是四类进阶能力的平均掌握率变化趋势。可以看出,Web 漏洞挖掘和社工钓鱼这两类技能的人才的储备量近两年均超过半数。其中,Web 漏洞挖掘能力的平均掌握率为56.7%,社工钓鱼能力的平均掌握率为 52.1%。与此同时 Web 开发与变成和编写 PoC 或 EXP等利用量类技能也在平稳上升中,其中,
17、编写 PoC 或 EXP 等利用能力近两年在平稳上升,由2022 年的 49.1%稳步突破半数大关上升至 50.5%;Web 开发与编程能力由 2022 年的 31.1%上升至 34.6%,虽然仍旧较少,但与前两年比均有提高。可见白帽人才正在努力完善和全面发展自己的进阶能力。下图给出的是 8 类高阶能力的平均掌握率变化趋势。总体来看,在高阶能力中,掌握各类能力的人才分布情况近两年整体略有增加但掌握情况均未达半成。内网渗透能力的平均掌握率,从 2020 年末的 59.7%下降到 2023 年 8 月的 45.9%,但仍然是白帽人才平均掌握率最高的实战化高阶能力类别。其次是身份隐藏能力,2023
18、年白帽人才身份隐藏能力的平均掌握率为 44.7%。而系统层漏洞利用与防护平均掌握率最低,仅为 14.1%,也就是说,平均每7 个白帽子,才有一名白帽子掌握系统层漏洞利用与防护的实战化能力。6 值得注意的是,在各类高阶能力中,高级安全工具的掌握与编写 PoC 或 EXP 等高级利用能力近两年均在稳步上涨。其中,高级安全工具的掌握能力从 2021 年的 23.9%,到 2022 年的 29.2%,2023 年已稳步上涨至 32.8%,编写 PoC 或 EXP 等高级利用能力也从 2021 年的10.9%涨至 2023 年的 16.5%,上涨了 5.6 个百分点。从高级安全工具与高级编程利用入手学习
19、高阶能力是白帽人才很好的选择。7 第二章 实战化白帽人才能力现状分析 2023 年 8 月,根据“实战化白帽人才能力图谱”,补天漏洞响应平台针对平台上活跃的518 名白帽子进行了实战化能力调研,本章将给出具体的调研结果和分析。一、基础能力 基础能力是比较初级的白帽人才实战化能力,学习和掌握相对容易,通常也是其他各类高级实战化能力学习和实践的基础。基础能力主要包括 Web 漏洞利用与基础安全工具使用两大类。(一)Web 漏洞利用 由于 Web 系统是绝大多数机构业务系统或对外服务系统的构建形式,所以 Web 漏洞利用也是最常见,最基础的网络攻击形式之一。在实战攻防演习中,白帽子最为经常利用的 W
20、eb漏洞形式包括:命令执行、SQL 注入、代码执行、逻辑漏洞、解析漏洞、信息泄露、XSS、配置错误、弱口令、反序列化、文件上传、权限绕过等。调研显示,2023 年在所有的 Web 漏洞利用能力中,SQL 注入和命令执行的平均掌握率最高,但均未超过 90%:在实战中,88.0%的白帽子发现并利用过 SQL 注入漏洞,77.2%的白帽子发现并利用过命令执行漏洞。利用过 SQL 注入漏洞的白帽子如此诸多,主要原因是 SQL 注入类漏洞在实战化环境中最为常见。相比之下,平均掌握率最低的三种漏洞仍旧为反序列化漏洞、解析漏洞和配置错误,只有几乎不到半数的白帽子在实战中发现并利用过这三种漏洞。具体调研结果如
21、下图。(二)基础安全工具 基础安全工具是指安全分析或攻防实战过程中,经常使用到的一些初级的、基础的软件工具。比较常见的基础安全工具包括:Burp Suite、Sqlmap、Nmap、Wireshark、AppScan、AWVS、MSF、Cobalt Strike 等。8 调研显示,Burp Suite 的平均掌握率最高,为 92.5%,是 2023 年度实战化白帽人才中唯一掌握率超过 9 成的基础安全工具,算得上是最基础的入门级安全工具。其次为 Sqlmap,平均掌握率为 82.4%,排名第二。而 AppScan 和 Cobalt Strike 的平均掌握率均不足 50%。也就是说,一半以上的
22、白帽子不会使用 Cobalt Strike 和 AppScan 两款安全工具。具体调研结果如下图所示。二、进阶能力 进阶能力是相对更加高级的实战化白帽能力,学习和掌握的难度高于基础能力,但低于高阶能力,主要包括 Web 漏洞挖掘、Web 开发与编程、编写 PoC 或 EXP 等利用、社工钓鱼等。(一)Web 漏洞挖掘 Web 漏洞挖掘能力是指针对 Web 系统或软件进行漏洞挖掘的能力。在白帽子挖掘的 Web应用漏洞中,比较常见的漏洞形式包括:SQL 注入、弱口令、命令执行、逻辑漏洞、XSS、代码执行、解析漏洞、信息泄露、配置错误、反序列化、文件上传、权限绕过等。9 由于漏洞挖掘要比漏洞利用困难
23、得多,所以,各种 Web 漏洞挖掘能力的平均掌握率均显著低于同类漏洞的漏洞利用能力 710 个百分点。其中,SQL 注入漏洞的挖掘能力平均掌握率最高,为 79.5%,与 2022 年 82.4%的掌握率相比略有下降。其次为弱口令漏洞,掌握率为68.0%排名第二,命令执行类漏洞挖掘能力排名第三,其平均掌握率为 66.2%。但值得注意的是,各项技能与 2022 年 web 漏洞挖掘能力掌握情况相比,弱口令漏洞和权限绕过类漏洞的挖掘能力平均掌握率下降显著。弱口令类漏洞挖掘掌握能力与 2022 年相比下降 15.5 个百分点,权限绕过类漏洞 2022 年掌握率为 58.4%,而 2023 年仅为 45
24、.4%,下降了 13 个百分点。具体调研结果如上图。漏洞挖掘能力学习的难易程度,不仅与漏洞本身的技术原理或技术门槛有关,也与漏洞出现的概率有关。例如,反序列化漏洞大多对白帽子本身的代码掌握情况有要求,同时随着重要政企机构安全水平的普遍提高,配置错误导致的安全漏洞也会越来越少,因此这几类漏洞在实战环境下可能就会越来越难地被白帽子发现和利用。(二)Web 开发与编程 掌握一门或几门的开发与编程语言,是白帽子深入挖掘 Web 应用漏洞,分析 Web 站点及业务系统运行机制的重要基础能力。在实战攻防演习中,白帽子最为经常遇到和需要掌握的编程语言包括:Java、PHP、Python、C/C+、Golan
25、g 等。调研显示,在 5 种最常用的 Web 开发语言中,掌握 Python 语言开发与编程的白帽子人才最多,占比约为 68.0%,与 2022 年的 67.5%基本持平;其次是 PHP,占比为 33.0%。值得注意的是,Java 与 C/C+两张语言的掌握情况涨势较好。掌握 Java 的白帽子约为 32.8%,与 2022 年的 23.2%相比提高了 9.6 个百分点,掌握 C/C+白帽子约为 29.0%,相比于 2022年提高了 9.4 个百分点,二者均有显著提高。而掌握 Golang 的白帽子也终于突破 10.0%的大关,2023 年占比 10.4%。具体调研结果如下图。此外,还有约 2
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2023 中国 实战 化白帽 人才 能力 白皮书
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Stan****Shan】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Stan****Shan】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。