《【白皮书市场研报】2023中国实战化白帽人才能力白皮书.docx》由会员分享,可在线阅读,更多相关《【白皮书市场研报】2023中国实战化白帽人才能力白皮书.docx(22页珍藏版)》请在优知文库上搜索。
1、补天漏洞响应平台奇安信安悔团队奇安信行业安全研究中心主要观点 实故化白帽人才的能力正在以50%回白率为标准结构性援粤.通过报行数据可见,若类能力的人才平均掌握率显著高于50,那么人才平均掌握率就会随时间变化呈现下降过势.反之若显若低于50版则人才平均掌握率会叨时间变化呈现显著或小幅的上升趋势.实成化白人才队伍能力迷潮全面、均得、优化发展.相当一部分新入行的白帽子,不愿意在己探很卷的成熟市场领域继续深耕,如Web漏洞利用(基础)、cb漏洞挖生(进阶等领域内竞争,而足转向人才相对更加稀块的高级安全工具(高阶)、编写PoC或EXP(高阶)、常握CPU指令集(裔阶)等方面能力的学习。令未来相当长一段时
2、间,高水平实故化白帽人才仍将比较候.在高阶能力的各个类别中,实战化门帕人才系统层漏洞利用与防护的掌握能力仍旧以低。仅为M1%。也就是说平均每7个白帽f才有一名白帽子掌握系统层漏洞利用与防护的实战化能力. 白帽人才最为稀缺的单项实战化能力是针对iOS和macOS系僦写PCC或EXP的能力。掌握这两项能力的门相子仅勾6.6%和3.5虹也就是说,平均每100个白帽子中最多才有5H串具备湍写iOS或三ac(4操作系统漏洞验证代码或漏洞利用代码的能力.今从安全工具入手学习高阶俺力是白帽人才假好的选界.在高防能力的各个类别中,高级安全工具的平均掌握率较2020年有显著的上升,从23.9%增长到29.2%.
3、令最新调研成果显示,在“实械化白帽人才能力图谐”所关注的3个级别、M大类、87项具体的实战化能力中,各项能力总体的平均掌握率已经从2020年末的38.8%,提升至2023年8月的41.4%提升了2.6个百分点.但与2022年7月的45.5%比,降低了4个百分点._令基础能力的2大类20项具体能力的平均掌握率从74.2%下降至66.3%,降低了7.9个百分点:进阶能力4大类23项具体能力的平均掌握率从55.0降低至43.5%,下降了H.5个百分点,而高阶能力的平均掌握率从27.3对长至28.HM)11T1.4个仃分点.8大类44项具体能力的平均掌握率是匚.个级别的能力中唯一方所增长的方向.。We
4、b漏洞利用能力的平均掌握率从57.0%,大帼增长到74.5%,而后又平稳恢复至65.8%:而票础安全工具的平均掌握率则变化不大,从74.5%持续下降至67.1虬目前,两大类实战化基础能力的平均拿根率已经卜分接近,人才储符均相对充实.令Web部研挖网和社钓值这两类技能的人才的储备M近两年均超过半数.K中,Ueh湖洞挖掘能力的平均掌握率为567%,社工的值能力的平均掌握率为52.1.今内网浊透能力的平均掌握率.从2020年末的59.7%下降到2023年8月的45.9%,但仍然是白相人才平均掌握率G高的实战化病阶能力类别.其次是身份随被能力,2023年白卷人才身份陷藏能力的平均掌握率为44.1%.调
5、研显示,BurpSuite的平均掌握率G高,为92.5%,是2023年度实战化白帽人才中唯一掌握率超过9成的基础安全工具,算得上乱最基础的入门级安全工具.其次为Sq1.map,平均掌握率为82.4%,排名第二。而AppScan和Coba1.tStrike的平均掌握率均不足50%.也就是说.一半以上的白幡子不会使Jf1.Coba1.tStrike和APPSCan两款安全工具.。调研显.示.针对苹果公司的搽作系统有PoC或EXP短写能力的白帽子非常“林有”iOS6.6%macOS3.5%.关字:实战化、白帽子、攻防演A1.、能力图沿、漏洞挖抱、/.WftIH1.1-化白,人枚力更tM劣.i1.3第
6、二实检化白才能力现状分析二二.二.二7基础能力”7二进阶能力;8三、高阶能力,;11*三*Mtt18M1实依化白帽人才传力害事技健防19一、基础能力二二19二进阶能力,22三、高阶能力25地Ir二或/i1.jJTJJ缴Q给?一PMt2*%W应平台3531WHnajB力及攻防实践错误!未定义书签研究背景实战化能力,是网络安全实战化发展对白帽子攻防能力的必然要求.相比于单纯的挖洞能力,白帽子的实战化能力有以下几方面的特点:1)攻防过程针对的站业务系统,而并非单纯的IT系统。2)挖刑只是攻防过程中的铺助,攻击必须要有实际效果.3)针对系统的攻击是一个过程.技术之外允许使用社工.4)实战在动态攻防环境
7、中进行,目标系统有人运行值守。所衢要掌握.的3个被别、M、872021年1月,补天漏洞响应平台、奇安信安眼闭队、奇安信行业安全研窕中心首次联合发布的中国实战化白帽人才能力白皮甘(2020)(简称:白皮书(2020.伯皮书(202(呼结合1900余个目标系统的攻防实战经脸,首次提也了实战化白帕人才能力的概念,Ji给出了“实战化门帽人才能力图谱”,图潴详细列举丁白帽人才在灰战化过通中.具体能力。白皮书还时每一项技能的含义与要求,进行了详细的说明.,以图i普为基础,我们对51名臼帽子进行了实战化能力网研.V白皮书(20203对实战化白帼人才的能力培养给出了明确的指导方向和市场分析,引起了大量用人单位
8、、教育机构、特别是白帽子群体的高度关注和认可.2023年8月,补天漏洞响应平台再次时平台上活跃的518名白用子进行了实故化能力周研,并以此次调研为基础.撰写了中国实战化白帽人才能力白皮书(2023(简称Ste1.皮书(2023,希里能券时提升国内白帕子群体的整体能力水平,促进安全行业的实战化白帽子人才发展及能力培养工作有所常助.特别说明,白皮书2023“实战化白阳人才能力图Wr由3个级别、14个大类,87项具体能力集合而成.如下图所示.ICM化自人才It力一,M1.1.SM9t1.第一章实战化白帽人才能力变化趋势自2021年1月,E中国实战化门阳人才能力臼皮书2020)J发布以来,我国白帽人才
9、群体的实战化能力已经得到/普遍的、显著的提升,最新遍研成果故示.在“实战化白帽人才能力图谱”所关注的3个级别、14大类、7项具体的实战化能力中,各项能力总体的平均掌握率已经从2020年末的38.引,提升至2023年8月的41.4%,提升了2.6个百分点.但与2022年7月的45.5%比,降低了1个百分点,其中,梅础能力的2大类20项具体饯力的平均掌握率从74.2%卜降至66.3%,降低了7.9个百分点:进阶能力I大类23项具体能力的平均拿报率从55.0降低至-13.5%,下降了11.5个百分点,而高阶能力的平均掌握率从27.玳增长至28.7%,增加了1.4个百分点,8大类44项具体能力的平均掌
10、握率是三个级别的能力中唯一有所增长的方向.白帽人才实战化技能平均掌握率变化趋势2020202220237r常安IB在本次白皮拈中,单项能力的平均掌握率,是指在受调研的白帕子群体中,掌握某项具体的实战化能力的白帽子人数,占所有受调研白帽子总人数的比例.而多项健力的总体平均掌捱率,则是各单项能力的平均挈握率的总平均值,具体计算方法如下:单项能力的平均学握率掌握iJ能力的白帽子人数受调研的白骨群体总人数多项能力总体平均掌握率=:.第n项能力的平均竽握率-1.通过数据分析,我们惊讶的发现“50%回归率1现象,即表面上看,地础能力人才平均掌匏率从74,相卜降到了66.3%,进阶能力从55.OS下降到了4
11、3.3%,高阶能力变化不大,总平均掌握率从45.如下降到41.4%,似乎是人才掌握的能力越来越少了.但详细分析基础能力、进阶能力、高阶能力的细分项变化后,就会发现,对于白帽人才来说,人才对不同能力的平均掌握率的平衡点姒乎恰好出现在5佻左右.q京.W安信当一个市场竞争激烈、内表产田时,人才就会流出,同时也并不会降低这个市场的整体供给能力.反之,如果一个市场人才稀缺,就会不断的有人才涌入这个市场.提升这个领域的整体供给能力,如果一个市场人才供求平衡,加么人才流入和流出的速度都会相差不大。我们发现.不论是对比三年的总趋势还是对比20222023年的变化,也不论一个技能是基础能力、进阶能力还是高阶能力
12、(能力级别只代我能力学习的难度,不代我人才的神缺程度),一个显著的共同现象就是:1如果一类能力的人才平均掌握率显著岛于50%,那么人才平均掌握率就会的时间变化呈现显著的下降趋势2、如果一类能力的人才平均掌握率显著低于50%,JE么人才平均掌握率就会的时间变化旱.现显著的或小幅的上升趋势3、如果一类能力的人才平均箪握率接近于50%.那么人才平均掌握率就会的时间变化呈现小幅波动态势所以说,白帽人才的能力平均掌握率并不是简单的下降,而是实在的结构性调整.5MU,1.率的本质,是市场时人才竞争的调节作用。相当-部分新入行的门帽子,不!已经很卷的成熟市场领域内竞争,1Ieb湍洞而用(基础能力)、WpB漏
13、洞挖掘(进阶能力).等,而是转向人才相劝更加稀缺的高级安全工具高阶能力)、编写PoC或EXP(高阶能力)、鸵握CPI:指令集(高阶能力等方面能力的学习.(详细分析见下文)相比基础能力和IS阶能力实战化白阳人才选择更加困潍的而阶能力,所以才造成了高阶能力平均掌握率的增长帼便没能填补基础能力、进阶能力平均掌樨率的下降占比.进而导致安全技能的总体平均掌握率有所下降的情况发生,综上,我们推断自相人彳傕力的建设与发展.不能简单的只有人才於理技饯数量的多少,而是应当积极的促迸人才队伍能力结构全面、均衡、优化发展。适当的压缩过剩的低端产能,尽快补足w.提升边阶能力,特别是轴介能力的平均掌螂,是臼阳人才培养的
14、当务之a而我们的白皮书已经给臼幅手自学给有关垠位引导培养,指出了具体的、科学的方向.详细分析来看,相比于2020年末,到2023年8月,虽然拥有高阶能力的实战化白相人才的比例,有小幅增加,但在整体门用人才能力掌握上仍旧处于最少,这也进一步说明,高水平的实战化白帽人才,在当前和未来相当长的一段时间电,仍将是比较稀缺的。下图给出的是两类基础能力平均掌握率的变化趋势.可以看出,Web漏洞利用能力的平均掌弼率从57.0%,大幅增长到74.5乐而后又平稳恢复至65.8而基础安全工具的平均掌旌率则变化不大,从74.5%持续下降至67.1%.目前,两大类实战化基础能力的平均掌握率己经十分接近,人才储备均相对
15、充实.实战化白帽人才基础能力平均掌握率变化趋势202120222023卜图给出的是四类进阶能力的平均掌握率变化趋势“可以看出,Web漏洞挖掘和社工钓值这两类技能的人才的郁备心近两年均越过半数.其中.Web漏洞挖掘能力的平均掌握率为56.7%,社.钓仙.能力的平均号握率为52.1%,将此同时Kb开发与变成却编丐PoC或EXP等利用址类技能也在平地上升中,其中,编写PoC或EW等利用能力近两年在丫卷上升,由2022年的49.1%稳步突极半:数大关上升至50.5%;Web开发与编程能力由2022年的31.1%上升至31.6虽然仍旧较少,但与前两年比均有提高,可见白和人才正在努力完善和全面发展自己的进阶能力.实战化白帽人才进阶能力平均掌握率变化趋势(25)O整皂.用安IS下图给出的是8类高阶能力的平均掌握率变化电势.总体来看,在高阶能力中,掌握各类能力的人才分布情况近两年整体略有增加但掌握情况均未达半成.内网渗透能力的平均掌握率,从2020年
免费区 