中国实战化白帽人才能力白皮书 2022.11 补天漏洞响应平台 奇安信安服团队 奇安信行业安全研究中心 主要观点  本次白皮书对“实战化白帽人才能力图谱”进行了扩展，将白帽子的实战化能力分为3个级别、14个大类、87项具体能力。3个级别分别为基础能力、进阶能力和高阶能力，其学习和掌握难度依次提升。  近两年，我国白帽人才群体的实战化能力已经得到了普遍的、显著的提升。各项能力总体的平均掌握率已经从38.8%提升至45.4%。特别是各项基础能力和进阶能力的平均掌握率都有大幅的提升，分别达到74.2%和55.0%。  与基础能力和进阶能力相对的是，近两年，白帽人才对各项高阶能力的平均掌握率不仅没有提升，还有小幅下降，仅为27.3%。平均每四个白帽子中，才有约1个人掌握高阶实战化能力。高水平的实战化白帽人才，在当前和未来相当长的一段时间里，仍将是比较稀缺的。  在高阶能力的各个类别中，高级安全工具的平均掌握率较2020年有显著的上升，从23.9%增长到29.2%。实际上，从高级安全工具入手学习高阶能力是白帽人才很好的选择。  从具体的能力类型来看，掌握进阶能力中的Web开发与编程能力，高级能力中的系统漏洞利用与防护、系统层漏洞挖掘、高级安全工具、编写PoC或EXP等高级利用、CPU指令集等能力的白帽人才最为稀缺。特别的，白帽人才普遍不具备Web开发与编程能力，这很有可能成为我国实战化白帽人才能力长远发展的重要瓶颈。  全国性、区域性、行业性的实战攻防演练活动的持续开展，对于促进实战化白帽人才能力提升意义重大。特别是白帽人才在Web漏洞挖掘能力、社工钓鱼能力等方面的平均掌握率大幅提升，主要是得益于实战攻防演习的锻炼。  白帽人才最为稀缺的单项实战化能力是针对iOS和macOS系统编写PoC或EXP的能力。掌握这两项能力的白帽子仅有 3.4%和2.6%。也就是说，平均每30~40个白帽子中，才有一名白帽子具备编写iOS或macOS操作系统漏洞验证代码或漏洞利用代码的能力。  鱼叉邮件一直是攻击成本最低、攻击成功率最高的攻击方法之一。但在实战攻防演习工作中，仅有约三分之一的白帽子使用过鱼叉邮件，这与鱼叉邮件在实战攻防过程中的实际地位是不相配的，鱼叉邮件也并未得到白帽人才的充分重视。这一方面是由于鱼叉邮件的使用需要一定的前期情报收集门槛，另一方面也是由于很多实战攻防演习项目禁止使用鱼叉邮件。不过，这种“禁止”正在变得越来越少。  内网渗透是非常重要的实战化能力，但内网渗透能力的平均掌握率不足50%，在实际演习过程中担任过内网渗透人员角色的白帽子更是不足三成。这与演习之外，缺乏合法合规的内网渗透实战及教学环境有很大关系。  2022年北京冬奥会和冬残奥会实现了网络安全“零事故”的历史性突破。涌现出大量成功经验，形成了网络安全“中国方案”。“冬奥网络安全卫士” 模式正是“中国方案”的重要组成部分。冬奥“零事故”，是网络安全“中国方案”的胜利，也是“冬奥网络安全卫士”模式的胜利。 摘 要  本次白皮书对“实战化白帽人才能力图谱”进行了扩展，将白帽子的实战化能力分为3个级别、14个大类、87项具体能力。  基础能力中2大类20项具体技能的平均掌握率从67.0%提升至74.2%，提升了7.2个百分点；进阶能力4大类23项具体技能的平均掌握率从40.3%提升至55.0%，提升了14.7个百分点；而高阶能力的平均掌握率则基本上没有明显的变化，8大类44项具体技能的平均掌握率从28.3%小幅下降至27.3%，微降1.0个百分点。  在基础能力中，Web漏洞利用能力的平均掌握率从57.0%，大幅增长到74.5%；基础安全工具的平均掌握率从74.5%微降至73.6%。目前，两大类实战化基础能力的平均掌握率十分接近，人才储备均相对充实。  在高阶能力中，掌握各类技能的人才分布情况变化不大。尽管内网渗透能力的平均掌握率，从59.7%下降48.5%，但仍然是白帽人才平均掌握率最高的实战化高阶能力类别。其次是身份隐藏能力，5项技能的平均掌握率已达47.2%。系统漏洞利用与防护、编写PoC或EXP等高级利用的平均掌握率最低，分别仅为12.1%和11.9%。 关键字：实战化、白帽子、攻防演习、能力图谱、漏洞挖掘、社工钓鱼、内网渗透 目 录 研究背景 ......................................................................................................................................................... 1 第一章 实战化白帽人才能力变化趋势 .................................................................................................. 3 第二章 实战化白帽人才能力现状分析 .................................................................................................. 6 一、 基础能力 ....................................................................................................................................................... 6 二、 进阶能力 ....................................................................................................................................................... 7 三、 高阶能力 .................................................................................................................................................... 10 第三章 总结 ............................................................................................................................................. 16 第四章 冬奥网络安全卫士助力实现零事故 ....................................................................................... 17 附录1 实战化白帽人才能力各项技能详解 ........................................................................................... 20 一、 基础能力 .................................................................................................................................................... 20 二、 进阶能力 .................................................................................................................................................... 23 三、 高阶能力 .................................................................................................................................................... 26 附录2 补天漏洞响应平台 ........................................................................................................................ 35 附录3 奇安信蓝队能力及攻防实践 ....................................................................................................... 36 1 研究背景 实战化能力，是网络安全实战化发展对白帽子攻防能力的必然要求。相比于单纯的挖洞能力，白帽子的实战化能力有以下几方面的特点： 1） 攻防过程针对的是业务系统，而并非单纯的IT系统。 2） 挖洞只是攻防过程中的辅助，攻击必须要有实际效果。 3） 针对系统的攻击是一个过程，技术之外允许使用社工。 4） 实战在动态攻防环境中进行，目标系统有人运行值守。 2021年1月，补天漏洞响应平台、奇安信安服团队、奇安信行业安全研究中心首次联合发布的《中国实战化白帽人才能力白皮书（2020）》（简称：《白皮书（2020）》）。《白皮书（2020》结合1900余个目标系统的攻防实战经验，首次提出了实战化白帽人才能力的概念，并给出了“实战化白帽人才能力图谱”。 图谱详细列举了白帽人才在实战化过程中，所需要掌握的3个级别、14个大类、85项具体能力。白皮书还对每一项技能的含义与要求，进行了详细的说明。以图谱为基础，我们对645名白帽子进行了实战化能力调研。 《白皮书（2020》对实战化白帽人才的能力培养给出了明确的指导方向和市场分析，引起了大量用人单位、教育机构、特别是白帽子群体的高度关注和认可。 2022年7月，补天漏洞响应平台再次对平台上活跃的581名白帽子进行了实战化能力调研，并以此次调研为基础，撰写了《中国实战化白帽人才能力白皮书（2022）》（简称：《白皮书（2022）》），希望能够对提升国内白帽子群体的整体能力水平，促进安全行业的实战化白帽子人才发展及能力培养工作有所帮助。 特别说明，与《白皮书（2020》相比，《白皮书（2022）》对“实战化白帽人才能力图谱”进