您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[奇安信]:2023中国实战化白帽人才能力白皮书 - 发现报告
回到首页AI搜索发现报告发现数据专题报告研选报告定制报告VIP权益
热门搜索:
新能源车AIGCChatgpt大模型新质生产力低空经济
当前位置:首页/行业研究/报告详情/

2023中国实战化白帽人才能力白皮书

信息技术2023-12-22奇安信杨***
2023中国实战化白帽人才能力白皮书

中国实战化白帽人才能力白皮书 2022.11 补天漏洞响应平台 奇安信安服团队 奇安信行业安全研究中心 主要观点  实战化白帽人才的能力正在以50%回归率为标准结构性调整。通过报告数据可见,若一类能力的人才平均掌握率显著高于50%,那么人才平均掌握率就会随时间变化呈现下降趋势。反之若显著低于50%,则人才平均掌握率会随时间变化呈现显著或小幅的上升趋势。  实战化白帽人才队伍能力逐渐全面、均衡、优化发展。相当一部分新入行的白帽子,不愿意在已经很卷的成熟市场领域继续深耕,如Web漏洞利用(基础)、Web漏洞挖掘(进阶)等领域内竞争,而是转向人才相对更加稀缺的高级安全工具(高阶)、编写PoC或EXP(高阶)、掌握CPU指令集(高阶)等方面能力的学习。  未来相当长一段时间,高水平实战化白帽人才仍将比较稀缺。在高阶能力的各个类别中,实战化白帽人才系统层漏洞利用与防护的掌握能力仍旧最低。仅为14.1%。也就是说,平均每7个白帽子,才有一名白帽子掌握系统层漏洞利用与防护的实战化能力。  白帽人才最为稀缺的单项实战化能力是针对iOS和macOS系统编写PoC或EXP的能力。掌握这两项能力的白帽子仅有6.6%和3.5%。也就是说,平均每100个白帽子中,最多才有5个白帽子具备编写iOS或macOS操作系统漏洞验证代码或漏洞利用代码的能力。  从高级安全工具入手学习高阶能力是白帽人才很好的选择。在高阶能力的各个类别中,高级安全工具的平均掌握率较2020年有显著的上升,从23.9%增长到29.2%。 摘 要  最新调研成果显示,在“实战化白帽人才能力图谱”所关注的3个级别、14大类、87项具体的实战化能力中,各项能力总体的平均掌握率已经从2020年末的38.8%,提升至2023年8月的41.4%,提升了2.6个百分点。但与2022年7月的45.5%比,降低了4个百分点。  基础能力的2大类20项具体能力的平均掌握率从74.2%下降至66.3%,降低了7.9个百分点;进阶能力4大类23项具体能力的平均掌握率从55.0%降低至43.5%,下降了11.5个百分点,而高阶能力的平均掌握率从27.3%增长至28.7%,增加了1.4个百分点,8大类44项具体能力的平均掌握率是三个级别的能力中唯一有所增长的方向。  Web漏洞利用能力的平均掌握率从57.0%,大幅增长到74.5%,而后又平稳恢复至65.8%;而基础安全工具的平均掌握率则变化不大,从74.5%持续下降至67.1%。目前,两大类实战化基础能力的平均掌握率已经十分接近,人才储备均相对充实。  Web漏洞挖掘和社工钓鱼这两类技能的人才的储备量近两年均超过半数。其中,Web漏洞挖掘能力的平均掌握率为56.7%,社工钓鱼能力的平均掌握率为52.1%。  内网渗透能力的平均掌握率,从2020年末的59.7%下降到2023年8月的45.9%,但仍然是白帽人才平均掌握率最高的实战化高阶能力类别。其次是身份隐藏能力,2023年白帽人才身份隐藏能力的平均掌握率为44.7%。  调研显示,Burp Suite的平均掌握率最高,为92.5%,是2023年度实战化白帽人才中唯一掌握率超过9成的基础安全工具,算得上是最基础的入门级安全工具。其次为Sqlmap,平均掌握率为82.4%,排名第二。而AppScan和Cobalt Strike的平均掌握率均不足50%。也就是说,一半以上的白帽子不会使用Cobalt Strike和AppScan两款安全工具。  调研显示,针对苹果公司的操作系统,有PoC或EXP编写能力的白帽子非常“稀有”,iOS 6.6%、macOS 3.5%。 关键字:实战化、白帽子、攻防演习、能力图谱、漏洞挖掘、 目 录 研究背景 ......................................................................................................................................................... 1 第一章 实战化白帽人才能力变化趋势 .................................................................................................. 3 第二章 实战化白帽人才能力现状分析 .................................................................................................. 7 一、 基础能力 ....................................................................................................................................................... 7 二、 进阶能力 ....................................................................................................................................................... 8 三、 高阶能力 .................................................................................................................................................... 11 第三章 总结 ............................................................................................................................................. 18 附录1 实战化白帽人才能力各项技能详解 ........................................................................................... 19 一、 基础能力 .................................................................................................................................................... 19 二、 进阶能力 .................................................................................................................................................... 22 三、 高阶能力 .................................................................................................................................................... 25 附录2 补天漏洞响应平台 ........................................................................................................................ 35 附录3 奇安信蓝队能力及攻防实践 ......................................................................... 错误!未定义书签。 1 研究背景 实战化能力,是网络安全实战化发展对白帽子攻防能力的必然要求。相比于单纯的挖洞能力,白帽子的实战化能力有以下几方面的特点: 1) 攻防过程针对的是业务系统,而并非单纯的IT系统。 2) 挖洞只是攻防过程中的辅助,攻击必须要有实际效果。 3) 针对系统的攻击是一个过程,技术之外允许使用社工。 4) 实战在动态攻防环境中进行,目标系统有人运行值守。 2021年1月,补天漏洞响应平台、奇安信安服团队、奇安信行业安全研究中心首次联合发布的《中国实战化白帽人才能力白皮书(2020)》(简称:《白皮书(2020)》)。《白皮书(2020》结合1900余个目标系统的攻防实战经验,首次提出了实战化白帽人才能力的概念,并给出了“实战化白帽人才能力图谱”。 图谱详细列举了白帽人才在实战化过程中,所需要掌握的3个级别、14个大类、87项具体能力。白皮书还对每一项技能的含义与要求,进行了详细的说明。以图谱为基础,我们对518名白帽子进行了实战化能力调研。 《白皮书(2020》对实战化白帽人才的能力培养给出了明确的指导方向和市场分析,引起了大量用人单位、教育机构、特别是白帽子群体的高度关注和认可。 2023年8月,补天漏洞响应平台再次对平台上活跃的518名白帽子进行了实战化能力调研,并以此次调研为基础,撰写了《中国实战化白帽人才能力白皮书(2023)》(简称:《白皮书(2023)》),希望能够对提升国内白帽子群体的整体能力水平,促进安全行业的实战化白帽子人才发展及能力培养工作有所帮助。 特别说明,《白皮书(2023)》“实战化白帽人才能力图谱”由3个级别、14个大类、87项具体能力集合而成。如下图所示。 2 3 第一章 实战化白帽人才能力变化趋势 自2021年1月,《中国实战化白帽人才能力白皮书(2020)》发布以来,我国白帽人才群体的实战化能力已经得到了普遍的、显著的提升。最新调研成果显示,在“实战化白帽人才能力图谱”所关注的3个级别、14大类、87项具体的实战化能力中,各项能力总体的平均掌握率已经从20

点击免费查看完整报告

你可能感兴趣

hot

中国实战化白帽人才能力白皮书

信息技术
奇安信2021-01-20
hot

2022中国实战化白帽人才能力白皮书

信息技术
奇安信2022-12-04
hot

2023中国白帽人才能力与发展状况调研报告

信息技术
奇安信2023-12-22
hot

中国白帽人才能力与发展状况调研报告

信息技术
奇安信2021-09-17
hot

2022中国白帽人才能力与发展状况调研报告

信息技术
奇安信2022-11-26