主要观点

  • 白皮书结合补天漏洞响应平台白帽培养实践经验及奇安信集团安服团队蓝队攻防实战经验,首次提出了实战化白帽人才能力的基本概念,并系统性地给出了实战化 白帽人才能力图谱。图谱为实战化白帽人才的系统性培养,以及白帽人才的自主学 习,提供了重要的科学参考依据。
  • 实战化白帽人才能力,是指在政企机构实际运行的业务系统、生产系统上进行的实 战攻防演习过程中,作为攻击方的白帽子所需要具备各种攻防能力的集合。与传统 的挖洞型白帽人才能力要求不同,实战化能力要求白帽子具备在真实的业务系统上, 综合利用各种技术和非技术手段,进行动态实战攻防的能力。
  • 白皮书将实战化白帽人才能力分为 3 个级别、14 大类、85 项具体技能。其中,基 础能力 2 类 20 项、进阶能力 4 类 23 项、高阶能力 8 类 42 项。
  • 补天漏洞响应平台针对具有实战攻防演习经验的 645 位高级白帽子的调研显示: 目前国内白帽子人群所掌握的实战化攻防能力,仍主要集中在基础能力方面;而具 备高阶能力的白帽人才则十分稀缺,特别是不同平台程序的分析能力、在系统层漏 洞的挖掘与利用,以及相应的 PoC或 EXP的编写等方面,相关人才更是凤毛麟角。

中国实战化白帽人才能力摘要

  • 从行业分布来看,36.3%的白帽子来自于安全企业,34.9%的白帽子仍是学生,7.1%的白帽子来自政府机构事业单位。
  • 从年龄分布来看,近半数的白帽子年龄在 22 岁及以下;35.7%的白帽子年龄在 23- 27 岁。从学历来看,本科及以下学历超过 9 成。其中,本科学历占比 36.3%,本科 在读占比 21.9%,还有 24.5%的白帽子为大专学历。
  • 从从业时间来看,进入安全行业 1-3 年的白帽子最多,占比 51.2%;其次为拥有 4- 6 年安全从业经验的白帽子,占比 21.2%。
  • 本次调研显示,55.8%的白帽子目前仍然处于“无证上岗”的状态。
  • 2020年实战化白帽人才基础能力中,平均每个白帽子掌握 4个 Web漏洞利用方式; 会使用 6 个安全工具。
  • 2020 年实战化白帽人才进阶能力中,平均每个白帽子掌握 3 个 Web漏洞的挖掘能 力,能够使用 2 种编程语言对 Web开发和编程,更擅长使用社工库与鱼叉邮件进行 社工钓鱼。
  • 2020 年实战化白帽人才高阶能力较弱,系统层漏洞利用与防护、系统层漏洞挖掘 以及对不同系统编写 PoC或 EXP等高级利用能力掌握不够,相比之下,多数白帽子 身份隐藏与内网渗透能力掌握较好。约 74.0%的白帽子具有组队参加有关部门组织 的实战攻防演习活动的经验,19.4%的白帽子表示自己能够胜任团队协作中的任意 角色。

关键字:实战化、白帽子、攻防演习、能力图谱、漏洞挖掘、社工钓鱼、内网渗透

中国网络安全人才研究背景

白帽子,在很多人心中的印象就是挖洞高手。但随着网络安全实践工作的持续深入发展, 白帽子已经成为了各项网络安全工作中不可或缺的关键要素。特别是近年来持续深入开展的 网络安全实战攻防演习工作,对作为蓝队核心的白帽子,提出了越来越高的实战化能力要求。 要求白帽子具备在实战对抗环境和实际业务环境中,实现有效的攻击的能力,并能够由此发 现目标机构存在的安全问题或安全隐患。

实战化,对白帽子能力的要求更高,也更全面。一方面,对于具备实战化运行能力的大 型政企机构来说,很多低级的安全漏洞早已修复,想要实现有效攻击,就必须具备发现某些 高级安全漏洞的能力;另一方面,单纯知道某个漏洞的存在也不等于能够实现有效的攻击, 白帽子还必须具备在实战化的业务环境下,实现漏洞有效利用的能力,这就要求白帽子具有 社工能力、协作能力、业务分析能力等多种安全能力。

从实际工作需要出发,我们发现,目前国内白帽子的实战化能力还很不全面,存在诸多短板。绝大多数白帽子的能力集中于 Web漏洞的挖掘与利用这样的初级或中级能力,而对于 系统层漏洞挖掘、CPU指令集、编写 POC或 EXP等中高级能力,则存在明显的人才缺失。

为提升国内白帽子群体的整体能力水平,适应日益重要的攻防演习实战需求,补天漏洞 响应平台联合奇安信安服团队和奇安信行业安全研究中心,结合 1900 余个目标系统的攻防 实战经验,首次系统性地总结了“实战化白帽子能力需求图谱”,并据此针对补天平台选取 了 645 名白帽子进行了能力调研,形成了《中国实战化白帽人才能力白皮书》。在接受本次 调研的白帽子中,约 74.0%的白帽子参加过有关部门组织的实战攻防演习活动。

希望此项研究成果能够对安全行业的实战化白帽子人才发展及能力培养有所帮助。

本文主要学习2020年中国实战化白帽人才能力白皮书进行整理的笔记,如有错误,请随时联系

补天应急响应公司发布中国实战化白帽人才能力白皮书相关推荐

  1. 中国实战化白帽人才能力白皮书

    主要观点 白皮书结合补天漏洞响应平台白帽培养实践经验及奇安信集团安服团队蓝队攻防 实战经验,首次提出了实战化白帽人才能力的基本概念,并系统性地给出了实战化 白帽人才能力图谱.图谱为实战化白帽人才的系统 ...

  2. 《实战化白帽人才能力白皮书》发布 | 三阶能力展现白帽人才态势

    1月20日,补天漏洞响应平台联合奇安信安服团队.奇安信行业安全研究中心,发布了业内首份<2020中国实战化白帽人才能力白皮书>,首次提出了实战化白帽人才能力的基本概念,绘制了首份实战化白帽 ...

  3. 2022 中国白帽人才能力与发展状况调研报告

    声明 本文是学习2022中国白帽人才能力与发展状况调研报告. 下载地址 http://github5.com/view/55039而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 ...

  4. 重磅!瑞泰信息发布中国企业数字化增长行业实践白皮书——《数字化平台造就企业增长新引擎》

    近日,瑞泰信息发布了中国企业数字化增长行业实践白皮书--<数字化平台造就企业增长新引擎>(以下简称:<白皮书>),此白皮书基于瑞泰信息在众多行业标杆企业的实践,并结合业界专家学 ...

  5. 胡润研究院第二年发布中国豪华车品牌特性研究白皮书

    引领中国豪华车车主"由富及贵"的格调-中国车主更高调,欧洲车主更务实-九大豪华车品牌车主中欧形象大PK 上海2016年4月18日电 /美通社/ – 胡润研究院发布<2015- ...

  6. 实测FourEye免杀 vs 实战化白帽子如何学习

    文章来源|MS08067 内网安全知识星球 本文作者:Ryze(Ms08067内网安全小组成员) 内网纵横四海  认准Ms08067 本文目的只为了解免杀技术和配合攻击技术达到一定攻击效果,文中所涉及 ...

  7. 亚信安全:坚持自主可控 做中国本土化专业化的安全公司

    自去年亚信科技收购趋势科技中国以来,成立半年后的亚信安全专注于哪些安全方向的研究?想要做什么?都做了什么?在近日亚信安全2016战略媒体吹风会上,亚信安全为我们做了详细的解答. 不是趋势科技也不是过去 ...

  8. 解码2022中国网安强星丨注重攻防实战化验证,长亭以安全原子能力打造体系化安全

    科技云报道原创. 由中国网络安全产业联盟(CCIA).科技云报道共同主办的"解码2022中国网安强星"活动正式拉开帷幕.本次活动以"网安力量 照见未来"为主题, ...

  9. 网络安全应急响应技术实战指南

    文章转载:https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md 用于安全事件响应的工具与资源的列表 ...

最新文章

  1. springboot redis 断线重连_Redis复制:部分同步PSYNC详解
  2. 阿里云Linux创建docker容器
  3. c++中的lambda特性
  4. [AGC026D]Histogram Coloring
  5. 【英语学习】【WOTD】two-bit 释义/词源/示例
  6. nodejs实践录:ubuntu 16.04系统nodejs环境搭建
  7. 关于 HTTP 请求头的内容
  8. hp打印机没有右键扫描_安装HP打印机报错 0x000006be解决方法,图文操作步骤详解...
  9. simpson积分模板
  10. win7 IIS7 HTTP 错误 404.2 - Not Found的解决方法
  11. 基于Java+MySQL的GPS定位学生在线人脸考勤签到系统
  12. Android 平台视频播放器demo
  13. 参数化三维管网建模系统MagicPipe3D
  14. NetBeans常用命令总结
  15. ubuntu各文件夹简介
  16. 数值分析(2):线性代数方程组的直接解法
  17. python定时发qq消息_Python如何实现定时发送qq消息
  18. 数据分析:当回音哥唱music时,他在唱些什么~~~
  19. 路径中 / ./ ../ ../../ ../../../ 的含义
  20. JAXWS CXF JAXB + MyEclipse + Maven Byron自學視頻04

热门文章

  1. 深度学习之数据扩充,对应生成扩充的标签文件
  2. NXP的S32K144如何移植FreeRTOS?
  3. cmake是什么,为什么现在都用cmake,cmake编译原理和跨平台示例
  4. 《弃子长安》第十二章 湖底石牢
  5. java找出两个数组中不同元素_java 找出两个list中不同值
  6. Windows10 home 家庭版 开启 远程桌面
  7. 尚硅谷2020最新版周阳SpringCloud(H版alibaba)框架开发教程 学习笔记
  8. 吉利发布新出行科技品牌“礼帽出行” 定位高品质定制化出行
  9. Julia 将.jl脚本文件打包为可执行文件
  10. 微型计算机显示器的标准接口,下列哪一个不是微型计算机显示器的标准接口()。A.AGPB.PCI-EC.DVID.IDE...