聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

概要

去年，世界已向数字化优先的方向转变，要求安全团队快速调整。同时，不断演进的攻击面和复杂的数字化生态系统为网络安全团队带来新的挑战。虽然网络安全也在持续地自动跟进新型威胁，但安全团队在规模化专业性和覆盖不断变化的数字化局势时遭遇逆境战。虽然自动化扫描器有助于组织机构防御已知威胁，但连接多个低危漏洞以帮助客户避免数据泄露事件或找到软件补丁的唯一绕过，需要的是人类的创造性。

去年，黑客直面这些挑战，支持企业度过急速的数字化转型过程，投入更多的时间保护医疗提供商。这份《2021年黑客报告》公布了HackerOne 这个全球最大的黑客社区所展现的多样和健壮的专业性及其与安全团队之间的共生伙伴关系。

关键研究成果

• 在过去12个月中，提交漏洞的黑客数量增长了63%。

• 顶级黑客报告的漏洞类型平均为20个。

• 访问控制不当和提权漏洞报告的数量增长了53%。

• 与配置不当相关的漏洞报告数量增长了310%。

• 由于缺少清晰的漏洞提交流程或以往糟糕的提交体验，50%的黑客并未提交漏洞。

• 85%的黑客通过 hack 来学习，62%的黑客为了提高职场竞争力。

首位赏金超200万美元的黑客诞生

报告指出，从2019年发布黑客报告起，HackerOne 社区的规模翻了一番，如今注册黑客的数量已超过100万名。虽然很多成员仍然在探索和学习阶段，但2020年提交漏洞报告的黑客数量已增长63%，比2018年增长了143%，这表明，随着全球组织机构在受黑客驱动解决方案增加投入的同时，黑客的技能和专业性也在提高。

单在2020年，黑客收入的总数就达到4000万美元，助力HackerOne平台向黑客支付的赏金额超过1亿美元大关。自2019年起，共有9名黑客的赏金收入超过100万美元，且一名黑客在2020年超过了200万美元。

全球主要黑客分布图

社区82%的黑客定位是兼职黑客，35%的黑客拥有全职工作。尽管多数表示通过自学成为黑客，但很多黑客具有技术背景：37%的黑客学历是计算机科学硕士研究生，20%的黑客拥有计算机科学方面的毕业资格证。

Hacking 仍然是Z世代（又称“网络世代”，1990年末至2000年初出生）的热门追求，HackerOne 平台上55%的黑客年龄低于25岁。Hacking 为他们的未来铺平道路；33%的黑客通过自己的技能找到工作，而23%的黑客计划在内部安全团队中继续从事信息安全工作。黑客既通过猎洞努力增强了组织机构的安全能力，又将黑客技能和思维投入到内部安全功能中。

黑客动力来源

从兼职黑客道全职渗透测试人员，Hacking 社区为邀请他们进行测试的组织机构带来了多样化的方法、技能集和理念。

能持续给黑客带来动力的并不只是金钱。虽然相当高比例 (76%) 的黑客的主要动力来源是赏金，但85%的黑客也借此学习并扩展自己的技能水平，而62%的黑客是为了提升职场能力。黑客还具有强烈的为世界做好事的欲望，47%的黑客是为了保护和防御企业及个人免遭网络威胁。

当黑客找到漏洞时就会寻求报告。但是，如果缺乏明显的报告通道，则黑客要么选择放弃要么公开披露。

漏洞披露计划 (VDPs) 会提供如何报告漏洞的指南，但并不会通过提供赏金的方式激励黑客。尽管无法获取赏金，但47%的黑客参加VDPs 的积极性很高。此外，在hack VDPs 的黑客中，51%的人是出于责任感，79%的人是为了学习，而57%的人是为了在该平台上树立自己的名声。

黑客 hack 的原因

虽然黑客在发现漏洞时寻求报告，但50%的黑客在某种时候选择不披露。在这些人中，27%表示是因为没有披露渠道，另外27%是因为之前提交的漏洞报告未得到回应。

金钱仍然是黑客的主要动力，76%的人表示是为了赚钱，因此19%的人发现自己所找到的漏洞无法获得赏金时就选择不去报告也就不令人惊讶了。

如 VDP能够清楚说明所接受的漏洞提交的方式，那么黑客就会获得报告漏洞的清晰且安全的通道，而且为安全团队获得从第三方接收漏洞的一个渠道。

与黑客打交道的行业

黑客的专业性和影响

黑客通过专业技能和领域专业性帮助安全团队在敏捷的攻击面进行大规模测试。以外部视角、不同的方式、经验和知识储备，黑客能够提交具有影响力的漏洞，也就是说攻击面得到了更好的防护。

黑客和所有行业都在打交道，59%的黑客关注互联网和在线服务，47%关注金融服务；41%的关注零售和电商项目，而43%关注计算机软件项目。

黑客关注的技术

从具体的专业性来讲，96%的黑客关注web应用，而去年该比例为71%。在专业性方面的增长率更高，hacking API 的黑客人数上涨了694%，关注安卓的黑客人数增长了663%。而最高的增长率出现在物联网行业，关注该技术的黑客数量增长了1000%。

HackerOne 平台的数据显示，这种趋势也能从报告的多样性得到佐证。2020年提交移动漏洞的报告数量增长了150%，而提交硬件（包括物联网）漏洞的报告数量增长了469%。

随着攻击面不断扩展而组织机构转向云，黑客将继续挖掘漏洞并提供有价值的洞见，最终促成设计更加安全的产品。

HackerOne 平台上的数据还显示，多数漏洞类型都在同比增长。在十大漏洞中，信息泄露在有效的漏洞提交中增幅最大，去年增长了65%。虽然尚未成为十大漏洞，但受疫情影响转向云的趋势使配置不当问题在2020年增长了310%。

随着黑客驱动安全理念得到广泛认可，HackerOne 社区也在变得更加敏捷、有效和复杂。去年，黑客从加入平台到提交第一个漏洞平均用时16天，而前一年是148天。顶级黑客平均会报告20种不同漏洞。

虽然黑客找到了新漏洞以及新的利用方式，但49%的黑客认为攻击面实际上得到加固，容易找到的漏洞已被发现且修复。尽管26%的黑客表示找到漏洞的难度越来越大，但45%的黑客确实指出在过去一年中找到了新漏洞。

结论

随着疫情后，安全团队在预算和人员方面的预算削减了四分之一，组织机构被迫通过更少的资源大规模地维护安全。同时，黑客的工作比以往更加繁忙。自疫情爆发以来，38%的黑客花在 hacking 上的时间在增长，34%的黑客赚到了更多的赏金，34%的黑客表示因疫情驱动的数字化转型而发现了更多的漏洞，50%的黑客表示社会对黑客的态度整体更加积极。

传统的解决方案已无法满足速度和安全的双重要求。快速的数字化转型和远程工作态势所带来的不断增长且敏捷的攻击面促使安全团队不断提升技能和专业性。邀请黑客分享洞察意味着安全团队可延伸触达范围和专业性，从而为迎接新兴威胁做好更充足的准备。

推荐阅读

HackerOne 平台诞生首个收入超200万美元的赏金猎人

HackerOne《2020年黑客驱动安全报告》：中国白帽子的收入增长幅度最大

HackerOne《2019年黑客驱动安全》报告来了：看完你还坚持挖吗？

参考链接

https://www.hackerone.com/resources/reporting/the-2021-hacker-report

题图：Pixabay License

文内图：HackerOne

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~