《实战化白帽人才能力白皮书》发布 | 三阶能力展现白帽人才态势
1月20日,补天漏洞响应平台联合奇安信安服团队、奇安信行业安全研究中心,发布了业内首份《2020中国实战化白帽人才能力白皮书》,首次提出了实战化白帽人才能力的基本概念,绘制了首份实战化白帽人才能力图谱,为实战化白帽人才的系统性培养提供重要的科学参考依据。
白帽人才年轻化
数据显示,在接受调查的具备实战攻防经验的645名白帽中,近8成年纪在27岁及以下,其中23-27岁的白帽占35.7%,18-22岁及约占四成(41.4%),甚至还有6%尚未成年;学历方面,本科及以下学历超过9成。其中甚至不乏中学在读的白帽人才。由此可见,年轻是白帽人才的主要关键词,在年龄上符合人们对于“现男友”的预期。
在接受调研的白帽子中,36.3%的白帽子来自于安全企业,34.9%的白帽子为学生,7.1%的白帽子来自政府机构事业单位。这主要由于白帽子所需技能及时间积累,人员更多集中在专业对口的安全企业从业者或精力充沛、时间充裕的学生党。
首份实战化白帽人才能力图谱
高阶能力尚十分欠缺
为提升国内白帽子群体的整体能力水平,适应日益重要的攻防演习实战需求,白皮书结合1900余个目标系统的攻防实战经验,首次系统性地总结了“实战化白帽子能力需求图谱”。
该能力图谱综合考虑了掌握技能的难易程度、市场人才的稀缺程度、以及实战化能力的有效性这三方面因素,将白帽子的实战化能力从低到高依次分为基础能力、进阶能力和高阶能力,并详细拆分为3个级别、14大类、85项具体技能。白皮书中对这14大类、85项基本技能均提供了详解说明。将对安全行业的实战化白帽子人才发展及能力培养,提供重要参考和依据。
调研显示,目前国内白帽子人群所掌握的实战化攻防能力,仍主要集中在基础能力方面;而具备高阶能力的白帽人才十分稀缺,特别是不同平台程序的分析能力、在系统层漏洞的挖掘与利用,以及相应的PoC或EXP的编写等方面人才极为稀缺。
这或许与绝大多数白帽人才从业时间较短有关。数据显示,超七成受访人员从业时间不超过3年,其中入行时间不到一年的白帽子占比达到了20%。
为更加直观展现自身技能情况,也为了便于就业,考取各类证书成为了最佳选择,但在接受调研的白帽子中,仍有55.8%的白帽子尚未获得任何相关证书,处于“无证上岗”的状态。
全网实战攻防演练推广
实战化白帽考验全面能力
近年来,随着网络安全实战攻防演习工作的持续深入开展,对于白帽子在实战对抗环境、实际业务环境中的能力提出了更高要求。
在这种背景下,白皮书对“实战化白帽人才能力”的定义为:在政企机构实际运行的业务系统、生产系统上进行的实战攻防演习过程中,作为攻击方的白帽子所需要具备各种攻防能力的集合。
与传统的挖洞型白帽人才能力要求不同,在实战化攻击过程中,白帽人员不仅需要针对真实的业务系统或生产设备,发现高级安全漏洞,还要对机构内部的IT架构、运行管理机制进行有效分析,找到路径,实现有效攻击。期间允许使用社会工程学方法,以人为突破口进行攻击。与此同时,面对防守方的反制防守和攻击溯源,白帽人员还需要掌握一定的身份隐藏技能,通过多人协作,共同完成整套动态实战攻防。这就对白帽子能力提出了“可攻、可防、能潜、能藏”的综合能力要求,成为“一专多强”的T字形人才。
不过,在接受本次调研的645名白帽子中,尽管有约74.0%的白帽子具有组队参加有关部门组织的实战攻防演习活动的经验,但仅有19.4%的白帽子表示自己能够胜任团队协作中的任意角色。因此,这还要全社会共同努力,加大对白帽人才的挖掘和培养力度。
来自腾讯、字节跳动、京东等厂商安全团队负责人,以及安全团队创始人,对白皮书对于实战化白帽人才培养的指导意义表示肯定。
扫码下载原文
扫码下载
《2020中国实战化白帽人才能力白皮书》
END
转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
《实战化白帽人才能力白皮书》发布 | 三阶能力展现白帽人才态势相关推荐
- 解码2022中国网安强星丨注重攻防实战化验证,长亭以安全原子能力打造体系化安全
科技云报道原创. 由中国网络安全产业联盟(CCIA).科技云报道共同主办的"解码2022中国网安强星"活动正式拉开帷幕.本次活动以"网安力量 照见未来"为主题, ...
- 中国实战化白帽人才能力白皮书
主要观点 白皮书结合补天漏洞响应平台白帽培养实践经验及奇安信集团安服团队蓝队攻防 实战经验,首次提出了实战化白帽人才能力的基本概念,并系统性地给出了实战化 白帽人才能力图谱.图谱为实战化白帽人才的系统 ...
- 元宇宙人才发展白皮书
导读: 白皮书一共分为四个部分,分别是元宇宙发展基本情况,具体领域,人才发展情况以及机遇与挑战,望能为想从事元宇宙行业的人才提供借鉴. 关注公众号:[互联互通社区],回复[元宇宙人才]获取全部报告内容 ...
- 补天应急响应公司发布中国实战化白帽人才能力白皮书
主要观点 白皮书结合补天漏洞响应平台白帽培养实践经验及奇安信集团安服团队蓝队攻防实战经验,首次提出了实战化白帽人才能力的基本概念,并系统性地给出了实战化 白帽人才能力图谱.图谱为实战化白帽人才的系统性 ...
- 零信任能力成熟度模型白皮书发布!内附下载资源
摘要:华为云重磅发布全球首个<华为云零信任能力成熟度模型白皮书>,向行业展示了华为云安全的新能力和新突破. 10月16-17日,2021"天府杯"国际网络安全大赛暨国际 ...
- 知道创宇发布重磅战略方案,构建持续交火的实战化防御体系
4月20日,由中关村网络安全与信息化产业联盟指导.知道创宇主办的"构建持续交火的实战化防御体系"战略方案发布会成功举办.针对网络安全实战化防御问题,知道创宇发布了"互联网 ...
- 网络安全高级人才应该具备的安全能力
二. 进阶能力 (一) Web漏洞挖掘 针对 Web 系统或软件的进行漏洞挖掘的能力. 在白帽子挖掘的 Web应用漏洞中,比较常见的漏洞形式包括:命令执行.代码执行.解 析漏洞.XSS.弱口令.文件上 ...
- 实测FourEye免杀 vs 实战化白帽子如何学习
文章来源|MS08067 内网安全知识星球 本文作者:Ryze(Ms08067内网安全小组成员) 内网纵横四海 认准Ms08067 本文目的只为了解免杀技术和配合攻击技术达到一定攻击效果,文中所涉及 ...
- 科技云报道:实战化时代,安全托管MSS更需“行业专家”
科技云报道原创. 实战化时代,对政企安全能力提出了更高的要求. 当"清单式"的安全服务指标难以匹配数字化应用生命周期时,降本增效的一站式托管安全运营服务MSS应运而生. 随着国内M ...
最新文章
- python 第六章 函数 pta(1)
- 基本java,jquery异步 的级联下拉列表
- JSF:直接从页面将参数传递给JSF操作方法,这是JavaEE 6+的一个不错的功能
- 3-4HDFS的特点
- XILINX FPGA数字信号处理——10、重定时信号原理及实现
- ExtJS6-项目创建
- 母亲节活动策划方案PPT模板
- Levels - 虚幻引擎场景制作
- 【python 生成自己的二维码】推广二维码带log图片
- 修建道路(最小生成树)
- Google Earth Engine python ——从谷歌地球引擎(GEE)上的点提取栅格值的实现
- 使用ScriptX.cab控件
- 苹果Mac系统历年名称和版本号
- python里面title_python中title=(.*?)是什么意思
- SpringBoot整合Javamail实现邮件发送
- 网址铺吧网址导航源码程序最大特点本系统改变了以往网址站一成不变的模式
- KM盒子插入音频视频操作教程
- 网络攻防windows命令_安恒EDR新版本本周发布|你还需要了解:攻防对抗之内网探测...
- 有道云笔记网页版(Cloud notes page)
- python微信好友助力_微信好友助力活动,discuz插件