白皮书指出,当前我国白帽子群体日益年轻化,白帽子人群所掌握的实战化攻防能力,仍主要集中在基础能力方面,而具备高阶能力的白帽人才十分稀缺。
白帽子年龄日益年轻化 超半数白帽子“无证上岗”
为了保证调研结果的真实性和可靠性,补天漏洞相应平台随机选取了645位优秀白帽子成员进行了调研。数据显示,参与调研的白帽子中,23-27岁的白帽占35.7%,18-22岁的白帽子占41.4%,甚至还有6%的白帽子尚未成年;学历方面,本科及以下学历超过9成。其中甚至不乏中学在读的白帽子。
从行业分布来看,36.3%的白帽子来自于安全企业,34.9%的白帽子仍是学生,7.1%的白帽子来自政府机构事业单位。补天平台认为,出现这一现象的主要原因在于,从事白帽子工作需要大量的闲暇时间和精力用于技能学习,因此白帽子全体更多的集中在专业对口的安全从业者或是时间、精力充足的学生群体。
补天平台在调研中还发现,55.8%的白帽子目前仍然处于“无证上岗”的状态,并未考取、获得如CISP、CISP-PTE、CISSP、OSCP Security+等专业技能证书。
虽然技能证书可以在一定程度上体现网络安全工作者的技能水平,对求职和就业有很大的帮助,但一方面学生白帽子群体还没有走上工作岗位,对技能证书短时间内没有实际需求,另一方面,在“尚武”的白帽子圈层中,普遍更加推崇技术水平和实战成绩,因此这也在某种程度上导致了白帽子忽视了持有专业技能证书的重要性。
由上述内容可见,年轻化仍是当前白帽子的主流现状,而数据显示,22岁以下的白帽子所占比例甚至接近50%。这一年龄数据其实同后面超半数的白帽子处在“无证上岗”阶段是高度相关的。虽然年轻化的群体在自我时间安排上具有一定的优势,但是在考取证书方面无疑具有劣势,比如CISP证书,它的报名条件第一项就是硕士研究生以上,具有1年工作经历;或本科毕业,具有2年工作经历;或大专毕业,具有4年工作经历。这样的要求对于接近半数的22岁以下白帽子群体而言,基本是不可能达到的。
因此,在白帽子群体年轻化趋势未发生改变之前,安全419认为大量白帽子群体处在“无证上岗”的状况也无法有效改变。
实战化高阶白帽子人才储备紧缺
调研显示,目前国内白帽子人群所掌握的实战化攻防能力,仍主要集中在基础能力方面;而具备高阶能力的白帽人才十分稀缺,特别是不同平台程序的分析能力、在系统层漏洞的挖掘与利用,以及相应的PoC或EXP的编写等方面人才极为稀缺。
近年来,红蓝对抗和实战攻防演练越来越受到企业和各级单位的重视,尤其是每年的大型网络安全实战攻防演习更催生了行业对白帽子群体的关注和需求,也对白帽子能力提出了更高的要求。
由于实战攻防演习是对真实黑客攻防过程进行模拟和再现,因此也要求白帽子在攻击过程中所使用的战术手法能够达到、甚至超过黑产组织或APT组织的攻击水平。与传统的挖洞型白帽人才能力要求不同,实战化能力要求白帽子具备在真实的业务系统上,综合利用各种技术和非技术手段,进行动态实战攻防的能力。
此外,单纯的漏洞发现工作一般只需要证明漏洞真实存在,进而提交漏洞报告即可。但在实战化的业务环境中,存在漏洞并不等于能够实现有效的攻击。单纯的漏洞挖掘工作一般不需要考虑攻防过程,也就是不需要考虑防守方的参与。但在实战攻防演习过程,防守方实际上同样拥有专业的安全服务团队,攻击方一旦开始行动,就有可能被防守方发觉。而防守方一旦发现入侵行为,也会采取各种反制措施、诱捕行动,以及攻击溯源。所以,实战化能力就要求白帽子必须掌握一定的身份隐藏技能,诸如匿名网络、免杀技术、权限维持等各种安全对抗技术。
补天发布首份“实战化白帽子能力需求图谱”
针对国内高阶白帽人才紧缺的现状,为了帮助广大白帽子群体有效提升整体能力水平,白皮书还结合补天漏洞响应平台白帽培养实践经验及奇安信集团安服团队蓝队攻防实战经验,首次提出了实战化白帽人才能力的基本概念,并系统性地给出了实战化白帽人才能力图谱,为实战化白帽人才的系统性培养提供重要的科学参考依据。
据补天平台介绍,该能力图谱综合考虑了掌握技能的难易程度、市场人才的稀缺程度、以及实战化能力的有效性这三方面因素,将白帽子的实战化能力从低到高依次分为基础能力、进阶能力和高阶能力,并详细拆分为3个级别、14大类、85项具体技能。白皮书中对这14大类、85项基本技能均提供了详解说明。
安全419认为,尽管相当数量的白帽子处在“无证”阶段,但这个“证”并不代表一切,因为人才的核心还是要具备强大的技术能力和丰富的实战经验。通过补天的实战化人才能力图谱,我们可以看到它在当前国内白帽子现状之下的现实意义——将对安全行业的实战化白帽子人才发展及能力培养,提供重要参考和依据,对于推动这个群体的成长将会有着不小的帮助。
补天平台表示,人是支撑网络安全建设的最重要因素,只有通过培养海量的实战型网络安全人才,方能为国家提供强有力的安全保障,有效应对新形势下严峻的网络安全挑战。而实战攻防是一个持续对抗的过程,无论是在攻防对扮演攻还是防的角色,其目的都是为了提升网络安全的防护能力和水平,进而加强安全应急的响应处置能力。作为网络安全中的重要组成部分,对白帽子人才的挖掘和培养工作仍然任重道远,还需要全社会的共同努力。