《网络空间安全》刊登论文咨询:QQ 1466817369
揭示“白帽子奥秘”
在网络空间安全领域,白帽子是一种特殊的群体,是一种专门从事挖掘漏洞工作的人,他们的核心能力就是挖掘漏洞的能力。你说,他们是在从事一种职业呢,还是从事一种爱好呢?
不管怎么说,仅从他们所具有的超强的挖掘漏洞的能力来说,白帽子就是一种人才,一种不被外界所知的特殊群体人才,甚至令人不解的是,学生人数占据了半壁江山。由于他们的存在与总体能力建设的持续提升,在很大程度上,推动了我国网络空间安全产业的健康发展。
与此同时,这帮“特殊群体人才”,他们在专业技能、日常生活、社会交往、职业规划等诸多方面的“内幕”,在外界看来更令人“神秘”,甚至所向往。
恰好,在“十一”前夕,由补天漏洞响应平台和奇安信集团联合主办的“2021补天白帽大会”上,补天漏洞响应平台联合奇安信行业安全研究中心通过《2021中国白帽人才能力与发展状况调研报告》(以下简称《报告》),向我们揭示了“白帽的奥秘”——
“超级挖掘机”年人均提交有效漏洞超300
挖洞能力是白帽子的核心能力。《报告》显示,国内很多白帽子都曾向多个平台多次提交过安全漏洞。其中,约有38.8%的白帽人才,每年人均提交有效安全漏洞数量超过10个,更有约4.7%的白帽人才每年人均提交有效漏洞数量超过300个,堪称漏洞界的“超级挖掘机”,大约每20名白帽子中便有1人。如图1所示。
图1
300位“白帽大亨”年奖金收入超100万
通过挖洞或参加实战攻防演习获取奖金收入,是白帽人才获取收入的重要方式。《报告》显示,我国近4成的白帽子年均奖金收入在3000元以下,约6成在1万元以下。而年均奖金超过10万元的白帽子约占17.0%,约0.4%的白帽子年奖金收入超过100万元。按照补天平台目前累计注册白帽人才7.9万人估算,国内目前可能已经诞生了超过300位年奖金收入超过100万元的“白帽大亨”。如图2所示。
图2
特别值得一提的是,已经有越来越多的大型企业愿意为高价值漏洞提供高额奖金。2021年,就有企业SRC通过补天平台,向白帽子支付了高达13万元的单个漏洞奖金。
“00后”崭露头角成为主力军
《报告》显示,目前我国白帽子大部分为1995年以后生人,其中“00后”已经成为国内白帽人才的主力军,占比高达38.4%,在各个年龄段中排名第一,其次是“95后”,占比为34.6%。《报告》同时显示,已经有少量的“10后”年轻人加入了白帽子的队伍,占比约为0.3%,虽然人数不多,但也能明显看出,越来越年轻的白帽子加入到了维护网络安全正义的队伍中来。如图3所示。
图3
多数白帽子是成年后入行
虽然“00后“”白帽人才已经崛起,但绝大多数白帽子还是在成年以后才入的行。《报告》显示,18岁之前就已开启自己白帽生涯的年轻人,只占当前国内白帽人才总数的16.1%。绝大多数人还是在18岁~22岁,也就是在读大学期间入行做的白帽子,占比约为52.4%。
此外,也有约2.2%的人是在35岁以后才开始学习挖洞做的白帽子。这部分人大多是多年从事网络安全工作或企业信息化建设的专业工程师,他们虽然精力和体力远不及20岁上下的年轻人,但丰富的实战经验,以及对企业业务和信息化系统的熟悉,使得他们往往比年轻人更擅长挖掘与企业业务或信息化架构相关的安全漏洞。如图4所示。
图4
“个人爱好”是当白帽子的首选
那么,什么原因驱使白帽子从事挖洞、攻防等网络安全工作的呢?
《报告》显示,64.2%的受访者表示,“个人爱好”是他们从事白帽工作的首要原因。此外,抱有“安全的理想”“增加个人收入”“本职工作要求”等因素,也是影响白帽人才入行的重要驱动力,还有约1.2%的人是因为“受名人感召”而入行。如图5所示。
图5
学生群体是白帽人才的首要来源
与想象中不同的是,白帽子并不都是专业的网络安全工作者,而是来自各行各业。《报告》显示,仅有约26.4%的白帽子来自专业的网络安全企业。相比之下,学生群体则是白帽人才的首要来源,占比高达36.7%,这主要是由于相对于职场人而言,绝大多数学生拥有相对自由的时间,来从事漏洞挖掘工作。
此外,不容忽视的是,约有5.8%的白帽人才为自由职业者,也可以说是“职业白帽”,奖金收入是这些白帽子的重要经济来源。按照补天平台目前累计注册白帽人才7.9万人计算,国内以奖金为主要收入的“职业白帽”群体规模已经超过4500人。随着漏洞价值的持续提升,实战攻防演习日益受到更高重视,白帽子的奖金收入也会“水涨船高”。预计未来几年,这一群体的规模仍有望持续、快速增长。如图6所示。
图6
那么,这些白帽子究竟来源于什么岗位呢?
《报告》显示,在只考虑在政企单位就职的白帽子的情况下,有约53.2%的白帽子日常工作岗位是渗透测试工程师,占比最多;14.0%白帽子为安全运维工程师,排名第二;还有4.7%的白帽子为测试工程师。如图7所示。
图7
白帽子很酷,认同度有待提升
绝大多数白帽人才对自己的白帽子身份和白帽工作非常认同,近8成的白帽子认为,白帽工作非常酷或有点儿酷。甚至有13.2%的受访者认为,白帽子作为一个很酷的职业,非常有助于吸引异性,甚至会得到异性的“崇拜”。
当然,并非所有的白帽子都持有类似的观点。约10.2%的白帽子认为,白帽子也只不过一份普通工作而已,没什么特别的;5.8%的白帽子认为,这是一项非常辛苦的工作。
另外,值得关注的是,约有3.0%的白帽子觉得自己的白帽工作并不怎么光彩,甚至不好意思跟别人说。虽然有这种认知的白帽人才占比不高,但这也在一定程度上表明,对于白帽工作的社会歧视仍然存在。
从另一个角度来看,约有2.3%的白帽子,其家人或亲友对其白帽工作持“不支持”或强烈反对态度,甚至还有约1.0%的受访者表示,其家人和亲友总是劝其改行。这也再次说明,仍有一小部分社会群体,对白帽工作和白帽人才存在误解和偏见。如图8所示。
图8
《网络空间安全》刊登论文咨询:QQ 1466817369
超级链接:
解读《2021中国白帽人才能力与发展状况调研报告》
张卓(奇安信集团副总裁、补天漏洞响应平台负责人)
补天平台作为国内知名的漏洞平台,到今年已经是第八个年头了。截至目前补天漏洞平台入驻企业6000多家,报告漏斗总数多达67万,涉及19万家企业,是企业和白帽子共赢的一个桥梁。白帽子作为网络安全行业的核心力量,其重要性不言而喻,补天漏洞响应平台目前注册总共87000多名白帽子,随着国内政策环境和产业环境不断改良,我们深刻感受到白帽子群体正在发生变化。
白帽子最近几年有哪些变化和提升呢?补天漏洞产业平台联合奇安信行业研究中心总共对300多名白帽子,100多家企业进行为期半年调研,汇总整理近3年的数据。最终形成了在“2021补天白帽大会”发布的漏洞挖掘人才趋势分析报告。在《报告》中我们针对白帽子的能力现状,凝练情况,地区分布等特征展开分析,发现了很多有趣规律,希望能对后续漏洞挖掘人才的培养和生态培育,提供一些参考。
首先来看整个行业,我们给出两个关键词:一个是增长,一个是年轻。
2018年补天漏洞平台白帽子数量4万人,仅仅3年,2021年增长87000人,另外一方面白帽子人数增速也在不断提升,整个2018年补天漏洞响应平台新增6000名白帽子,2021年截止到目前,我们新增13000名白帽子。在高增长同时,我们看到26岁以下白帽子占比在不断增加这些年轻人持续涌入,让行业充满潮气,也为我们今天补天白帽大会带来了无限惊喜。
众所周知,评价白帽人才的实力,学历并不是第一标准,但是从调研中我们还是可以看到,大多数白帽子都是科班出身大学生,这可能与2018年国内多所院校陆续开展网络空间安全专业及扩大招生范围有关,其次我们看到在很多白帽子都是持证上岗,超过一半白帽子都有CRSP等证书,甚至有很多白帽子一人持多证。虽然大部分白帽子都是大学生,但是博士生依然很少,高端人才依然是稀缺资源。
从地域分布看,北京是全国最大的白帽子人才生产基地,每9名白帽子其中就有一个来自北京。同时,像成都、济南、西安、杭州这些新一线城市也挺受白帽子欢迎,我觉得可能与当地政策发展有一定关系,像成都这样的城市,最近几年都在大力发展信息安全产业,成立很多高科技园,还有济南也有信息安全产业园,这都会吸引很多白帽子从大城市回到当地发展,新一线城市也会不断吸引白帽子加入,为城市高质量发展,不断的注入活力。
在今年的人口普查中,我们看到我国男性人口比女性略多一点,其中男性人口占51.24%,女性人口48.76%,但是本次和2018年报告中我们都可以看到,在白帽子这个群体中,男生和女生的数量相差还是非常悬殊的,接近了21:1。女性白帽子绝对是稀有的,虽然女性白帽子整体人数少,但是巾帼不让须眉,她们往往是某个安全领域的专业,她们在白帽群体中也具有很大影响力。
白帽子人才的入行年龄和从业时间的变化,超过一半白帽子在18-22岁就入行了,也就是他们上大学期间入行做了白帽子,还有一部分人35岁之后开始学习挖掘漏洞做白帽子,这部分人大部分从事网络安全工作,或者企业信息化建设专业工程师,他们精力体力可能和20岁以下年轻人比不上,但是他们有丰富实战经验,因为他们对企业业务和信息化系统熟悉,所以很容易挖掘高质量漏洞。
从白帽子从业时间来看,整个行业还是一个新兴产业,但是也经历了一段时间积累,积累了一些从业时间比较长的白帽子,随着时间推移,每年会有大量信任进入,同时会有更多信任变成老白帽子,这也代表着咱们这个行业逐步走向成熟。
白帽子并不是都是干网络安全的,而是来自于各行各业,其中学生党居多,这是我们看到年轻白帽子的构成。还有一部分白帽子主要来自于企业,但不全是来自于安全企业,也相当部分来自于政府机构、通信行业和金融相关的行业,他们大部分是这些行业的信息化专家和网络安全人员,最后剩下这部分白帽子主要来自于网络安全企业,他们从业一年左右基本从事漏洞挖掘相关工作。
除了渗透测试工程师在做白帽子,还有一些非安全岗位的人在做白帽子,比如前端工程师、安全运维工程师、测试工程师、开发工程师,甚至还有一些不做技术类工作的人员也在从事白帽相关工作。我们发现有研发和测试功底白帽子更容易挖出高质量漏洞,简单来说不是专业的人也能干专业的事。
我们发现上了班的白帽子,其实很大一部分在做兼职白帽子,他们可能有正式工作,兼职白帽子只是为了赚外快,有52.4白帽子以奖金为主的纯职白帽子,还有24.1的白帽子不固定工作性质。今年信息测试安全员作为一种职业有了等级和职业坚定要求,因此在未来白帽子可能会成为一种正式职业,出现在大众视野里。
通过漏洞或参加这种实战攻防演习获得奖金是白帽子的主要收入,白帽子人均奖金逐年提升,高奖金白帽子人数也在提升,其中奖金收入超过10万元的白帽子约占17%,约0.4%的白帽子年均收入超过百万元。补天平台运营8年,累计超过300个奖金收入超过百万的白帽大亨,尤其近2年,原因是国家越来越重视网络安全,企业和单位越来越重视自身产品和网络安全漏洞,愿意提供高额奖金。
挖洞能力是白帽子的核心能力,《报告》显示,国内白帽子多次向多个平台提交安全漏洞,其中对比2018年和2021年数据,大部分白帽子人均提供有效漏洞数都在30个以下,只有极少白帽子每年人均提交漏洞数300个,堪称“超级挖掘机”。几年漏洞遍地都是,一个0day出来之后,大家开一个扫描器可以到各个平台刷洞,到了今天对于很多白帽子而言,遍地是洞的时代基本过去了,洞越来越难挖,对人的技能水平要求也越来越高,一句概括就是“话粗放要转向高质量发展”。
随着白帽子持续不断持续为国家做贡献,社会也越来越认同白帽子价值。白帽子是值得骄傲的支应,因此从2018年和2021年数据对比中我们可以看到,越来越多家人及亲朋好友,逐渐理解支持白帽子,因为漏洞奖金越来越高,白帽子也可以选择将漏洞挖掘作为全职岗位,养家糊口不成问题。
随着社会对白帽子的认可,白帽子群体也存在很大人才缺口。
网络安全人才招聘人数每月大幅度增长,但是目前每年网络安全相关的毕业生仅2万多人,中国在这方面的缺口高达50万人,尤其是有实战能力的符合型人才,更是非常紧缺。原来白帽子需求只是掌握一些基础安全工具等等就行了,但是随着企业安全能力提高和需求不断提升,对于能力不断提升,需要掌握一些系统漏洞,漏洞挖掘与防护利用,内网渗透等多元化能力。
发现漏洞后不同的白帽子可能会有不同的选择。《报告》显示,国内第三方漏洞响应平台是白帽子提交漏洞的首选平台,占比达40.5%,约有17.6%的白帽子会向企业自建SRC,或者企业官方渠道提交漏洞。《报告》显示,白帽子在漏洞平台选择最关注两个因素:奖金金额和安全性及法律风险。这两个因素重要性不相上下,另外平台本身知名度与可信度可能是白帽子参考的一个重要考量。
白帽子是一群年轻且充满好奇心的群体,总在关注新兴的事物。数字经济时代新基建带来信息化提升,也带来更加复杂和多元化问题,2018年我们看到热门的研究方向集中在IoT、工控、车联网等安全领域,但是今天补天议题以及涉及到太空安全、生物安全、虚拟货币等新兴前沿方向,年轻多元化是时代赋予白帽子的标签,形成一种潮流。数智化多元化安全需求成为行业发展的前进引擎。
同时,我们也看到国家出台了一系列的政策法规《数据安全法》《安全保护条例》等,充分展示了国家对网络安全的重视,同时我们还看到最近工信部发布的《网络安全漏洞管理规定》与白帽子人才紧密相关,从国家层面第一次对白帽行为提出了明文要求,也强调了白帽子是我们国家网络安全不可忽视的基础力量,鼓励动员安全生态圈内各个企业合法合规开展白帽相关业务,同时探讨建立完善白帽人才培养机制,鼓励白帽子为行业发展和网络安全发展做出贡献。
说到最后,如果一句话概括白帽子的现状就是“天时地利人和”。
天时:指国家层面的政策支持;
地利:是指企业对漏洞越来越重视,愿意提供高额奖金来做激励;
人和:指越来越新鲜血液加入到我们白帽子这个群体。
相信天时地利人和将将开启白帽子的新篇章,我们期待与更多白帽子的一起同行,发现更多更新、更潮的安全问题,让我们一起潮前看。
《网络空间安全》刊登论文咨询:QQ 1466817369