奇安信：2022中国实战化白帽人才能力白皮书（40页）.pdf

1、中国实战化白帽人才能力白皮书 2022.11 补天漏洞响应平台 奇安信安服团队 奇安信行业安全研究中心 主要观点 本次白皮书对“实战化白帽人才能力图谱”进行了扩展，将白帽子的实战化能力分为 3个级别、14 个大类、87 项具体能力。3 个级别分别为基础能力、进阶能力和高阶能力，其学习和掌握难度依次提升。近两年，我国白帽人才群体的实战化能力已经得到了普遍的、显著的提升。各项能力总体的平均掌握率已经从 38.8%提升至 45.4%。特别是各项基础能力和进阶能力的平均掌握率都有大幅的提升，分别达到 74.2%和 55.0%。与基础能力和进阶能力相对的是，近两年，白帽人才对各项高阶能力的平均掌握率不仅

2、没有提升，还有小幅下降，仅为 27.3%。平均每四个白帽子中，才有约 1 个人掌握高阶实战化能力。高水平的实战化白帽人才，在当前和未来相当长的一段时间里，仍将是比较稀缺的。在高阶能力的各个类别中，高级安全工具的平均掌握率较2020年有显著的上升，从23.9%增长到 29.2%。实际上，从高级安全工具入手学习高阶能力是白帽人才很好的选择。从具体的能力类型来看，掌握进阶能力中的 Web 开发与编程能力，高级能力中的系统漏洞利用与防护、系统层漏洞挖掘、高级安全工具、编写 PoC 或 EXP 等高级利用、CPU 指令集等能力的白帽人才最为稀缺。特别的，白帽人才普遍不具备 Web 开发与编程能力，这很有

3、可能成为我国实战化白帽人才能力长远发展的重要瓶颈。全国性、区域性、行业性的实战攻防演练活动的持续开展，对于促进实战化白帽人才能力提升意义重大。特别是白帽人才在 Web 漏洞挖掘能力、社工钓鱼能力等方面的平均掌握率大幅提升，主要是得益于实战攻防演习的锻炼。白帽人才最为稀缺的单项实战化能力是针对 iOS 和 macOS 系统编写 PoC 或 EXP 的能力。掌握这两项能力的白帽子仅有 3.4%和 2.6%。也就是说，平均每 3040 个白帽子中，才有一名白帽子具备编写 iOS 或 macOS 操作系统漏洞验证代码或漏洞利用代码的能力。鱼叉邮件一直是攻击成本最低、攻击成功率最高的攻击方法之一。但在实

4、战攻防演习工作中，仅有约三分之一的白帽子使用过鱼叉邮件，这与鱼叉邮件在实战攻防过程中的实际地位是不相配的，鱼叉邮件也并未得到白帽人才的充分重视。这一方面是由于鱼叉邮件的使用需要一定的前期情报收集门槛，另一方面也是由于很多实战攻防演习项目禁止使用鱼叉邮件。不过，这种“禁止”正在变得越来越少。内网渗透是非常重要的实战化能力，但内网渗透能力的平均掌握率不足 50%，在实际演习过程中担任过内网渗透人员角色的白帽子更是不足三成。这与演习之外，缺乏合法合规的内网渗透实战及教学环境有很大关系。2022 年北京冬奥会和冬残奥会实现了网络安全“零事故”的历史性突破。涌现出大量成功经验，形成了网络安全“中国方案”

5、。“冬奥网络安全卫士”模式正是“中国方案”的重要组成部分。冬奥“零事故”，是网络安全“中国方案”的胜利，也是“冬奥网络安全卫士”模式的胜利。摘 要 本次白皮书对“实战化白帽人才能力图谱”进行了扩展，将白帽子的实战化能力分为 3个级别、14 个大类、87 项具体能力。基础能力中 2 大类 20 项具体技能的平均掌握率从 67.0%提升至 74.2%，提升了 7.2 个百分点；进阶能力 4 大类 23 项具体技能的平均掌握率从 40.3%提升至 55.0%，提升了14.7 个百分点；而高阶能力的平均掌握率则基本上没有明显的变化，8 大类 44 项具体技能的平均掌握率从 28.3%小幅下降至 27.

6、3%，微降 1.0 个百分点。在基础能力中，Web 漏洞利用能力的平均掌握率从 57.0%，大幅增长到 74.5%；基础安全工具的平均掌握率从 74.5%微降至 73.6%。目前，两大类实战化基础能力的平均掌握率十分接近，人才储备均相对充实。在高阶能力中，掌握各类技能的人才分布情况变化不大。尽管内网渗透能力的平均掌握率，从 59.7%下降 48.5%，但仍然是白帽人才平均掌握率最高的实战化高阶能力类别。其次是身份隐藏能力，5 项技能的平均掌握率已达 47.2%。系统漏洞利用与防护、编写PoC 或 EXP 等高级利用的平均掌握率最低，分别仅为 12.1%和 11.9%。关键字关键字：实战化、白帽