中国实战化白帽人才能力白皮书 2022.11 补天漏洞响应平台奇安信安服团队 奇安信行业安全研究中心 本次白皮书对“实战化白帽人才能力图谱”进行了扩展,将白帽子的实战化能力分为3个级别、14个大类、87项具体能力。3个级别分别为基础能力、进阶能力和高阶能力,其学习和掌握难度依次提升。 近两年,我国白帽人才群体的实战化能力已经得到了普遍的、显著的提升。各项能力总体的平均掌握率已经从38.8%提升至45.4%。特别是各项基础能力和进阶能力的平均掌握率都有大幅的提升,分别达到74.2%和55.0%。 与基础能力和进阶能力相对的是,近两年,白帽人才对各项高阶能力的平均掌握率不仅没有提升,还有小幅下降,仅为27.3%。平均每四个白帽子中,才有约1个人掌握高阶实战化能力。高水平的实战化白帽人才,在当前和未来相当长的一段时间里,仍将是比较稀缺的。 在高阶能力的各个类别中,高级安全工具的平均掌握率较2020年有显著的上升,从23.9%增长到29.2%。实际上,从高级安全工具入手学习高阶能力是白帽人才很好的选择。 从具体的能力类型来看,掌握进阶能力中的Web开发与编程能力,高级能力中的系统漏洞利用与防护、系统层漏洞挖掘、高级安全工具、编写PoC或EXP等高级利用、CPU指令集等能力的白帽人才最为稀缺。特别的,白帽人才普遍不具备Web开发与编程能力,这很有可能成为我国实战化白帽人才能力长远发展的重要瓶颈。 全国性、区域性、行业性的实战攻防演练活动的持续开展,对于促进实战化白帽人才能力提升意义重大。特别是白帽人才在Web漏洞挖掘能力、社工钓鱼能力等方面的平均掌握率大幅提升,主要是得益于实战攻防演习的锻炼。 白帽人才最为稀缺的单项实战化能力是针对iOS和macOS系统编写PoC或EXP的能力。掌握这两项能力的白帽子仅有3.4%和2.6%。也就是说,平均每30~40个白帽子中,才有一名白帽子具备编写iOS或macOS操作系统漏洞验证代码或漏洞利用代码的能力。 鱼叉邮件一直是攻击成本最低、攻击成功率最高的攻击方法之一。但在实战攻防演习工作中,仅有约三分之一的白帽子使用过鱼叉邮件,这与鱼叉邮件在实战攻防过程中的实际地位是不相配的,鱼叉邮件也并未得到白帽人才的充分重视。这一方面是由于鱼叉邮件的使用需要一定的前期情报收集门槛,另一方面也是由于很多实战攻防演习项目禁止使用鱼叉邮件。不过,这种“禁止”正在变得越来越少。 内网渗透是非常重要的实战化能力,但内网渗透能力的平均掌握率不足50%,在实际演习过程中担任过内网渗透人员角色的白帽子更是不足三成。这与演习之外,缺乏合法合规的内网渗透实战及教学环境有很大关系。 2022年北京冬奥会和冬残奥会实现了网络安全“零事故”的历史性突破。涌现出大量成功经验,形成了网络安全“中国方案”。“冬奥网络安全卫士”模式正是“中国方案”的重要组成部分。冬奥“零事故”,是网络安全“中国方案”的胜利,也是“冬奥网络安全卫士”模式的胜利。 本次白皮书对“实战化白帽人才能力图谱”进行了扩展,将白帽子的实战化能力分为3个级别、14个大类、87项具体能力。 基础能力中2大类20项具体技能的平均掌握率从67.0%提升至74.2%,提升了7.2个百分点;进阶能力4大类23项具体技能的平均掌握率从40.3%提升至55.0%,提升了 14.7个百分点;而高阶能力的平均掌握率则基本上没有明显的变化,8大类44项具体技能的平均掌握率从28.3%小幅下降至27.3%,微降1.0个百分点。 在基础能力中,Web漏洞利用能力的平均掌握率从57.0%,大幅增长到74.5%;基础安全工具的平均掌握率从74.5%微降至73.6%。目前,两大类实战化基础能力的平均掌握率十分接近,人才储备均相对充实。 在高阶能力中,掌握各类技能的人才分布情况变化不大。尽管内网渗透能力的平均掌握率,从59.7%下降48.5%,但仍然是白帽人才平均掌握率最高的实战化高阶能力类别。其次是身份隐藏能力,5项技能的平均掌握率已达47.2%。系统漏洞利用与防护、编写PoC或EXP等高级利用的平均掌握率最低,分别仅为12.1%和11.9%。 关键字:实战化、白帽子、攻防演习、能力图谱、漏洞挖掘、社工钓鱼、内网渗透 研究背景1 第一章实战化白帽人才能力变化趋势3 第二章实战化白帽人才能力现状分析6 一、基础能力6 二、进阶能力7 三、高阶能力10 第三章总结16 第四章冬奥网络安全卫士助力实现零事故17 附录1实战化白帽人才能力各项技能详解20 一、基础能力20 二、进阶能力23 三、高阶能力26 附录2补天漏洞响应平台35 附录3奇安信蓝队能力及攻防实践36 研究背景 实战化能力,是网络安全实战化发展对白帽子攻防能力的必然要求。相比于单纯的挖洞能力,白帽子的实战化能力有以下几方面的特点: 1)攻防过程针对的是业务系统,而并非单纯的IT系统。 2)挖洞只是攻防过程中的辅助,攻击必须要有实际效果。 3)针对系统的攻击是一个过程,技术之外允许使用社工。 4)实战在动态攻防环境中进行,目标系统有人运行值守。 2021年1月,补天漏洞响应平台、奇安信安服团队、奇安信行业安全研究中心首次联合发布的《中国实战化白帽人才能力白皮书(2020)》(简称:《白皮书(2020)》)。《白皮书 (2020》结合1900余个目标系统的攻防实战经验,首次提出了实战化白帽人才能力的概念,并给出了“实战化白帽人才能力图谱”。 图谱详细列举了白帽人才在实战化过程中,所需要掌握的3个级别、14个大类、85项具体能力。白皮书还对每一项技能的含义与要求,进行了详细的说明。以图谱为基础,我们对645名白帽子进行了实战化能力调研。 《白皮书(2020》对实战化白帽人才的能力培养给出了明确的指导方向和市场分析,引起了大量用人单位、教育机构、特别是白帽子群体的高度关注和认可。 2022年7月,补天漏洞响应平台再次对平台上活跃的581名白帽子进行了实战化能力调研,并以此次调研为基础,撰写了《中国实战化白帽人才能力白皮书(2022)》(简称:《白皮书(2022)》),希望能够对提升国内白帽子群体的整体能力水平,促进安全行业的实战化白帽子人才发展及能力培养工作有所帮助。 特别说明,与《白皮书(2020》相比,《白皮书(2022)》对“实战化白帽人才能力图谱”进行了扩展,在高阶能力的“身份隐藏”能力中补充了利用代理服务器能力;在高阶能力的“编写PoC或EXP等高级利用”能力中,补充了在Windows操作系统上找到漏洞并利用漏洞编写PoC或EXP的能力;从而将图谱扩展为为3个级别、14个大类、87项具体能力。如下图所示。 第一章实战化白帽人才能力变化趋势 自2021年1月,《中国实战化白帽人才能力白皮书(2020)》发布以来,我国白帽人才群体的实战化能力已经得到了普遍的、显著的提升。最新调研成果显示,在“实战化白帽人才能力图谱”所关注的3个级别、14大类、87项具体的实战化能力中,各项能力总体的平均掌握率已经从2020年末的38.8%,提升至2022年7月的45.4%,提升了6.6个百分点。 其中,基础能力中2大类20项具体能力的平均掌握率从67.0%提升至74.2%,提升了 7.2个百分点;进阶能力4大类23项具体能力的平均掌握率从40.3%提升至55.0%,提升了 14.7个百分点,是三个级别的能力中增长幅度最大的;而高阶能力的平均掌握率则基本上没有明显的变化,8大类44项具体能力的平均掌握率从28.3%小幅下降至27.3%,微降1.0个百分点。 在本次白皮书中,单项能力的平均掌握率,是指在受调研的白帽子群体中,掌握某项具体的实战化能力的白帽子人数,占所有受调研白帽子总人数的比例。而多项能力的总体平均掌握率,则是各单项能力的平均掌握率的总平均值,具体计算方法如下: 单项能力的平均掌握率= 掌握该项能力的白帽子人数 受调研的白帽群体总人数 多项能力总体平均掌握率= � 1 ·∑第�项能力的平均掌握率 � 𝑛=1 总体而言,基础能力、进阶能力和高阶能力的平均掌握率,也就是掌握相关能力的人数是递减的。越是高级别的能力,人才越是稀缺。以本次白皮书的最新调研成果为例(参见上图),到2022年7月,掌握基础能力的人比掌握进阶能力的人多了近20个百分点(19,2%),而掌握进阶能力的人又比掌握高阶能力的人多了近30个百分点(27.7%)。 同时,相比于2020年末,到2022年7月,拥有高阶能力的实战化白帽人才的比例,不 但没有显著的增长,还有小幅下降。这也进一步说明,高水平的实战化白帽人才,在当前和未来相当长的一段时间里,仍将是比较稀缺的。 下图给出的是两类基础能力平均掌握率的变化趋势。可以看出,Web漏洞利用能力的平均掌握率从57.0%,大幅增长到74.5%;而基础安全工具的平均掌握率则变化不大,从74.5%微降至73.6%。目前,两大类实战化基础能力的平均掌握率已经十分接近,人才储备均相对充实。 下图给出的是四类进阶能力的平均掌握率变化趋势。可以看出,Web漏洞挖掘和社工钓鱼这两类技能的人才的储备量和增长速度都相对较多。其中,Web漏洞挖掘能力的平均掌握率提升幅度最大,从39.9%大幅提升至64.8%,一跃成为平均掌握率最高的进阶能力类别。社工钓鱼能力的平均掌握率从48.8%提升至58.5%。而掌握Web开发与编写能力的白帽人才仍然是相对稀缺的,平均掌握率在四类进阶能力中最低,仅为31.1%。 此外,受当时的调研条件限制,编写PoC与EXP等利用能力的平均掌握率数据,在编写 《白皮书(2020》未能获得。 下图给出的是8类高阶能力的平均掌握率变化趋势。总体来看,在高阶能力中,掌握各 类能力的人才分布情况近两年来变化不大。尽管各项内网渗透能力的平均掌握率,从2020年末的59.7%下降到2022年7月的48.5%,但仍然是白帽人才平均掌握率最高的实战化高阶能力类别。其次是身份隐藏能力,5项技能的平均掌握率已达47.2%。在高阶能力中,系统漏洞利用与防护、编写PoC或EXP等高级利用的平均掌握率最低,分别仅为12.1%和11.9%。也就是说,平均大约每8个白帽子,才有1名白帽子掌握这两类实战化能力。 值得注意的是,在各类高阶能力中,只有高级安全工具的平均掌握率较2020年有显著的上升,从23.9%增长到29.2%,增长了5.3个百分点。从高级安全工具入手学习高阶能力是白帽人才很好的选择。 第二章实战化白帽人才能力现状分析 2022年7月,根据“实战化白帽人才能力图谱”,补天漏洞响应平台针对平台上活跃的 581名白帽子进行了实战化能力调研,本章将给出具体的调研结果和分析。 一、基础能力 基础能力是比较初级的白帽人才实战化能力,学习和掌握相对容易,通常也是其他各类高级实战化能力学习和实践的基础。基础能力主要包括Web漏洞利用与基础安全工具使用两大类。 (一)Web漏洞利用 由于Web系统是绝大多数机构业务系统或对外服务系统的构建形式,所以Web漏洞利用也是最常见,最基础的网络攻击形式之一。在实战攻防演习中,白帽子最为经常利用的Web漏洞形式包括:命令执行、SQL注入、代码执行、逻辑漏洞、解析漏洞、信息泄露、XSS、配置错误、弱口令、反序列化、文件上传、权限绕过等。 调研显示,在所有的Web漏洞利用能力中,SQL注入和弱口令的平均掌握率最高:在实战中,91.6%的白帽子发现并利用过SQL注入漏洞,91.4%的白帽子发现并利用过弱口令漏洞。其他各类Web漏洞的平均掌握率都没有超过90%。利用过SQL注入和弱口令漏洞的白帽子如此诸多,主要原因是这两类漏洞在实战化环境中最为常见。相比之下,平均掌握率最低的三种漏洞分别是反序列化漏洞、解析漏洞和配置错误,只有不到60%的白帽子在实战中发现并利用过这三种漏洞。具体调研结果如下图。 (二)基础安全工具 基础安全工具是指安全分析或攻防实战过程中,经常