2023中国实战化白帽人才能力白皮书

中国实战化白帽人才能力白皮书 2022.11 补天漏洞响应平台奇安信安服团队 奇安信行业安全研究中心 实战化白帽人才的能力正在以50%回归率为标准结构性调整。通过报告数据可见，若一类能力的人才平均掌握率显著高于50%，那么人才平均掌握率就会随时间变化呈现下降趋势。反之若显著低于50%，则人才平均掌握率会随时间变化呈现显著或小幅的上升趋势。 实战化白帽人才队伍能力逐渐全面、均衡、优化发展。相当一部分新入行的白帽子，不愿意在已经很卷的成熟市场领域继续深耕，如Web漏洞利用（基础）、Web漏洞挖掘（进阶）等领域内竞争，而是转向人才相对更加稀缺的高级安全工具（高阶）、编写PoC或EXP（高阶）、掌握CPU指令集（高阶）等方面能力的学习。 未来相当长一段时间，高水平实战化白帽人才仍将比较稀缺。在高阶能力的各个类别中，实战化白帽人才系统层漏洞利用与防护的掌握能力仍旧最低。仅为14.1%。也就是说，平均每7个白帽子，才有一名白帽子掌握系统层漏洞利用与防护的实战化能力。 白帽人才最为稀缺的单项实战化能力是针对iOS和macOS系统编写PoC或EXP的能力。掌握这两项能力的白帽子仅有6.6%和3.5%。也就是说，平均每100个白帽子中，最多才有5个白帽子具备编写iOS或macOS操作系统漏洞验证代码或漏洞利用代码的能力。 从高级安全工具入手学习高阶能力是白帽人才很好的选择。在高阶能力的各个类别中，高级安全工具的平均掌握率较2020年有显著的上升，从23.9%增长到29.2%。 最新调研成果显示，在“实战化白帽人才能力图谱”所关注的3个级别、14大类、87项具体的实战化能力中，各项能力总体的平均掌握率已经从2020年末的38.8%，提升至2023年8月的41.4%，提升了2.6个百分点。但与2022年7月的45.5%比，降低了4个百分点。 基础能力的2大类20项具体能力的平均掌握率从74.2%下降至66.3%，降低了7.9个百分点；进阶能力4大类23项具体能力的平均掌握率从55.0%降低至43.5%，下降了 11.5个百分点，而高阶能力的平均掌握率从27.3%增长至28.7%，增加了1.4个百分点，8大类44项具体能力的平均掌握率是三个级别的能力中唯一有所增长的方向。 Web漏洞利用能力的平均掌握率从57.0%，大幅增长到74.5%，而后又平稳恢复至65.8%；而基础安全工具的平均掌握率则变化不大，从74.5%持续下降至67.1%。目前，两大类实战化基础能力的平均掌握率已经十分接近，人才储备均相对充实。 Web漏洞挖掘和社工钓鱼这两类技能的人才的储备量近两年均超过半数。其中，Web漏洞挖掘能力的平均掌握率为56.7%，社工钓鱼能力的平均掌握率为52.1%。 内网渗透能力的平均掌握率，从2020年末的59.7%下降到2023年8月的45.9%，但仍然是白帽人才平均掌握率最高的实战化高阶能力类别。其次是身份隐藏能力，2023年白帽人才身份隐藏能力的平均掌握率为44.7%。 调研显示，BurpSuite的平均掌握率最高，为92.5%，是2023年度实战化白帽人才中唯一掌握率超过9成的基础安全工具，算得上是最基础的入门级安全工具。其次为Sqlmap，平均掌握率为82.4%，排名第二。而AppScan和CobaltStrike的平均掌握率均不足50%。也就是说，一半以上的白帽子不会使用CobaltStrike和AppScan两款安全工具。 调研显示，针对苹果公司的操作系统，有PoC或EXP编写能力的白帽子非常“稀有”，iOS6.6%、macOS3.5%。 关键字：实战化、白帽子、攻防演习、能力图谱、漏洞挖掘、 研究背景1 第一章实战化白帽人才能力变化趋势3 第二章实战化白帽人才能力现状分析7 一、基础能力7 二、进阶能力8 三、高阶能力11 第三章总结18 附录1实战化白帽人才能力各项技能详解19 一、基础能力19 二、进阶能力22 三、高阶能力25 附录2补天漏洞响应平台35 附录3奇安信蓝队能力及攻防实践错误!未定义书签。 研究背景 实战化能力，是网络安全实战化发展对白帽子攻防能力的必然要求。相比于单纯的挖洞能力，白帽子的实战化能力有以下几方面的特点： 1）攻防过程针对的是业务系统，而并非单纯的IT系统。 2）挖洞只是攻防过程中的辅助，攻击必须要有实际效果。 3）针对系统的攻击是一个过程，技术之外允许使用社工。 4）实战在动态攻防环境中进行，目标系统有人运行值守。 2021年1月，补天漏洞响应平台、奇安信安服团队、奇安信行业安全研究中心首次联合发布的《中国实战化白帽人才能力白皮书（2020）》（简称：《白皮书（2020）》）。《白皮书 （2020》结合1900余个目标系统的攻防实战经验，首次提出了实战化白帽人才能力的概念，并给出了“实战化白帽人才能力图谱”。 图谱详细列举了白帽人才在实战化过程中，所需要掌握的3个级别、14个大类、87项具体能力。白皮书还对每一项技能的含义与要求，进行了详细的说明。以图谱为基础，我们对518名白帽子进行了实战化能力调研。 《白皮书（2020》对实战化白帽人才的能力培养给出了明确的指导方向和市场分析，引起了大量用人单位、教育机构、特别是白帽子群体的高度关注和认可。 2023年8月，补天漏洞响应平台再次对平台上活跃的518名白帽子进行了实战化能力调研，并以此次调研为基础，撰写了《中国实战化白帽人才能力白皮书（2023）》（简称：《白皮书（2023）》），希望能够对提升国内白帽子群体的整体能力水平，促进安全行业的实战化白帽子人才发展及能力培养工作有所帮助。 特别说明，《白皮书（2023）》“实战化白帽人才能力图谱”由3个级别、14个大类、87项具体能力集合而成。如下图所示。 第一章实战化白帽人才能力变化趋势 自2021年1月，《中国实战化白帽人才能力白皮书（2020）》发布以来，我国白帽人才群体的实战化能力已经得到了普遍的、显著的提升。最新调研成果显示，在“实战化白帽人才能力图谱”所关注的3个级别、14大类、87项具体的实战化能力中，各项能力总体的平均掌握率已经从2020年末的38.8%，提升至2023年8月的41.4%，提升了2.6个百分点。 但与2022年7月的45.5%比，降低了4个百分点。 其中，基础能力的2大类20项具体能力的平均掌握率从74.2%下降至66.3%，降低了 7.9个百分点；进阶能力4大类23项具体能力的平均掌握率从55.0%降低至43.5%，下降了 11.5个百分点，而高阶能力的平均掌握率从27.3%增长至28.7%，增加了1.4个百分点，8大类44项具体能力的平均掌握率是三个级别的能力中唯一有所增长的方向。 在本次白皮书中，单项能力的平均掌握率，是指在受调研的白帽子群体中，掌握某项具体的实战化能力的白帽子人数，占所有受调研白帽子总人数的比例。而多项能力的总体平均掌握率，则是各单项能力的平均掌握率的总平均值，具体计算方法如下： 单项能力的平均掌握率= 掌握该项能力的白帽子人数 受调研的白帽群体总人数 多项能力总体平均掌握率= � 1 ·∑第�项能力的平均掌握率 � 𝑛=1 通过数据分析，我们惊讶的发现“50%回归率”现象。即表面上看，基础能力人才平均掌握率从74.2%下降到了66.3%，进阶能力从55.0%下降到了43.3%，高阶能力变化不大，总平均掌握率从45.4%下降到41.4%，似乎是人才掌握的能力越来越少了。但详细分析基础能力、进阶能力、高阶能力的细分项变化后，就会发现，对于白帽人才来说，人才对不同能力的平均掌握率的平衡点似乎恰好出现在50%左右。 50%回归率 当一个市场竞争激烈、内卷严重时，人才就会流出，同时也并不会降低这个市场的整体供给能力。反之，如果一个市场人才稀缺，就会不断的有人才涌入这个市场，提升这个领域的整体供给能力。如果一个市场人才供求平衡，那么人才流入和流出的速度都会相差不大。 我们发现，不论是对比三年的总趋势还是对比2022~2023年的变化，也不论一个技能是基础能力、进阶能力还是高阶能力（能力级别只代表能力学习的难度，不代表人才的稀缺程度），一个显著的共同现象就是： 1、如果一类能力的人才平均掌握率显著高于50%，那么人才平均掌握率就会随时间变化呈现显著的下降趋势 2、如果一类能力的人才平均掌握率显著低于50%，那么人才平均掌握率就会随时间变化呈现显著的或小幅的上升趋势 3、如果一类能力的人才平均掌握率接近于50%，那么人才平均掌握率就会随时间变化呈现小幅波动态势 所以说，白帽人才的能力平均掌握率并不是简单的下降了，而是实在的结构性调整。50%回归率的本质，是市场对人才竞争的调节作用。相当一部分新入行的白帽子，不愿意在已经很卷的成熟市场领域内竞争，如Web漏洞利用（基础能力）、Web漏洞挖掘（进阶能力）等，而是转向人才相对更加稀缺的高级安全工具（高阶能力）、编写PoC或EXP（高阶能力）、掌握CPU指令集（高阶能力）等方面能力的学习。（详细分析见下文） 相比基础能力和进阶能力实战化白帽人才选择更加困难的高阶能力，所以才造成了高阶能力平均掌握率的增长幅度没能填补基础能力、进阶能力平均掌握率的下降占比，进而导致安全技能的总体平均掌握率有所下降的情况发生。 综上，我们推断白帽人才能力的建设与发展，不能简单的只看人才掌握技能数量的多少，而是应当积极的促进人才队伍能力结构全面、均衡、优化发展。适当的压缩过剩的低端产能，尽快补足短板，提升进阶能力，特别是高阶能力的平均掌握率，是白帽人才培养的当务之急。而我们的《白皮书》已经给白帽子自学、给有关单位引导培养，指出了具体的、科学的方向。 详细分析来看，相比于2020年末，到2023年8月，虽然拥有高阶能力的实战化白帽人才的比例，有小幅增加，但在整体白帽人才能力掌握上仍旧处于最少。这也进一步说明，高水平的实战化白帽人才，在当前和未来相当长的一段时间里，仍将是比较稀缺的。 下图给出的是两类基础能力平均掌握率的变化趋势。可以看出，Web漏洞利用能力的平均掌握率从57.0%，大幅增长到74.5%，而后又平稳恢复至65.8%；而基础安全工具的平均掌握率则变化不大，从74.5%持续下降至67.1%。目前，两大类实战化基础能力的平均掌握率已经十分接近，人才储备均相对充实。 下图给出的是四类进阶能力的平均掌握率变化趋势。可以看出，Web漏洞挖掘和社工钓鱼这两类技能的人才的储备量近两年均超过半数。其中，Web漏洞挖掘能力的平均掌握率为56.7%，社工钓鱼能力的平均掌握率为52.1%。与此同时Web开发与变成和编写PoC或EXP等利用量类技能也在平稳上升中，其中，编写PoC或EXP等利用能力近两年在平稳上升，由2022年的49.1%稳步突破半数大关上升至50.5%；Web开发与编程能力由2022年的31.1%上升至34.6%，虽然仍旧较少，但与前两年比均有提高。可见白帽人才正在努力完善和全面发展自己的进阶能力。 下图给出的是8类高阶能力的平均掌握率变化趋势。总体来看，在高阶能力中，掌握各类能力的人才分布情况近两年整体略有增加但掌握情况均未达半成。内网渗透能力的平均掌握率，从2020年末的59.7%下降到2023年8月的45.9%，但仍然是白帽人才平均掌握率最高的实战化高阶能力类别。其次是身份隐藏能力，2023年白帽人才身份隐藏能力的平均掌握率为44.7%。而系统层漏洞利用与防护平均掌握率最低，仅为14.1%，也就是说，平均每7个白帽子，才有一名白帽子掌握系统层漏洞利用与防护的实战化能力。 值得注意的是，在各类高阶能力中，高级安全工具的掌握与编写PoC或EXP等高级利用能力近两年均在稳步上涨。其中，高级安全工具的掌握能力从2021年的23.9%，到2022年的29.2%，2023年已稳步上涨至32.8%，编写PoC或EXP等高级利用能力也从2021年的10.9%涨至2023年的16.5