编译:代码卫士
欧洲漏洞奖励和敏捷渗透测试平台Intigriti 发布《2022年道德黑客洞察报告》。如下是对报告内容的节选编译。
01
报告概览
在2022年,成为道德黑客是全球信息安全专业人员中间非常热门的职业选项。该平台在对1759名安全研究人员的调查中发现,95%的受访人员希望未来投入更多时间进行猎洞,66%的受访人员考虑将白帽黑客作为全职工作。
当下,网络安全技术人才存在缺口,企业在打人才战。令人担心的是,这些研究结果显示,尽管网络安全威胁不断增多,雇主并未满足这一代专业人员提升技能和知识的需求。例如,从信息安全行业来看,50%的受访者表示通过猎洞来了解最相关、最有用的知识。
然而,这些受访者并非刚入行安全测试。在猎洞方面,65%的受访者表示具有实际的渗透测试经验,73%的受访者表示参与了漏洞披露策略 (VDP)。在提到传统的安全测试技术问题时,受访者的回答并无大差异,90%的受访者同意或强烈认为,“渗透测试无法给出组织机构全年都是安全的持续保证”。
02
快速增长的漏洞奖励社区
在2021年5月1日至2022年4月1日期间,注册 Intigriti 的安全研究人员数量增长了42%,平均每个月提交的漏洞数量也增长了43%,在该平台活跃的漏洞奖励计划也增长了48%,而这也是23%的道德黑客在疫情开始后希望投入更多时间进行猎洞的关键驱动力。
03
道德黑客住哪里?哪国的黑客表现最佳?
报告指出,研究人员主要的居住地依次是印度、美国、比利时、巴西、英国、德国、荷兰、法国、土耳其和巴基斯坦。
表现最亮眼的研究人员来自比利时、荷兰、法国、印度、美国、德国、土耳其、芬兰、英国和越南。
虽然疫情后,全球很多组织机构都“回归正常”,但远程办公文化仍然并未消散。Owl Labs 的调查发现,约62%的年龄为22到65岁的员工希望至少偶尔可以远程办公。猎洞工作提供了这样的机会。
04
道德黑客是谁?
超过一半 (54%) 的道德黑客是在职全职员工,32%是学生。因此86%的社区人员自称为兼职漏洞猎人。即便如此,仅有五分之一多一点(22%)的人获得的漏洞奖励超过自己总收入的四分之一。
从他们所从事的行业来看,很大比例(65%)的人表示具有真正的渗透测试经历(目前或曾经是渗透测试人员)。PayScale 统计称,英国渗透测试人员的平均基本工资是38624英镑(约50903美元),因此25%的额外收入对于漏洞猎人而言是一笔不小的数目。
该平台的黑客年龄集中在21至29岁之间。大部分受访者(73%)的年龄低于30岁,说明Intigriti 平台仍然是一个年轻的社区。不过52%的30岁以上的黑客表示疫情爆发后在猎洞方面投入了更多时间。虽然数字化原住民是漏洞奖励的早期拥抱者,但上一代黑客迅速紧追其后。
05
女性黑客占比
众所周知,女性技术人才存在缺口。该平台指出95%的猎洞研究员是男性,不过该平台正通过影响下一代女性安全人才等措施改变这一现状。
06
猎洞成热门职业
报告指出,90%的受访人员表示想要投入更多的时间进行猎洞,三分之二 (66%) 的受访人员甚至考虑将漏洞猎人作为自己的全职工作。30岁以下人群的意愿更为强烈:超过四分之三 (77%) 的受访人员表示考虑全职。
当全职漏洞猎人的最大吸引力是金钱 (48%),其次是自己当老板 (45%) 和自己安排工作 (45%)、工作有意思(41%)、助力企业更安全 (36%)、可以远程办公(29%)、可以将全球任意公司当作猎洞目标(23%)、胜过黑帽黑客 (10%) 和单独工作 (10%)。
96%的受访人员通过口口相传的方式说服自己的朋友从事道德黑客工作,这种推荐方式仍然是不断扩大的道德黑客社区的最大动力。换句话说,这些专业人员将它视作可持续的安全测试解决方案和职业选择。
疫情促使更多的信息安全人才投入漏洞奖励平台。他们的目的主要是提升猎洞技能 (74%)和赚更多的钱 (53%)。
如何提升网络安全技能?通过猎洞提升通用安全技能和知识名列第二。50%的受访者将猎洞选为第一选项,这一比例大大高于通过工作提升。获取和安全最相关和最有用信息的资源是什么?78%的受访者选择了猎洞,而只有8%的受访者表示在正规的学校教育环境中了解得更多。
64%的受访者在平台上发现了此前未发现的漏洞。在这一群体中,三分之一 (33%)的受访者认为传统的渗透测试方式无法发现这些漏洞。90%的受访者表示认同或强烈认同“渗透测试无法给出组织机构全年都是安全的持续保证”的说法。获得第一手的黑客经验为道德黑客带来机会。例如,49%的受访人员表示他们的猎洞经验帮助自己获得雇佣机会,44%的受访者表示目前虽然尚未借此获得工作机会但未来会使用这一技能求职。
07
渗透测试人员眼里的安全测试方法
渗透测试人员如何看待渗透测试?
65%的受访者具有猎洞经验和直接的渗透测试经验。在这一群体中,88%的人表示认同或强烈认同“渗透测试无法给出组织机构全年都是安全的持续保证”的说法。仅有14%的渗透测试人员认为渗透测试将能够找到和在猎洞过程中发现的同一漏洞类型。
说到渗透测试的优势,79%的受访者认为“投入时间得到报酬”是最大优势,43%的人喜欢投入时间是固定的这一点。
渗透测试人员眼中的猎洞
在拥有渗透测试的人群中,95%的人表示未来将投入更多时间参加漏洞奖励计划,大约三分之二 (65%)的人将考虑把参与漏洞奖励计划作为全职工作。对于未考虑将猎洞作为全职工作的人群,70%的人表示原因是没有经济安全感。
08
漏洞奖励平台以外的漏洞报送偏好和习惯
60%的受访者表示参与漏洞报送的原因是为了实践和学习,50%的人表示是出于责任感。四分之一的受访者表示,因为没有奖励因此不会将发现的漏洞通过VDP报送。
研究人员不选择VDP报送漏洞的原因是:认为黑客应当为此得到奖励(53%)、花费的时间太多(33%)、单纯偏好参加漏洞奖励计划(33%)、无法保证漏洞会被修复(32%)以及希望把时间留给有奖励的漏洞计划(27%)。
09
自管理计划和漏洞奖励平台对比
报告还从多个方面对比了自管理漏洞奖励计划和漏洞奖励平台之间的区别,概览如下:
对比项 |
自管理计划 |
漏洞奖励平台 |
计划参与方式 |
反应式和被动式参与 无恶意道德黑客通知企业潜在的安全问题。 |
反应式和被动式参与 道德黑客受金钱奖励参与漏洞奖励计划。 |
验证漏洞报告 |
自有 没有足够的人力,处理无效漏洞报告会很耗时间。 |
分类管理 分类团队在将漏洞升级到企业之前,提供一层质量保证。 |
问题和评论 |
内部处理 由负责修复漏洞的内部团队管理。 |
分类处理 平台内部进行沟通。分类部门是客户和研究人员之间的沟通桥梁。 |
付款处理 |
手动 属于财务部门的职责。为了和研究员维护良好关系,及时打款很重要。 |
平台自动化付款 组织机构接受漏洞报告后,自动处理打款。付款和行政事务由平台负责。 |
法律框架 |
负责任披露 研究人员通过VDP进行负责任披露。 |
平台协议 研究人员必须同意一定的条款,为企业和研究人员同时提供了清晰的法律框架。 |
尽管道德黑客希望投入更多的猎洞时间,但超过四分之一的受访人员 (26%) 表示除了漏洞奖励计划外,并未和企业进行过合作,而23%的受访人员表示不会和企业以其它方式合作。
为何道德黑客避开自管理漏洞奖励计划?57%的受访人员表示因为缺少法律框架,42%的人表示自管理计划的流程不如漏洞奖励平台好,其它原因还包括支持更少和缺少漏洞分类部门(各占比41%)。
更多内容,可见:
https://7473434.fs1.hubspotusercontent-na1.net/hubfs/7473434/NEW%20Ebooks%20(need%20relink%20+%20delete%20old%20files)/The-Ethical-Hacker-Insights-Report-2022/Intigriti_The-Ethical-Hacker-Insights-Report-2022_EN.pdf
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
Intigriti 平台推出按小时计费的漏洞奖励新模式
聊聊猎洞的残酷真相:一腔孤勇,为爱发电
我要上 Pwn2Own
4年猎洞赚百万美金:谈谈我的入门和成功经验
猎洞20年老兵的经验之谈
追风猎洞只能喝西北风吗?
高中生,一年,从 0 到 0day 的秘密
HackerOne 发布2021年《黑客驱动安全报告:行业洞察》
HackerOne 发布《2021年黑客报告》:黑客的动力、发展和未来
HackerOne《2020年黑客驱动安全报告》:中国白帽子的收入增长幅度最大
HackerOne《2019年黑客驱动安全》报告来了:看完你还坚持挖吗?
原文链接
https://7473434.fs1.hubspotusercontent-na1.net/hubfs/7473434/NEW%20Ebooks%20(need%20relink%20+%20delete%20old%20files)/The-Ethical-Hacker-Insights-Report-2022/Intigriti_The-Ethical-Hacker-Insights-Report-2022_EN.pdf
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。