补天应急响应公司发布中国实战化白帽人才能力白皮书

主要观点

• 白皮书结合补天漏洞响应平台白帽培养实践经验及奇安信集团安服团队蓝队攻防实战经验，首次提出了实战化白帽人才能力的基本概念，并系统性地给出了实战化 白帽人才能力图谱。图谱为实战化白帽人才的系统性培养，以及白帽人才的自主学 习，提供了重要的科学参考依据。
• 实战化白帽人才能力，是指在政企机构实际运行的业务系统、生产系统上进行的实 战攻防演习过程中，作为攻击方的白帽子所需要具备各种攻防能力的集合。与传统 的挖洞型白帽人才能力要求不同，实战化能力要求白帽子具备在真实的业务系统上， 综合利用各种技术和非技术手段，进行动态实战攻防的能力。
• 白皮书将实战化白帽人才能力分为 3 个级别、14 大类、85 项具体技能。其中，基 础能力 2 类 20 项、进阶能力 4 类 23 项、高阶能力 8 类 42 项。
• 补天漏洞响应平台针对具有实战攻防演习经验的 645 位高级白帽子的调研显示： 目前国内白帽子人群所掌握的实战化攻防能力，仍主要集中在基础能力方面；而具 备高阶能力的白帽人才则十分稀缺，特别是不同平台程序的分析能力、在系统层漏 洞的挖掘与利用，以及相应的 PoC或 EXP的编写等方面，相关人才更是凤毛麟角。

中国实战化白帽人才能力摘要

• 从行业分布来看，36.3%的白帽子来自于安全企业，34.9%的白帽子仍是学生，7.1%的白帽子来自政府机构事业单位。
• 从年龄分布来看，近半数的白帽子年龄在 22 岁及以下；35.7%的白帽子年龄在 23- 27 岁。从学历来看，本科及以下学历超过 9 成。其中，本科学历占比 36.3%，本科 在读占比 21.9%，还有 24.5%的白帽子为大专学历。
• 从从业时间来看，进入安全行业 1-3 年的白帽子最多，占比 51.2%；其次为拥有 4- 6 年安全从业经验的白帽子，占比 21.2%。
• 本次调研显示，55.8%的白帽子目前仍然处于“无证上岗”的状态。
• 2020年实战化白帽人才基础能力中，平均每个白帽子掌握 4个 Web漏洞利用方式； 会使用 6 个安全工具。
• 2020 年实战化白帽人才进阶能力中，平均每个白帽子掌握 3 个 Web漏洞的挖掘能 力，能够使用 2 种编程语言对 Web开发和编程，更擅长使用社工库与鱼叉邮件进行 社工钓鱼。
• 2020 年实战化白帽人才高阶能力较弱，系统层漏洞利用与防护、系统层漏洞挖掘 以及对不同系统编写 PoC或 EXP等高级利用能力掌握不够，相比之下，多数白帽子 身份隐藏与内网渗透能力掌握较好。约 74.0%的白帽子具有组队参加有关部门组织 的实战攻防演习活动的经验，19.4%的白帽子表示自己能够胜任团队协作中的任意 角色。

关键字：实战化、白帽子、攻防演习、能力图谱、漏洞挖掘、社工钓鱼、内网渗透

中国网络安全人才研究背景

白帽子，在很多人心中的印象就是挖洞高手。但随着网络安全实践工作的持续深入发展， 白帽子已经成为了各项网络安全工作中不可或缺的关键要素。特别是近年来持续深入开展的 网络安全实战攻防演习工作，对作为蓝队核心的白帽子，提出了越来越高的实战化能力要求。 要求白帽子具备在实战对抗环境和实际业务环境中，实现有效的攻击的能力，并能够由此发 现目标机构存在的安全问题或安全隐患。

实战化，对白帽子能力的要求更高，也更全面。一方面，对于具备实战化运行能力的大 型政企机构来说，很多低级的安全漏洞早已修复，想要实现有效攻击，就必须具备发现某些 高级安全漏洞的能力；另一方面，单纯知道某个漏洞的存在也不等于能够实现有效的攻击， 白帽子还必须具备在实战化的业务环境下，实现漏洞有效利用的能力，这就要求白帽子具有 社工能力、协作能力、业务分析能力等多种安全能力。

从实际工作需要出发，我们发现，目前国内白帽子的实战化能力还很不全面，存在诸多短板。绝大多数白帽子的能力集中于 Web漏洞的挖掘与利用这样的初级或中级能力，而对于 系统层漏洞挖掘、CPU指令集、编写 POC或 EXP等中高级能力，则存在明显的人才缺失。

为提升国内白帽子群体的整体能力水平，适应日益重要的攻防演习实战需求，补天漏洞 响应平台联合奇安信安服团队和奇安信行业安全研究中心，结合 1900 余个目标系统的攻防 实战经验，首次系统性地总结了“实战化白帽子能力需求图谱”，并据此针对补天平台选取 了 645 名白帽子进行了能力调研，形成了《中国实战化白帽人才能力白皮书》。在接受本次 调研的白帽子中，约 74.0%的白帽子参加过有关部门组织的实战攻防演习活动。

希望此项研究成果能够对安全行业的实战化白帽子人才发展及能力培养有所帮助。

本文主要学习2020年中国实战化白帽人才能力白皮书进行整理的笔记，如有错误，请随时联系