没有合适的资源?快使用搜索试试~ 我知道了~
2022中国实战化白帽人才能力白皮书.pdf
需积分: 9 3 下载量 63 浏览量
2022-12-01
21:56:20
上传
评论 1
收藏 3.98MB PDF 举报
温馨提示
试读
40页
2022中国实战化白帽人才能力白皮书.pdf 2022中国实战化白帽人才能力白皮书.pdf 2022中国实战化白帽人才能力白皮书.pdf 2022中国实战化白帽人才能力白皮书.pdf 2022中国实战化白帽人才能力白皮书.pdf 2022中国实战化白帽人才能力白皮书.pdf 2022中国实战化白帽人才能力白皮书.pdf 2022中国实战化白帽人才能力白皮书.pdf 2022中国实战化白帽人才能力白皮书.pdf 2022中国实战化白帽人才能力白皮书.pdf 2022中国实战化白帽人才能力白皮书.pdf 2022中国实战化白帽人才能力白皮书.pdf 2022中国实战化白帽人才能力白皮书.pdf 2022中国实战化白帽人才能力白皮书.pdf 2022中国实战化白帽人才能力白皮书.pdf 2022中国实战化白帽人才能力白皮书.pdf 2022中国实战化白帽人才能力白皮书.pdf 2022中国实战化白帽人才能力白皮书.pdf 2022中国实战化白帽人才能力白皮书.pdf 2022中国实战化白帽人才能力白皮书.pdf 2022中国实战化白帽人才能力白皮书.pdf 2022中国实战化白帽人才能力白皮
资源推荐
资源详情
资源评论
中国实战化白帽人才能力
白皮书
2022.11
补天漏洞响应平台
奇安信安服团队
奇安信行业安全研究中心
主要观点
本次白皮书对“实战化白帽人才能力图谱”进行了扩展,将白帽子的实战化能力分为 3
个级别、14 个大类、87 项具体能力。3 个级别分别为基础能力、进阶能力和高阶能力,
其学习和掌握难度依次提升。
近两年,我国白帽人才群体的实战化能力已经得到了普遍的、显著的提升。各项能力总
体的平均掌握率已经从 38.8%提升至 45.4%。特别是各项基础能力和进阶能力的平均掌
握率都有大幅的提升,分别达到 74.2%和 55.0%。
与基础能力和进阶能力相对的是,近两年,白帽人才对各项高阶能力的平均掌握率不仅
没有提升,还有小幅下降,仅为 27.3%。平均每四个白帽子中,才有约 1 个人掌握高阶
实战化能力。高水平的实战化白帽人才,在当前和未来相当长的一段时间里,仍将是比
较稀缺的。
在高阶能力的各个类别中,高级安全工具的平均掌握率较 2020 年有显著的上升,从 23.9%
增长到 29.2%。实际上,从高级安全工具入手学习高阶能力是白帽人才很好的选择。
从具体的能力类型来看,掌握进阶能力中的 Web 开发与编程能力,高级能力中的系统漏
洞利用与防护、系统层漏洞挖掘、高级安全工具、编写 PoC 或 EXP 等高级利用、CPU 指
令集等能力的白帽人才最为稀缺。特别的,白帽人才普遍不具备 Web 开发与编程能力,
这很有可能成为我国实战化白帽人才能力长远发展的重要瓶颈。
全国性、区域性、行业性的实战攻防演练活动的持续开展,对于促进实战化白帽人才能
力提升意义重大。特别是白帽人才在 Web 漏洞挖掘能力、社工钓鱼能力等方面的平均掌
握率大幅提升,主要是得益于实战攻防演习的锻炼。
白帽人才最为稀缺的单项实战化能力是针对 iOS 和 macOS 系统编写 PoC 或 EXP 的能力。
掌握这两项能力的白帽子仅有 3.4%和 2.6%。也就是说,平均每 30~40 个白帽子中,才
有一名白帽子具备编写 iOS 或 macOS 操作系统漏洞验证代码或漏洞利用代码的能力。
鱼叉邮件一直是攻击成本最低、攻击成功率最高的攻击方法之一。但在实战攻防演习工
作中,仅有约三分之一的白帽子使用过鱼叉邮件,这与鱼叉邮件在实战攻防过程中的实
际地位是不相配的,鱼叉邮件也并未得到白帽人才的充分重视。这一方面是由于鱼叉邮
件的使用需要一定的前期情报收集门槛,另一方面也是由于很多实战攻防演习项目禁
止使用鱼叉邮件。不过,这种“禁止”正在变得越来越少。
内网渗透是非常重要的实战化能力,但内网渗透能力的平均掌握率不足 50%,在实际演
习过程中担任过内网渗透人员角色的白帽子更是不足三成。这与演习之外,缺乏合法合
规的内网渗透实战及教学环境有很大关系。
2022 年北京冬奥会和冬残奥会实现了网络安全“零事故”的历史性突破。涌现出大量
成功经验,形成了网络安全“中国方案”。“冬奥网络安全卫士” 模式正是“中国方案”
的重要组成部分。冬奥“零事故”,是网络安全“中国方案”的胜利,也是“冬奥网络
安全卫士”模式的胜利。
摘 要
本次白皮书对“实战化白帽人才能力图谱”进行了扩展,将白帽子的实战化能力分为 3
个级别、14 个大类、87 项具体能力。
基础能力中 2 大类 20 项具体技能的平均掌握率从 67.0%提升至 74.2%,提升了 7.2 个
百分点;进阶能力 4 大类 23 项具体技能的平均掌握率从 40.3%提升至 55.0%,提升了
14.7 个百分点;而高阶能力的平均掌握率则基本上没有明显的变化,8 大类 44 项具体
技能的平均掌握率从 28.3%小幅下降至 27.3%,微降 1.0 个百分点。
在基础能力中,Web 漏洞利用能力的平均掌握率从 57.0%,大幅增长到 74.5%;基础安
全工具的平均掌握率从 74.5%微降至 73.6%。目前,两大类实战化基础能力的平均掌握
率十分接近,人才储备均相对充实。
在高阶能力中,掌握各类技能的人才分布情况变化不大。尽管内网渗透能力的平均掌握
率,从 59.7%下降 48.5%,但仍然是白帽人才平均掌握率最高的实战化高阶能力类别。
其次是身份隐藏能力,5 项技能的平均掌握率已达 47.2%。系统漏洞利用与防护、编写
PoC 或 EXP 等高级利用的平均掌握率最低,分别仅为 12.1%和 11.9%。
关键字:实战化、白帽子、攻防演习、能力图谱、漏洞挖掘、社工钓鱼、内网渗透
目 录
研究背景 ......................................................................................................................................................... 1
第一章 实战化白帽人才能力变化趋势 .................................................................................................. 3
第二章 实战化白帽人才能力现状分析 .................................................................................................. 6
一、 基础能力 ....................................................................................................................................................... 6
二、 进阶能力 ....................................................................................................................................................... 7
三、 高阶能力 .................................................................................................................................................... 10
第三章 总结 ............................................................................................................................................. 16
第四章 冬奥网络安全卫士助力实现零事故 ....................................................................................... 17
附录 1 实战化白帽人才能力各项技能详解 ........................................................................................... 20
一、 基础能力 .................................................................................................................................................... 20
二、 进阶能力 .................................................................................................................................................... 23
三、 高阶能力 .................................................................................................................................................... 26
附录 2 补天漏洞响应平台 ........................................................................................................................ 35
附录 3 奇安信蓝队能力及攻防实践 ....................................................................................................... 36
1
研究背景
实战化能力,是网络安全实战化发展对白帽子攻防能力的必然要求。相比于单纯的挖洞
能力,白帽子的实战化能力有以下几方面的特点:
1) 攻防过程针对的是业务系统,而并非单纯的 IT 系统。
2) 挖洞只是攻防过程中的辅助,攻击必须要有实际效果。
3) 针对系统的攻击是一个过程,技术之外允许使用社工。
4) 实战在动态攻防环境中进行,目标系统有人运行值守。
2021 年 1 月,补天漏洞响应平台、奇安信安服团队、奇安信行业安全研究中心首次联
合发布的《中国实战化白帽人才能力白皮书(2020)》(简称:《白皮书(2020)》)。《白皮书
(2020》结合 1900 余个目标系统的攻防实战经验,首次提出了实战化白帽人才能力的概念,
并给出了“实战化白帽人才能力图谱”。
图谱详细列举了白帽人才在实战化过程中,所需要掌握的 3 个级别、14 个大类、85 项
具体能力。白皮书还对每一项技能的含义与要求,进行了详细的说明。以图谱为基础,我们
对 645 名白帽子进行了实战化能力调研。
《白皮书(2020》对实战化白帽人才的能力培养给出了明确的指导方向和市场分析,引
起了大量用人单位、教育机构、特别是白帽子群体的高度关注和认可。
2022 年 7 月,补天漏洞响应平台再次对平台上活跃的 581 名白帽子进行了实战化能力
调研,并以此次调研为基础,撰写了《中国实战化白帽人才能力白皮书(2022)》(简称:《白
皮书(2022)》),希望能够对提升国内白帽子群体的整体能力水平,促进安全行业的实战化
白帽子人才发展及能力培养工作有所帮助。
特别说明,与《白皮书(2020》相比,《白皮书(2022)》对“实战化白帽人才能力图谱”
进行了扩展,在高阶能力的“身份隐藏”能力中补充了利用代理服务器能力;在高阶能力的
“编写 PoC 或 EXP 等高级利用”能力中,补充了在 Windows 操作系统上找到漏洞并利用漏洞
编写 PoC 或 EXP 的能力;从而将图谱扩展为为 3 个级别、14 个大类、87 项具体能力。如下
图所示。
剩余39页未读,继续阅读
资源评论
0and1调研
- 粉丝: 15
- 资源: 1203
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功