奇安信发布首份《实战化白帽人才能力白皮书》:动态实战攻防能力受重视
2021-01-25 14:27:34 Author: www.aqniu.com(查看原文) 阅读量:217 收藏

奇安信发布首份《实战化白帽人才能力白皮书》:动态实战攻防能力受重视

星期一, 一月 25, 2021

1月20日,补天漏洞响应平台联合奇安信安服团队、奇安信行业安全研究中心,发布了业内首份《2020中国实战化白帽人才能力白皮书》,首次提出了实战化白帽人才能力的基本概念,绘制了首份实战化白帽人才能力图谱,为实战化白帽人才的系统性培养提供重要的科学参考依据。

白帽人才年轻化

数据显示,在接受调查的具备实战攻防经验的645名白帽中,近8成年纪在27岁及以下,其中23~27岁的白帽占35.7%,18~22岁及约占四成(41.4%),甚至还有6%尚未成年;学历方面,本科及以下学历超过9成。其中甚至不乏中学在读的白帽人才。

由此可见,年轻是白帽人才的主要关键词,在年龄上符合人们对于“现男友”的预期。

在接受调研的白帽子中,36.3%的白帽子来自于安全企业,34.9%的白帽子为学生,7.1%的白帽子来自政府机构事业单位。这主要由于白帽子所需技能及时间积累,人员更多集中在专业对口的安全企业从业者或精力充沛、时间充裕的学生党。

首份实战化白帽人才能力图谱发布 高阶能力尚十分欠缺

为提升国内白帽子群体的整体能力水平,适应日益重要的攻防演习实战需求,白皮书结合1900余个目标系统的攻防实战经验,首次系统性地总结了“实战化白帽子能力需求图谱”。

该能力图谱综合考虑了掌握技能的难易程度、市场人才的稀缺程度、以及实战化能力的有效性这三方面因素,将白帽子的实战化能力从低到高依次分为基础能力、进阶能力和高阶能力,并详细拆分为3个级别、14大类、85项具体技能。

白皮书中对这14大类、85项基本技能均提供了详解说明。将对安全行业的实战化白帽子人才发展及能力培养,提供重要参考和依据。

调研显示,目前国内白帽子人群所掌握的实战化攻防能力,仍主要集中在基础能力方面;而具备高阶能力的白帽人才十分稀缺,特别是不同平台程序的分析能力、在系统层漏洞的挖掘与利用,以及相应的PoC或EXP的编写等方面人才极为稀缺。

这或许与绝大多数白帽人才从业时间较短有关。数据显示,超七成受访人员从业时间不超过3年,其中入行时间不到一年的白帽子占比达到了20%。

为更加直观展现自身技能情况,也为了便于就业,考取各类证书成为了最佳选择,但在接受调研的白帽子中,仍有55.8%的白帽子尚未获得任何相关证书,处于“无证上岗”的状态。

全网实战攻防演练推广 实战化白帽考验全面能力

近年来,随着网络安全实战攻防演习工作的持续深入开展,对于白帽子在实战对抗环境、实际业务环境中的能力提出了更高要求。

在这种背景下,白皮书对“实战化白帽人才能力”的定义为:在政企机构实际运行的业务系统、生产系统上进行的实战攻防演习过程中,作为攻击方的白帽子所需要具备各种攻防能力的集合。

与传统的挖洞型白帽人才能力要求不同,在实战化攻击过程中,白帽人员不仅需要针对真实的业务系统或生产设备,发现高级安全漏洞,还要对机构内部的IT架构、运行管理机制进行有效分析,找到路径,实现有效攻击。期间允许使用社会工程学方法,以人为突破口进行攻击。

与此同时,面对防守方的反制防守和攻击溯源,白帽人员还需要掌握一定的身份隐藏技能,通过多人协作,共同完成整套动态实战攻防。这就对白帽子能力提出了“可攻、可防、能潜、能藏”的综合能力要求,成为“一专多强”的T字形人才。
不过,在接受本次调研的645名白帽子中,尽管有约74.0%的白帽子具有组队参加有关部门组织的实战攻防演习活动的经验,但仅有19.4%的白帽子表示自己能够胜任团队协作中的任意角色。

因此,这还要全社会共同努力,加大对白帽人才的挖掘和培养力度。来自腾讯、字节跳动、京东等厂商安全团队负责,以及安全团队创始人,对白皮书对于实战化白帽人才培养的指导意义表示肯定。

《2020中国实战化白帽人才能力白皮书》原文下载地址:

https://www.qianxin.com/threat/reportdetail?report_id=121

奇安信集团是中国最大的网络安全公司之一,专门为政府、企业,教育、金融等机构和组织提供企业级网络安全技术、产品和服务。


文章来源: https://www.aqniu.com/vendor/72592.html
如有侵权请联系:admin#unsafe.sh