中国实战化白帽人才能力白皮书

发布时间：2021年01月20日

白帽子，在很多人心中的印象就是挖洞高手。但随着网络安全实践工作的持续深入发展，白帽子已经成为了各项网络安全工作中不可或缺的关键要素。特别是近年来持续深入开展的网络安全实战攻防演习工作，对作为蓝队核心的白帽子，提出了越来越高的实战化能力要求。要求白帽子具备在实战对抗环境和实际业务环境中，实现有效的攻击的能力，并能够由此发现目标机构存在的安全问题或安全隐患。
实战化，对白帽子能力的要求更高，也更全面。一方面，对于具备实战化运行能力的大型政企机构来说，很多低级的安全漏洞早已修复，想要实现有效攻击，就必须具备发现某些高级安全漏洞的能力；另一方面，单纯知道某个漏洞的存在也不等于能够实现有效的攻击，白帽子还必须具备在实战化的业务环境下，实现漏洞有效利用的能力，这就要求白帽子具有社工能力、协作能力、业务分析能力等多种安全能力。
从实际工作需要出发，我们发现，目前国内白帽子的实战化能力还很不全面，存在诸多短板。绝大多数白帽子的能力集中于Web漏洞的挖掘与利用这样的初级或中级能力，而对于系统层漏洞挖掘、CPU指令集、编写POC或EXP等中高级能力，则存在明显的人才缺失。
为提升国内白帽子群体的整体能力水平，适应日益重要的攻防演习实战需求，补天漏洞响应平台联合奇安信安服团队和奇安信行业安全研究中心，结合1900余个目标系统的攻防实战经验，首次系统性地总结了“实战化白帽子能力需求图谱”，并据此针对补天平台选取了645名白帽子进行了能力调研，形成了《中国实战化白帽人才能力白皮书》。在接受本次调研的白帽子中，约74.0%的白帽子参加过有关部门组织的实战攻防演习活动。
希望此项研究成果能够对安全行业的实战化白帽子人才发展及能力培养有所帮助。