《奇安信：2023中国实战化白帽人才能力白皮书（39页）.pdf》由会员分享，可在线阅读，更多相关《奇安信：2023中国实战化白帽人才能力白皮书（39页）.pdf（39页珍藏版）》请在三个皮匠报告上搜索。

1、 中国实战化白帽人才能力白皮书 2022.11 补天漏洞响应平台 奇安信安服团队 奇安信行业安全研究中心 主要观点 实战化白帽人才的能力正在以实战化白帽人才的能力正在以 5 50 0%回归率为标准结构性调整。回归率为标准结构性调整。通过报告数据可见，若一类能力的人才平均掌握率显著高于 50%，那么人才平均掌握率就会随时间变化呈现下降趋势。反之若显著低于 50%，则人才平均掌握率会随时间变化呈现显著或小幅的上升趋势。实战化白帽人才队伍能力逐渐全面、均衡、优化发展。实战化白帽人才队伍能力逐渐全面、均衡、优化发展。相当一部分新入行的白帽子，不愿意在已经很卷的成熟市场领域继续深耕，如 Web 漏洞利用

2、（基础）、Web 漏洞挖掘（进阶）等领域内竞争，而是转向人才相对更加稀缺的高级安全工具（高阶）、编写 PoC 或EXP（高阶）、掌握 CPU 指令集（高阶）等方面能力的学习。未来相当长一段时间，高水平实战化白帽人才仍将比较稀缺。未来相当长一段时间，高水平实战化白帽人才仍将比较稀缺。在高阶能力的各个类别中，实战化白帽人才系统层漏洞利用与防护的掌握能力仍旧最低。仅为 14.1%。也就是说，平均每 7 个白帽子，才有一名白帽子掌握系统层漏洞利用与防护的实战化能力。白帽人才最为稀缺的单项实战化能力是针对 iOS 和 macOS 系统编写 PoC 或 EXP 的能力。掌握这两项能力的白帽子仅有 6.6%

3、和 3.5%。也就是说，平均每 100 个白帽子中，最多才有 5 个白帽子具备编写 iOS 或 macOS 操作系统漏洞验证代码或漏洞利用代码的能力。从高级安全工具入手学习高阶能力是白帽人才很好的选择。从高级安全工具入手学习高阶能力是白帽人才很好的选择。在高阶能力的各个类别中，高级安全工具的平均掌握率较 2020 年有显著的上升，从 23.9%增长到 29.2%。摘 要 最新调研成果显示，在“实战化白帽人才能力图谱”所关注的 3 个级别、14 大类、87项具体的实战化能力中，各项能力总体的平均掌握率已经从 2020 年末的 38.8%，提升至 2023 年 8 月的 41.4%，提升了 2.6

4、 个百分点。但与 2022 年 7 月的 45.5%比，降低了4 个百分点。基础能力的 2 大类 20 项具体能力的平均掌握率从 74.2%下降至 66.3%，降低了 7.9 个百分点；进阶能力 4 大类 23 项具体能力的平均掌握率从55.0%降低至 43.5%，下降了11.5个百分点，而高阶能力的平均掌握率从 27.3%增长至 28.7%，增加了 1.4个百分点，8 大类 44 项具体能力的平均掌握率是三个级别的能力中唯一有所增长的方向。Web漏洞利用能力的平均掌握率从57.0%，大幅增长到74.5%，而后又平稳恢复至65.8%；而基础安全工具的平均掌握率则变化不大，从 74.5%持续下降

5、至 67.1%。目前，两大类实战化基础能力的平均掌握率已经十分接近，人才储备均相对充实。Web 漏洞挖掘和社工钓鱼这两类技能的人才的储备量近两年均超过半数。其中，Web 漏洞挖掘能力的平均掌握率为 56.7%，社工钓鱼能力的平均掌握率为 52.1%。内网渗透能力的平均掌握率，从 2020 年末的 59.7%下降到 2023 年 8 月的 45.9%，但仍然是白帽人才平均掌握率最高的实战化高阶能力类别。其次是身份隐藏能力，2023 年白帽人才身份隐藏能力的平均掌握率为 44.7%。调研显示，Burp Suite 的平均掌握率最高，为 92.5%，是 2023 年度实战化白帽人才中唯一掌握率超过

6、9 成的基础安全工具，算得上是最基础的入门级安全工具。其次为Sqlmap，平均掌握率为 82.4%，排名第二。而 AppScan 和 Cobalt Strike 的平均掌握率均不足 50%。也就是说，一半以上的白帽子不会使用 Cobalt Strike 和 AppScan 两款安全工具。调研显示，针对苹果公司的操作系统，有 PoC 或 EXP 编写能力的白帽子非常“稀有”，iOS 6.6%、macOS 3.5%。关键字关键字：实战化、白帽子、攻防演习、能力图谱、漏洞挖掘、目 录 研究背景研究背景.1 第一章第一章 实战化白帽人才能力变化趋势实战化白帽人才能力变化趋势.3 第二章第二章 实战化白