在网络空间安全领域,白帽子是一种特殊的群体,是一种专门从事挖掘漏洞工作的人,他们的核心能力就是挖掘漏洞的能力。你说,他们是在从事一种职业呢,还是从事一种爱好呢?
不管怎么说,仅从他们所具有的超强的挖掘漏洞的能力来说,白帽子就是一种人才,一种不被外界所知的特殊群体人才,甚至令人不解的是,学生人数占据了半壁江山。由于他们的存在与总体能力建设的持续提升,在很大程度上,推动了我国网络空间安全产业的健康发展。
与此同时,这帮“特殊群体人才”,他们在专业技能、日常生活、社会交往、职业规划等诸多方面的“内幕”,在外界看来更令人“神秘”,甚至所向往。
恰好,在“十一”前夕,由补天漏洞响应平台和奇安信集团联合主办的“2021补天白帽大会”上,补天漏洞响应平台联合奇安信行业安全研究中心通过《2021中国白帽人才能力与发展状况调研报告》(以下简称《报告》),向我们揭示了“白帽的奥秘”——
“超级挖掘机”年人均提交有效漏洞超300
挖洞能力是白帽子的核心能力。《报告》显示,国内很多白帽子都曾向多个平台多次提交过安全漏洞。其中,约有38.8%的白帽人才,每年人均提交有效安全漏洞数量超过10个,更有约4.7%的白帽人才每年人均提交有效漏洞数量超过300个,堪称漏洞界的“超级挖掘机”,大约每20名白帽子中便有1人。如图1所示。
图1
300位“白帽大亨”年奖金收入超100万
通过挖洞或参加实战攻防演习获取奖金收入,是白帽人才获取收入的重要方式。《报告》显示,我国近4成的白帽子年均奖金收入在3000元以下,约6成在1万元以下。而年均奖金超过10万元的白帽子约占17.0%,约0.4%的白帽子年奖金收入超过100万元。按照补天平台目前累计注册白帽人才7.9万人估算,国内目前可能已经诞生了超过300位年奖金收入超过100万元的“白帽大亨”。如图2所示。
图2
特别值得一提的是,已经有越来越多的大型企业愿意为高价值漏洞提供高额奖金。2021年,就有企业SRC通过补天平台,向白帽子支付了高达13万元的单个漏洞奖金。
“00后”崭露头角成为主力军
《报告》显示,目前我国白帽子大部分为1995年以后生人,其中“00后”已经成为国内白帽人才的主力军,占比高达38.4%,在各个年龄段中排名第一,其次是“95后”,占比为34.6%。《报告》同时显示,已经有少量的“10后”年轻人加入了白帽子的队伍,占比约为0.3%,虽然人数不多,但也能明显看出,越来越年轻的白帽子加入到了维护网络安全正义的队伍中来。如图3所示。
图3
多数白帽子是成年后入行
虽然“00后“”白帽人才已经崛起,但绝大多数白帽子还是在成年以后才入的行。《报告》显示,18岁之前就已开启自己白帽生涯的年轻人,只占当前国内白帽人才总数的16.1%。绝大多数人还是在18岁~22岁,也就是在读大学期间入行做的白帽子,占比约为52.4%。
图4
“个人爱好”是当白帽子的首选
那么,什么原因驱使白帽子从事挖洞、攻防等网络安全工作的呢?
《报告》显示,64.2%的受访者表示,“个人爱好”是他们从事白帽工作的首要原因。此外,抱有“安全的理想”“增加个人收入”“本职工作要求”等因素,也是影响白帽人才入行的重要驱动力,还有约1.2%的人是因为“受名人感召”而入行。如图5所示。
图5
图6
《报告》显示,在只考虑在政企单位就职的白帽子的情况下,有约53.2%的白帽子日常工作岗位是渗透测试工程师,占比最多;14.0%白帽子为安全运维工程师,排名第二;还有4.7%的白帽子为测试工程师。如图7所示。
图7
白帽子很酷,认同度有待提升
绝大多数白帽人才对自己的白帽子身份和白帽工作非常认同,近8成的白帽子认为,白帽工作非常酷或有点儿酷。甚至有13.2%的受访者认为,白帽子作为一个很酷的职业,非常有助于吸引异性,甚至会得到异性的“崇拜”。
当然,并非所有的白帽子都持有类似的观点。约10.2%的白帽子认为,白帽子也只不过一份普通工作而已,没什么特别的;5.8%的白帽子认为,这是一项非常辛苦的工作。
从另一个角度来看,约有2.3%的白帽子,其家人或亲友对其白帽工作持“不支持”或强烈反对态度,甚至还有约1.0%的受访者表示,其家人和亲友总是劝其改行。这也再次说明,仍有一小部分社会群体,对白帽工作和白帽人才存在误解和偏见。如图8所示。
图8
超级链接:
解读《2021中国白帽人才能力与发展状况调研报告》
张卓(奇安信集团副总裁、补天漏洞响应平台负责人)
补天平台作为国内知名的漏洞平台,到今年已经是第八个年头了。截至目前补天漏洞平台入驻企业6000多家,报告漏斗总数多达67万,涉及19万家企业,是企业和白帽子共赢的一个桥梁。白帽子作为网络安全行业的核心力量,其重要性不言而喻,补天漏洞响应平台目前注册总共87000多名白帽子,随着国内政策环境和产业环境不断改良,我们深刻感受到白帽子群体正在发生变化。
白帽子最近几年有哪些变化和提升呢?补天漏洞产业平台联合奇安信行业研究中心总共对300多名白帽子,100多家企业进行为期半年调研,汇总整理近3年的数据。最终形成了在“2021补天白帽大会”发布的漏洞挖掘人才趋势分析报告。在《报告》中我们针对白帽子的能力现状,凝练情况,地区分布等特征展开分析,发现了很多有趣规律,希望能对后续漏洞挖掘人才的培养和生态培育,提供一些参考。
首先来看整个行业,我们给出两个关键词:一个是增长,一个是年轻。
2018年补天漏洞平台白帽子数量4万人,仅仅3年,2021年增长87000人,另外一方面白帽子人数增速也在不断提升,整个2018年补天漏洞响应平台新增6000名白帽子,2021年截止到目前,我们新增13000名白帽子。在高增长同时,我们看到26岁以下白帽子占比在不断增加这些年轻人持续涌入,让行业充满潮气,也为我们今天补天白帽大会带来了无限惊喜。
众所周知,评价白帽人才的实力,学历并不是第一标准,但是从调研中我们还是可以看到,大多数白帽子都是科班出身大学生,这可能与2018年国内多所院校陆续开展网络空间安全专业及扩大招生范围有关,其次我们看到在很多白帽子都是持证上岗,超过一半白帽子都有CRSP等证书,甚至有很多白帽子一人持多证。虽然大部分白帽子都是大学生,但是博士生依然很少,高端人才依然是稀缺资源。
从地域分布看,北京是全国最大的白帽子人才生产基地,每9名白帽子其中就有一个来自北京。同时,像成都、济南、西安、杭州这些新一线城市也挺受白帽子欢迎,我觉得可能与当地政策发展有一定关系,像成都这样的城市,最近几年都在大力发展信息安全产业,成立很多高科技园,还有济南也有信息安全产业园,这都会吸引很多白帽子从大城市回到当地发展,新一线城市也会不断吸引白帽子加入,为城市高质量发展,不断的注入活力。
在今年的人口普查中,我们看到我国男性人口比女性略多一点,其中男性人口占51.24%,女性人口48.76%,但是本次和2018年报告中我们都可以看到,在白帽子这个群体中,男生和女生的数量相差还是非常悬殊的,接近了21:1。女性白帽子绝对是稀有的,虽然女性白帽子整体人数少,但是巾帼不让须眉,她们往往是某个安全领域的专业,她们在白帽群体中也具有很大影响力。
我们发现上了班的白帽子,其实很大一部分在做兼职白帽子,他们可能有正式工作,兼职白帽子只是为了赚外快,有52.4白帽子以奖金为主的纯职白帽子,还有24.1的白帽子不固定工作性质。今年信息测试安全员作为一种职业有了等级和职业坚定要求,因此在未来白帽子可能会成为一种正式职业,出现在大众视野里。
通过漏洞或参加这种实战攻防演习获得奖金是白帽子的主要收入,白帽子人均奖金逐年提升,高奖金白帽子人数也在提升,其中奖金收入超过10万元的白帽子约占17%,约0.4%的白帽子年均收入超过百万元。补天平台运营8年,累计超过300个奖金收入超过百万的白帽大亨,尤其近2年,原因是国家越来越重视网络安全,企业和单位越来越重视自身产品和网络安全漏洞,愿意提供高额奖金。
挖洞能力是白帽子的核心能力,《报告》显示,国内白帽子多次向多个平台提交安全漏洞,其中对比2018年和2021年数据,大部分白帽子人均提供有效漏洞数都在30个以下,只有极少白帽子每年人均提交漏洞数300个,堪称“超级挖掘机”。几年漏洞遍地都是,一个0day出来之后,大家开一个扫描器可以到各个平台刷洞,到了今天对于很多白帽子而言,遍地是洞的时代基本过去了,洞越来越难挖,对人的技能水平要求也越来越高,一句概括就是“话粗放要转向高质量发展”。
随着白帽子持续不断持续为国家做贡献,社会也越来越认同白帽子价值。白帽子是值得骄傲的支应,因此从2018年和2021年数据对比中我们可以看到,越来越多家人及亲朋好友,逐渐理解支持白帽子,因为漏洞奖金越来越高,白帽子也可以选择将漏洞挖掘作为全职岗位,养家糊口不成问题。
随着社会对白帽子的认可,白帽子群体也存在很大人才缺口。
说到最后,如果一句话概括白帽子的现状就是“天时地利人和”。
天时:指国家层面的政策支持;
地利:是指企业对漏洞越来越重视,愿意提供高额奖金来做激励;
人和:指越来越新鲜血液加入到我们白帽子这个群体。
相信天时地利人和将将开启白帽子的新篇章,我们期待与更多白帽子的一起同行,发现更多更新、更潮的安全问题,让我们一起潮前看。