2020年是特殊的一年，受全球疫情的影響，世界已經(jīng)轉(zhuǎn)變?yōu)閿?shù)字化優(yōu)先的模式，而這也要求安全團(tuán)隊(duì)必須緊跟潮流迅速調(diào)整。同時(shí)，不斷變化的攻擊面和復(fù)雜的數(shù)字生態(tài)系統(tǒng)也為安全團(tuán)隊(duì)帶來了新的挑戰(zhàn)。

在過去的一年里，白帽子們使出渾身解數(shù)，從支持企業(yè)完成緊急的數(shù)字化轉(zhuǎn)型到投入大量時(shí)間幫助醫(yī)療服務(wù)行業(yè)，出色完成了眾多挑戰(zhàn)。

?[[387539]]?

全球知名漏洞眾測(cè)平臺(tái)HackerOne就2020年白帽黑客情況提供了一份調(diào)查報(bào)告。報(bào)告顯示，在疫情流行背景下，白帽們用自己多樣且強(qiáng)大的專業(yè)知識(shí)與安全團(tuán)隊(duì)形成友好的共生伙伴關(guān)系。

本次報(bào)告中顯示，2020年HackerOne共有超過100萬的白帽黑客，發(fā)放了4000萬美元的賞金。并且，2020年有一名白帽在此平臺(tái)收入突破200萬美元大關(guān)。

主要發(fā)現(xiàn)

• 自兩年前發(fā)布《2019年黑客報(bào)告》以來，HackerOne社區(qū)的規(guī)模已經(jīng)翻了一番，注冊(cè)白帽人數(shù)超過100萬。并且在過去12個(gè)月中，提交漏洞的白帽數(shù)量增加了63%。
• 頭部白帽的報(bào)告中呈現(xiàn)的漏洞平均數(shù)為20個(gè)不同漏洞。
• 不正當(dāng)訪問控制漏洞和特權(quán)升級(jí)漏洞提交量增加了53%。
• 由于疫情原因，企業(yè)向云計(jì)算轉(zhuǎn)移導(dǎo)致關(guān)于配置不當(dāng)?shù)膱?bào)告增長(zhǎng)310%。
• 50%的白帽選擇不提交發(fā)現(xiàn)的漏洞。因?yàn)檎也坏矫鞔_的提交流程或因?yàn)檫^去的負(fù)面經(jīng)歷。
• 白帽動(dòng)機(jī)不全是為了錢，雖然有很高的比例(76%)是為了賞金。但85%的人是為了學(xué)習(xí)技能，還有62%是為了促進(jìn)職業(yè)發(fā)展。

白帽動(dòng)機(jī)分析：學(xué)習(xí)欲勝于金錢欲

??

使白帽們維持積極性的并不僅僅是賞金，更多的是想要獲取知識(shí)與技能。還有47%的白帽出于自身的正義感，想要保護(hù)和捍衛(wèi)企業(yè)與個(gè)人免受網(wǎng)絡(luò)威脅。其原因可能是由于82%的白帽將自己定義為兼職白帽，并不靠這份工作養(yǎng)活自己。雖然不主要因?yàn)殄X，但如果有賞金那就再好不過了，畢竟還有76%的人對(duì)賞金感興趣。

此外，白帽的動(dòng)機(jī)也影響到了他們挖到漏洞后的行動(dòng)。

??

當(dāng)白帽們發(fā)現(xiàn)一個(gè)漏洞之后，他們首先想到的就是報(bào)告給企業(yè)。但是，如果他們不能找到一個(gè)明顯的報(bào)告渠道的話，白帽們將會(huì)面臨選擇：什么都不做，或者公開披露漏洞。

50%選擇不披露漏洞的白帽中，27%是因?yàn)闆]有渠道，另有27%是因?yàn)楣局皼]有反應(yīng)。既然有76%的白帽看重賞金，那么19%的人因?yàn)闆]有錢而不披露也并不奇怪。

疫情影響趨勢(shì)，漏洞類型新變化

??

報(bào)告顯示，大部分漏洞類別同比之前都呈增長(zhǎng)態(tài)勢(shì)。在十大漏洞之中，信息披露的漏洞的有效提交量增幅最大，達(dá)到了65%。

此外，雖然沒有進(jìn)入十大漏洞，但是由于疫情導(dǎo)致的企業(yè)向云計(jì)算轉(zhuǎn)移，錯(cuò)誤配置的報(bào)告在2020年增長(zhǎng)了310%。同時(shí)，被遺忘已久的HTTP請(qǐng)求干擾漏洞在2019年被重新披露新研究之后，在2020年，關(guān)于其的報(bào)告達(dá)到了848份。

隨著白帽驅(qū)動(dòng)的安全技術(shù)被廣泛采用，白帽社區(qū)也在不斷發(fā)展，變得更加敏捷、更加高效、更加復(fù)雜。在過去的一年里，一個(gè)白帽從加入平臺(tái)到報(bào)告第一個(gè)漏洞，平均只需要16天。

在2020年，頂尖的白帽提交的報(bào)告平均涉及20個(gè)不同的漏洞。

雖然黑客們發(fā)現(xiàn)了新的漏洞和新的利用方法，但49%的黑客認(rèn)為，隨著低垂的漏洞被發(fā)現(xiàn)和修復(fù)，攻擊面實(shí)際上正在硬化。雖然26%的黑客表示越來越難找到漏洞，但還有45%的黑客表示他們?cè)谶^去一年中里發(fā)現(xiàn)了以前沒有發(fā)現(xiàn)的漏洞。

2020白帽畫像

HackerOne的白帽分布于全球各地。從圖上來看，俄羅斯、中國(guó)、印度、澳大利亞、北美、巴西、阿根廷的白帽數(shù)量最多，歐洲、非洲也有部分國(guó)家擁有較多白帽。

??

82%的白帽認(rèn)為他們只是兼職黑客，并不依靠挖漏洞生存。

白帽黑客仍然是Z世代的熱門追求，55%的群體年齡在25歲以下。黑客正在為他們的未來鋪平道路;33%的人已經(jīng)利用他們的技能獲得了一份工作，23%的人計(jì)劃在內(nèi)部安全團(tuán)隊(duì)中繼續(xù)從事信息安全工作。

??

白帽們帶來了專門的技能和領(lǐng)域?qū)I(yè)知識(shí)，幫助安全團(tuán)隊(duì)在敏捷攻擊面進(jìn)行擴(kuò)展測(cè)試。通過局外人的視角、不同的方法、經(jīng)驗(yàn)和知識(shí)，黑客可以提交有影響的漏洞，這意味著你的攻擊面得到更好的保護(hù)。

白帽在各個(gè)行業(yè)都有體現(xiàn)，59%的白帽關(guān)注互聯(lián)網(wǎng)和在線服務(wù)，47%關(guān)注金融服務(wù)，41%關(guān)注零售與電子商務(wù)程序，43%關(guān)注計(jì)算機(jī)軟件程序。

結(jié)論

自疫情發(fā)生以來，四分之一的安全團(tuán)隊(duì)的預(yù)算和人員被削減，各組織被迫大規(guī)模地以較少的資源保障更多的安全。與此同時(shí)，白帽們比以往任何時(shí)候都要忙碌。

自疫情開始以來，38%的人花了更多的時(shí)間進(jìn)行攻擊，34%的人獲得了更多的賞金，34%的白帽表示由于流行病主導(dǎo)的數(shù)字化轉(zhuǎn)型，他們看到了更多的bug，50%的人表示，總體而言，企業(yè)對(duì)白帽的態(tài)度變得更加積極。