2020年是特殊的一年，受全球疫情的影響，世界已經(jīng)轉(zhuǎn)變?yōu)閿?shù)字化優(yōu)先的模式，而這也要求安全團隊必須緊跟潮流迅速調(diào)整。同時，不斷變化的攻擊面和復(fù)雜的數(shù)字生態(tài)系統(tǒng)也為安全團隊帶來了新的挑戰(zhàn)。

在過去的一年里，白帽子們使出渾身解數(shù)，從支持企業(yè)完成緊急的數(shù)字化轉(zhuǎn)型到投入大量時間幫助醫(yī)療服務(wù)行業(yè)，出色完成了眾多挑戰(zhàn)。

?[[387539]]?

全球知名漏洞眾測平臺HackerOne就2020年白帽黑客情況提供了一份調(diào)查報告。報告顯示，在疫情流行背景下，白帽們用自己多樣且強大的專業(yè)知識與安全團隊形成友好的共生伙伴關(guān)系。

本次報告中顯示，2020年HackerOne共有超過100萬的白帽黑客，發(fā)放了4000萬美元的賞金。并且，2020年有一名白帽在此平臺收入突破200萬美元大關(guān)。

主要發(fā)現(xiàn)

• 自兩年前發(fā)布《2019年黑客報告》以來，HackerOne社區(qū)的規(guī)模已經(jīng)翻了一番，注冊白帽人數(shù)超過100萬。并且在過去12個月中，提交漏洞的白帽數(shù)量增加了63%。
• 頭部白帽的報告中呈現(xiàn)的漏洞平均數(shù)為20個不同漏洞。
• 不正當(dāng)訪問控制漏洞和特權(quán)升級漏洞提交量增加了53%。
• 由于疫情原因，企業(yè)向云計算轉(zhuǎn)移導(dǎo)致關(guān)于配置不當(dāng)?shù)膱蟾嬖鲩L310%。
• 50%的白帽選擇不提交發(fā)現(xiàn)的漏洞。因為找不到明確的提交流程或因為過去的負(fù)面經(jīng)歷。
• 白帽動機不全是為了錢，雖然有很高的比例(76%)是為了賞金。但85%的人是為了學(xué)習(xí)技能，還有62%是為了促進職業(yè)發(fā)展。

白帽動機分析：學(xué)習(xí)欲勝于金錢欲

??

使白帽們維持積極性的并不僅僅是賞金，更多的是想要獲取知識與技能。還有47%的白帽出于自身的正義感，想要保護和捍衛(wèi)企業(yè)與個人免受網(wǎng)絡(luò)威脅。其原因可能是由于82%的白帽將自己定義為兼職白帽，并不靠這份工作養(yǎng)活自己。雖然不主要因為錢，但如果有賞金那就再好不過了，畢竟還有76%的人對賞金感興趣。

此外，白帽的動機也影響到了他們挖到漏洞后的行動。

??

當(dāng)白帽們發(fā)現(xiàn)一個漏洞之后，他們首先想到的就是報告給企業(yè)。但是，如果他們不能找到一個明顯的報告渠道的話，白帽們將會面臨選擇：什么都不做，或者公開披露漏洞。

50%選擇不披露漏洞的白帽中，27%是因為沒有渠道，另有27%是因為公司之前沒有反應(yīng)。既然有76%的白帽看重賞金，那么19%的人因為沒有錢而不披露也并不奇怪。

疫情影響趨勢，漏洞類型新變化

??

報告顯示，大部分漏洞類別同比之前都呈增長態(tài)勢。在十大漏洞之中，信息披露的漏洞的有效提交量增幅最大，達(dá)到了65%。

此外，雖然沒有進入十大漏洞，但是由于疫情導(dǎo)致的企業(yè)向云計算轉(zhuǎn)移，錯誤配置的報告在2020年增長了310%。同時，被遺忘已久的HTTP請求干擾漏洞在2019年被重新披露新研究之后，在2020年，關(guān)于其的報告達(dá)到了848份。

隨著白帽驅(qū)動的安全技術(shù)被廣泛采用，白帽社區(qū)也在不斷發(fā)展，變得更加敏捷、更加高效、更加復(fù)雜。在過去的一年里，一個白帽從加入平臺到報告第一個漏洞，平均只需要16天。

在2020年，頂尖的白帽提交的報告平均涉及20個不同的漏洞。

雖然黑客們發(fā)現(xiàn)了新的漏洞和新的利用方法，但49%的黑客認(rèn)為，隨著低垂的漏洞被發(fā)現(xiàn)和修復(fù)，攻擊面實際上正在硬化。雖然26%的黑客表示越來越難找到漏洞，但還有45%的黑客表示他們在過去一年中里發(fā)現(xiàn)了以前沒有發(fā)現(xiàn)的漏洞。

2020白帽畫像

HackerOne的白帽分布于全球各地。從圖上來看，俄羅斯、中國、印度、澳大利亞、北美、巴西、阿根廷的白帽數(shù)量最多，歐洲、非洲也有部分國家擁有較多白帽。

??

82%的白帽認(rèn)為他們只是兼職黑客，并不依靠挖漏洞生存。

白帽黑客仍然是Z世代的熱門追求，55%的群體年齡在25歲以下。黑客正在為他們的未來鋪平道路;33%的人已經(jīng)利用他們的技能獲得了一份工作，23%的人計劃在內(nèi)部安全團隊中繼續(xù)從事信息安全工作。

??

白帽們帶來了專門的技能和領(lǐng)域?qū)I(yè)知識，幫助安全團隊在敏捷攻擊面進行擴展測試。通過局外人的視角、不同的方法、經(jīng)驗和知識，黑客可以提交有影響的漏洞，這意味著你的攻擊面得到更好的保護。

白帽在各個行業(yè)都有體現(xiàn)，59%的白帽關(guān)注互聯(lián)網(wǎng)和在線服務(wù)，47%關(guān)注金融服務(wù)，41%關(guān)注零售與電子商務(wù)程序，43%關(guān)注計算機軟件程序。

結(jié)論

自疫情發(fā)生以來，四分之一的安全團隊的預(yù)算和人員被削減，各組織被迫大規(guī)模地以較少的資源保障更多的安全。與此同時，白帽們比以往任何時候都要忙碌。

自疫情開始以來，38%的人花了更多的時間進行攻擊，34%的人獲得了更多的賞金，34%的白帽表示由于流行病主導(dǎo)的數(shù)字化轉(zhuǎn)型，他們看到了更多的bug，50%的人表示，總體而言，企業(yè)對白帽的態(tài)度變得更加積極。