2020年是特殊的一年,受全球疫情的影响,世界已经转变为数字化优先的模式,而这也要求安全团队必须紧跟潮流迅速调整。同时,不断变化的攻击面和复杂的数字生态系统也为安全团队带来了新的挑战。
在过去的一年里,白帽子们使出浑身解数,从支持企业完成紧急的数字化转型到投入大量时间帮助医疗服务行业,出色完成了众多挑战。
全球知名漏洞众测平台HackerOne就2020年白帽黑客情况提供了一份调查报告。报告显示,在疫情流行背景下,白帽们用自己多样且强大的专业知识与安全团队形成友好的共生伙伴关系。
本次报告中显示,2020年HackerOne共有超过100万的白帽黑客,发放了4000万美元的赏金。并且,2020年有一名白帽在此平台收入突破200万美元大关。
主要发现
- 自两年前发布《2019年黑客报告》以来,HackerOne社区的规模已经翻了一番,注册白帽人数超过100万。并且在过去12个月中,提交漏洞的白帽数量增加了63%。
- 头部白帽的报告中呈现的漏洞平均数为20个不同漏洞。
- 不正当访问控制漏洞和特权升级漏洞提交量增加了53%。
- 由于疫情原因,企业向云计算转移导致关于配置不当的报告增长310%。
- 50%的白帽选择不提交发现的漏洞。因为找不到明确的提交流程或因为过去的负面经历。
- 白帽动机不全是为了钱,虽然有很高的比例(76%)是为了赏金。但85%的人是为了学习技能,还有62%是为了促进职业发展。
白帽动机分析:学习欲胜于金钱欲
使白帽们维持积极性的并不仅仅是赏金,更多的是想要获取知识与技能。还有47%的白帽出于自身的正义感,想要保护和捍卫企业与个人免受网络威胁。其原因可能是由于82%的白帽将自己定义为兼职白帽,并不靠这份工作养活自己。虽然不主要因为钱,但如果有赏金那就再好不过了,毕竟还有76%的人对赏金感兴趣。
此外,白帽的动机也影响到了他们挖到漏洞后的行动。
当白帽们发现一个漏洞之后,他们首先想到的就是报告给企业。但是,如果他们不能找到一个明显的报告渠道的话,白帽们将会面临选择:什么都不做,或者公开披露漏洞。
50%选择不披露漏洞的白帽中,27%是因为没有渠道,另有27%是因为公司之前没有反应。既然有76%的白帽看重赏金,那么19%的人因为没有钱而不披露也并不奇怪。
疫情影响趋势,漏洞类型新变化
报告显示,大部分漏洞类别同比之前都呈增长态势。在十大漏洞之中,信息披露的漏洞的有效提交量增幅最大,达到了65%。
此外,虽然没有进入十大漏洞,但是由于疫情导致的企业向云计算转移,错误配置的报告在2020年增长了310%。同时,被遗忘已久的HTTP请求干扰漏洞在2019年被重新披露新研究之后,在2020年,关于其的报告达到了848份。
随着白帽驱动的安全技术被广泛采用,白帽社区也在不断发展,变得更加敏捷、更加高效、更加复杂。在过去的一年里,一个白帽从加入平台到报告第一个漏洞,平均只需要16天。
在2020年,顶尖的白帽提交的报告平均涉及20个不同的漏洞。
虽然黑客们发现了新的漏洞和新的利用方法,但49%的黑客认为,随着低垂的漏洞被发现和修复,攻击面实际上正在硬化。虽然26%的黑客表示越来越难找到漏洞,但还有45%的黑客表示他们在过去一年中里发现了以前没有发现的漏洞。
2020白帽画像
HackerOne的白帽分布于全球各地。从图上来看,俄罗斯、中国、印度、澳大利亚、北美、巴西、阿根廷的白帽数量最多,欧洲、非洲也有部分国家拥有较多白帽。
82%的白帽认为他们只是兼职黑客,并不依靠挖漏洞生存。
白帽黑客仍然是Z世代的热门追求,55%的群体年龄在25岁以下。黑客正在为他们的未来铺平道路;33%的人已经利用他们的技能获得了一份工作,23%的人计划在内部安全团队中继续从事信息安全工作。
白帽们带来了专门的技能和领域专业知识,帮助安全团队在敏捷攻击面进行扩展测试。通过局外人的视角、不同的方法、经验和知识,黑客可以提交有影响的漏洞,这意味着你的攻击面得到更好的保护。
白帽在各个行业都有体现,59%的白帽关注互联网和在线服务,47%关注金融服务,41%关注零售与电子商务程序,43%关注计算机软件程序。
结论
自疫情发生以来,四分之一的安全团队的预算和人员被削减,各组织被迫大规模地以较少的资源保障更多的安全。与此同时,白帽们比以往任何时候都要忙碌。
自疫情开始以来,38%的人花了更多的时间进行攻击,34%的人获得了更多的赏金,34%的白帽表示由于流行病主导的数字化转型,他们看到了更多的bug,50%的人表示,总体而言,企业对白帽的态度变得更加积极。
