2020年是特殊的一年。受全球疫情影响,世界已经转变为数字化优先模式,这也要求安全团队跟上潮流,快速调整。同时,不断变化的攻击面和复杂的数字生态系统也给安全团队带来了新的挑战。
在过去的一年里,白帽子尽了更大努力帮助医疗服务业,从支持企业完成紧急数字化转型到投入大量时间。
全球知名漏洞众测平台HackerOne2020年白帽黑客提供调查报告。报告显示,在疫情流行的背景下,白帽与安全团队形成了友好的共生伙伴关系,专业知识多样强大。
报告显示,2020年HackerOne共有100多万白帽黑客发放了4000万美元的赏金。此外,2020年,该平台上的一顶白帽收入超过了200万美元。
主要发现
- 自2019年黑客报告两年前发布以来,HackerOne社区规模翻了一番,注册白帽人数超过100万。在过去的12个月里,提交漏洞的白帽数量增加了63%。
- 白帽报告中的平均漏洞为20个。
- 不正当访问控制漏洞和特权升级漏洞提交量增加53%。
- 由于疫情原因,企业向云计算的转移导致配置不当10%。
- 50白帽选择不提交发现的漏洞。由于过去的负面经历,找不到明确的提交流程。
- 白帽子的动机不全是为了钱,虽然有很高的比例(76%)是为了赏金。但85%的人是为了学习技能,62%是为了促进职业发展。
白帽动机分析:学习欲胜于金钱欲
保持白帽热情的不仅仅是赏金,更是获取知识和技能。47%的白帽想要保护和捍卫企业和个人免受 *** 威胁,因为他们有自己的正义感。原因可能是82%的白帽把自己定义为 *** 白帽,不靠这份工作养活自己。虽然不主要是因为钱,但是有赏金就好了。毕竟76%的人对赏金感兴趣。
此外,白帽的动机也影响了他们挖洞后的行动。
当白帽发现漏洞时,他们首先想到的是向企业报告。然而,如果他们找不到明显的报告渠道,白帽将面临选择:什么都不做,或公开披露漏洞。
5027%选择不披露漏洞的白帽是因为没有渠道,27%是因为公司之前没有反应。既然76%的白帽看重赏金,19%的人因为没钱而不披露也就不足为奇了。
疫情影响趋势,漏洞类型发生新变化
报告显示,大多数漏洞类别同比增长。在十大漏洞中,信息披露漏洞的有效提交量增长更大,达到65%。
此外,虽然没有十大漏洞,但2020年错误配置报告增加了310%,因疫情导致企业向云计算转移。同时,被遗忘已久HTTP请求干扰漏洞在2019年被重新披露新研究之后,在2020年,关于其的报告达到了848份。
随着白帽驱动安全技术的广泛应用,白帽社区也在不断发展,变得更加敏捷、高效、复杂。在过去的一年里,从加入平台到报告之一个漏洞,平均只需要16天。
2020年,顶级白帽提交的报告平均涉及20个不同的漏洞。
虽然黑客发现了新的漏洞和新的使用 *** ,但49%的黑客认为,随着发现和修复下垂的漏洞,攻击面实际上正在硬化。尽管26%的黑客表示越来越难找到漏洞,但45%的黑客表示,他们在过去一年中发现了以前没有发现的漏洞。
2020白帽画像
HackerOne白帽子分布在世界各地。从图中可以看出,俄罗斯、中国、印度、澳大利亚、北美、巴西和阿根廷的白帽数量最多,欧洲和非洲的一些国家有更多的白帽。
82白帽认为他们只是 *** 黑客,不靠挖洞生存。
白帽黑客仍然是Z55%的人年龄在25岁以下。黑客正在为他们的未来铺平道路;33%的人利用他们的技能得到了一份工作,23%的人计划继续在内部安全团队中从事信息安全工作。
白帽带来了特殊的技能和专业知识,帮助安全团队扩大敏捷攻击面的测试。黑客可以通过局外人的视角、不同的 *** 、经验和知识提交有影响力的漏洞,这意味着你的攻击面得到了更好的保护。
白帽体现在各个行业。59%关注互联网和在线服务,47%关注金融服务,41%关注零售和电子商务程序,43%关注计算机软件程序。
结论
疫情发生以来,四分之一的安全团队预算和人员减少,各组织被迫大规模保障资源少的安全。同时,白帽比以往任何时候都忙。
自疫情开始以来,38%的人花了更多的时间攻击,34%的人获得了更多的奖励。34%的白帽表示,由于流行病引领的数字化转型,他们看到了更多bug,50%的人说,总的来说,企业对白帽的态度变得更加积极。