2020年是特殊的一年。受全球疫情影响,世界已经转变为数字优先的模式,这也需要安全团队紧跟潮流,快速调整。与此同时,不断变化的攻击面和复杂的数字生态系统也给安全团队带来了新的挑战。在过去的一年里,白帽子使出浑身解数,从支持企业完成紧迫的数字化转型,到投入大量时间助力医疗服务行业,成功完成了诸多挑战。全球知名漏洞公开测试平台HackerOne提供了一份2020年白帽黑客情况调查报告。报告显示,在疫情背景下,白帽黑客利用其多样而强大的专长,形成了友好的合作关系。与安全团队的共生伙伴关系。这份报告显示,2020年,HackerOne拥有超过100万名白帽黑客,发放赏金4000万美元。而且,2020年,一位白帽在该平台的收入突破了200万美元大关。主要发现自从两年前推出《2019年黑客报告》以来,HackerOne社区的规模翻了一番,拥有超过100万名注册白帽子。并且在过去的12个月里,白帽子提交漏洞的数量增加了63%。头部白帽报告中显示的平均漏洞数量为20个不同的漏洞。提交的不当访问控制漏洞和特权升级漏洞增加了53%。由于大流行,企业向云计算的转移导致错误配置报告增加了310%。50%的白帽选择不提交他们发现的漏洞。因为找不到明确的提交流程或者因为过去的负面经历。并非所有的白帽动机都是金钱,尽管很大一部分(76%)是赏金。但85%用于学习技能,62%用于职业发展。白帽子动机分析:学习的欲望比金钱更重要。让白帽子保持积极性的不仅仅是赏金,还有获取知识和技能的渴望。另有47%的白帽子出于正义感,希望保护企业和个人免受网络威胁。原因可能是82%的白帽子把自己定义为兼职白帽子,并不靠这份工作养活自己。虽然主要不是为了钱,但是如果有赏金就好了,毕竟76%的人都对赏金感兴趣。此外,白帽子的动机也影响了他们挖掘漏洞后的行动。当白帽发现漏洞时,他们首先想到的是向企业报告。但如果他们找不到明显的报告渠道,白帽子将面临一个选择:什么都不做,或者公开披露漏洞。在选择不公开漏洞的50%的白帽中,有27%是因为没有渠道,还有27%是因为公司之前没有回应。由于76%的白帽子重视赏金,因此19%的人因为没有钱而没有透露也就不足为奇了。《疫情影响及漏洞类型新变化》报告显示,大部分漏洞类型均呈现同比增长趋势。排名前十的漏洞中,信息泄露漏洞的有效提交数量增幅最大,达到了65%。此外,虽然没有进入前十大漏洞,但由于大流行导致企业转向云计算,错误配置报告在2020年增加了310%。同时,被遗忘已久的HTTP请求干扰漏洞经新研究于2019年被重新披露,2020年相关报告达到848个。随着白帽驱动的安全技术被广泛采用,白帽社区不断壮大,变得更加敏捷,高效,复杂。在过去的一年里,白帽加入平台并报告第一个漏洞平均需要16天。2020年,顶级白帽子平均报告了20个不同的漏洞。虽然黑客正在发现新的漏洞和利用这些漏洞的新方法,但49%的黑客认为,随着低悬漏洞的发现和修复,攻击面实际上正在强化。虽然26%的黑客表示发现漏洞越来越难,但45%的黑客表示他们在过去一年中发现了以前未发现的漏洞。2020年白帽人像HackerOne的白帽人分布在世界各地。从图中可以看出,俄罗斯、中国、印度、澳大利亚、北美、巴西、阿根廷的白帽子数量最多,欧洲和非洲的一些国家也有较多的白帽子。82%的白帽子认为自己只是兼职黑客,并不靠挖矿为生。白帽黑客仍然是Z世代的热门追求,该群体中55%的人年龄在25岁以下。黑客正在为他们的未来铺平道路;33%的人已经利用他们的技能找到了工作,23%的人计划继续在内部安全团队从事信息安全工作。白帽带来专业技能和领域专业知识,帮助安全团队在敏捷攻击面上扩展测试。通过局外人的视角、不同的方法、经验和知识,黑客可以提交有影响力的漏洞,这意味着您的攻击面得到了更好的保护。白帽体现在各个行业,59%的白帽专注于互联网和在线服务,47%专注于金融服务,41%专注于零售和电子商务程序,43%专注于计算机软件程序。结论自大流行病爆发以来,四分之一的安全团队削减了预算和人员,组织被迫大规模地以更少的资源做更多的事情。与此同时,白帽子们比以往任何时候都更加忙碌。自大流行开始以来,38%的人花费了更多时间进行攻击,34%的人获得了更多的赏金,34%的白帽子表示由于大流行导致的数字化转型漏洞,他们看到了更多的攻击,50%的人表示总体而言,企业对白帽的态度变得更加积极。
