chanong 1. 黑客的定义
黑客:喜欢智力挑战并能够创造性地突破限制的人。
(译者注:在本报告中,“黑客”一词指的是进行漏洞研究和漏洞挖掘的白帽黑客。)
2. 摘要
我们正处于一个充满黑客的时代。 有些黑客被誉为英雄;有些则被称为英雄。 一些黑客经常在媒体上被提及; 有些黑客被认为是邪恶的化身; 而一些虚构的黑客继续出现在好莱坞电影中。
今天,我们同意克伦的观点——黑客是互联网的免疫系统。 我们需要像埃隆·马斯克这样的人来创造技术,我们也需要像凯伦和马奇这样的人来研究和发现这些技术创新中的缺陷。
每发现并修复一个漏洞,互联网的安全系数就会增加一分。 在社区中,安全研究人员日复一日地做着同样的事情——发现漏洞,负责任地向相关组织报告,并在犯罪分子利用它们之前修复它们。 该社区非常强大并且不断发展。 短短两年内,我们的注册用户增长了十倍。
这份调查报告是白帽黑客社区有史以来最大规模的调查,共有 1,698 名受访者参与。 当您阅读这份报告时,您将发现白帽黑客社区的特质:好奇心、不懈的探索、团结和慈善。
据统计,四分之一的黑客向慈善组织捐款,许多黑客与其他黑客和安全研究人员免费分享他们的知识。 在没有现金奖励的情况下,黑客已经帮助美国国防部解决了近 3000 个漏洞。
他们报告安全漏洞是因为他们认为这是正确的做法。
在加州大学伯克利分校、塔夫茨大学、卡内基梅隆大学等顶尖大学,黑客技术已经成为一门学分课程。 如今,世界各地的黑客都通过寻找漏洞来赚钱。 各种错误赏金计划向所有人开放,并提供丰厚的奖励。 在一些国家,黑客的总收入甚至可以达到软件工程师的16倍。
尽管我们已经取得了很多成就,但未来还有很多工作要做。 绝大多数企业(福布斯全球企业 2000 强中的 94%)没有面向外部的漏洞收集计划。 近四分之一的黑客没有报告他们发现的漏洞,仅仅是因为公司没有办法提交这些漏洞。
有关如何应对这一挑战以及迄今为止取得的进展的更多信息,请阅读“企业正在逐步接受外部提交的漏洞”部分。
在现代数字社会中,黑客已经成为重要的成员。 该报告是黑客档案,可让您深入了解黑客的想法,查看世界各地的统计数据和增长指标,了解最近发现的漏洞,并阅读一些错误赏金计划参与者的故事。
3. 主要发现 漏洞赏金可能会改变一些黑客的生活。 在印度,顶级黑客的收入是软件工程师中位数工资的 16 倍。 顶尖研究人员的收入是软件工程师中位数工资的 2.7 倍。 近四分之一的黑客没有报告他们发现的漏洞,仅仅是因为公司没有办法提交这些漏洞。 金钱奖励仍然是黑客利用漏洞的主要原因,但与 2016 年相比,这一原因已从第一下降到第四。 如今,黑客将“有机会学习”作为漏洞挖掘的首要动机,“享受挑战的快感”和“过程很有趣”并列第二。 社区内,23%的成员来自印度,20%来自美国,6%来自俄罗斯,4%来自巴基斯坦,4%来自英国。 近 58% 的黑客是自学成才的。 大约 50% 的黑客在本科或研究生阶段学习计算机科学,26.4% 的黑客在高中或高中之前学习计算机科学。 然而,只有不到5%的黑客在课堂上学习了黑客技能。 37%的黑客表示,他们只是将黑客技术作为业余爱好。 黑客群体中,约12%的黑客年收入超过2万美元(约12.8万元人民币),3%的黑客年收入超过10万美元(约63.9万元人民币),1.1%的黑客年收入超过10万美元(约63.9万元人民币)。收入达到35万美元(约223.6万元人民币)。 25%的黑客获得的漏洞奖励占其年收入的50%以上,13.7%的黑客获得的漏洞奖励占其年收入的90%-100%。
4. 地理分布
社区中的黑客几乎遍布全球各个国家和地区。 印度、美国、俄罗斯、巴基斯坦和英国分别位居前五名,其中来自印度和美国的黑客成员占比43%。 如此广泛的黑客成员分布,使得“黑客攻击整个地球”成为可能。 由于大多数安全赏金计划都是在线发布和提交的,因此黑客可以轻松找到新的有利可图的机会。 美国或英国的公司可以直接与印度或俄罗斯的黑客密切合作,以快速找到最关键的漏洞。
4.1 漏洞赏金的国际资金流
在 2017 年 5 月发布的《黑客驱动的安全报告》中,我们告诉您,印度的黑客已获得总计超过 180 万美元的赏金。 然而,虽然印度的黑客获得了数百万美元的奖励,但这些奖励上花费的大部分钱并没有由印度公司支付。 下图显示了平台上漏洞赏金资金的流入和流出。
4.2 bug 猎人的经济状况
漏洞赏金往往可以改变黑客的生活。 我们比较了错误赏金计划中表现最好的人与类似工作的收入。 我们分别获取了40个国家和地区的薪资数据。 结果显示,顶尖研究人员的收入是软件工程师中位数工资的 2.7 倍。 那么,两者之间哪个国家的差距最大呢? 答案是印度。 在印度,顶级黑客的收入是软件工程师中位数工资的 16 倍。 这意味着挖掘漏洞比编写代码更有利可图。 这也是越来越多的人投身黑客行业的原因之一。
4.3 黑客焦点:
5. 人口统计
当今的黑客通常是年轻、充满好奇心且才华横溢的专业人士。 超过90%的黑客年龄在35岁以下,约58%是自学成才,约44%是IT专业人员。 教育仍然是社区努力的重点。 加州大学伯克利分校的学生可以在课堂上学习黑客知识并获得学分。 在课堂之外,黑客经常分享他们的知识并竭尽全力帮助他人。 想要学好黑客相关知识,需要不断努力学习,并对这些知识产生浓厚的兴趣。
5.1 年龄
在互联网上,90%以上的黑客年龄在35岁以下,50%以上的黑客年龄在25岁以上,8%以上的黑客年龄在18岁以下。 大多数(45.3%)黑客年龄在 18 至 24 岁之间,其次是 37.3% 的黑客年龄在 25 至 35 岁之间。
5.2 教育程度
绝大多数黑客 (58%) 都是自学成才,约 67% 从在线资源、博客、书籍或通过社区(包括其他黑客、朋友、同事等)学习黑客技巧和技巧。
5.3 职业生涯
近一半的黑客工作在IT/软件/硬件领域,其中超过44%专注于安全研究,33%从事软件开发。 如今,只有 25% 的黑客是学生。 13%的黑客表示,他们每周将全部或超过40个小时用于黑客相关工作。
5.4 每周花在黑客相关工作上的时间
超过 66% 的黑客每周花在黑客相关工作上的时间为 20 小时或更少,44% 的黑客每周花在 10 小时或更少的时间。 超过 20% 的黑客每周花费超过 30 小时。
5.5 黑客教育趋势
为社区赋权是我们的核心价值观之一。 黑客充满了好奇心,我们的目标是通过黑客教育满足每个人的好奇心。
5.5.1 通过学习黑客技术获得大学学分
我们很荣幸与加州大学伯克利分校合作,培训学生如何发现漏洞并开发更安全的软件。 有关此合作项目的详细信息,请阅读 CNN 的文章: 。 这是大学首次尝试为以黑客技术为中心的教育产品提供学分。
5.5.2 思想创新源于多样性
2017 年 6 月,我们与 合作组织了一次安全教育活动,我们聚集了女性工程师,举办了关于黑客和网络安全的研讨会。 该平台上的绝大多数黑客都是男性,但我们的最终目标是教育任何对黑客技术感兴趣的人。 在这次会议上,我们组织了赏金挑战、教育研讨会、黑客体验和抽奖活动,以赢得免费参加拉斯维加斯 DEF CON 25 的机会。
5.5.3 从最好的资源中学习
彼得的“Web 101”已分发超过 10,000 份 ( )。 截至目前,该平台上的新黑客会员有资格获得该书的免费副本。 此外,我们还为学生和社区团体提供面对面的研讨会,并与我们的现场黑客活动相结合。 比较知名的活动之一是 Frans Rosen 在拉斯维加斯 W 酒店屋顶池畔进行的现场直播。 主题是如何打造安全团队并持续获得影响力( )。 此外,它是我们社区的主页,其中包括所有可披露的漏洞的详细信息、黑客介绍、正在进行的项目和错误赏金活动。 披露报告是黑客学习的绝佳资源。 您可以在此处查看最近 20 份报告的摘要:。
5.6 黑客聚焦:
六、经验与信号
尽管目前许多黑客都很年轻,但近29%的黑客拥有6年以上的经验,其中超过10%的人至少从2006年开始就一直在进行入侵等相关工作(拥有至少11年的经验)。 对于我们来说,年龄并没有多大意义。 对于黑客提交的所有漏洞来说,()可能是最重要的指标和关注的焦点。 有关信号的详细说明,请参阅: 。 事实上,已发布的漏洞具有良好的信噪比,我们相信它会越来越好。
6.1 最重要的事情:黑客信号
拥有业界最佳的“信噪比”(SNR)。 在《黑客驱动的安全报告》中,我们向您展示了过去几年的信噪比,结果表明它正在稳步提高。 虽然我们为成为第一而感到自豪,但我们仍在不断追求更好:我们已经开始雄心勃勃的产品开发工作,以消除所有程序中的“噪音”。 在测试过程中,我们发现信号值显着改善。 2018 年将是重要的一年,敬请期待我们的更多变化。
信噪比的相关定义:
(1) 明确信号:漏洞报告状态设置为“已解决”。 这意味着该漏洞是经过漏洞响应团队验证的有效安全漏洞。
(2) 标称信号( ):漏洞报告已关闭,状态设置为“有价值的信息”或“重复提交的漏洞”。 尽管它们没有提供明确的信号,但这些报告大多数在技术上是准确的,可以供研究人员参考。
(3)噪音:这些漏洞报告的状态被设置为“不适用”或“无效提交”。 这些漏洞实际上并不以信噪比 (SNR) 中的“噪声”形式存在。
6.2 黑客焦点:Jack
7. 目标和工具
黑客如何选择参与的漏洞项目? 他们使用什么工具? 他们喜欢选择什么样的攻击面? 仔细阅读本章,即可找到上述问题的答案。
7.1 最流行的工具
如今,近 30% 的黑客使用 Burp Suite 来帮助他们查找漏洞,超过 15% 的黑客使用自行开发的工具。 其他用于查找漏洞的工具包括:网络代理和扫描器(12.6%)、网络漏洞扫描器(11.8%)、漏洞检查工具(9.9%)、调试器(9.7%)、安全评估工具(5.4%)、HTTP协议调试代理工具(5.3%)和(0.8%)。
7.2 热衷于研究网站、API和数据保护技术
黑客更喜欢网络应用程序。 超过70%的受访者表示,他们最喜欢的攻击平台或产品是网站,其余比例较高的是:API(7.5%)、他们使用的技术/他们拥有的数据(5%)、移动应用程序(4.2%)、操作系统(3.1%)和物联网产品(2.6%)。
7.3 黑客聚焦:詹姆斯
8. 动机
漏洞猎人寻找漏洞只是为了获得赏金吗? 错误的! 毫无疑问,奖金的激励是一个重要因素,但还有比金钱更重要的东西。 例如,好奇心是整个黑客社区不断的动力源泉。 一些实力雄厚的黑客会参与更高级的漏洞搜寻计划(例如美国国防部组织的漏洞挖掘活动)。 黑客们非常渴望尽最大努力让互联网变得更加安全。
8.1 金钱不是主要驱动力
金钱奖励仍然是黑客利用漏洞的主要原因,但与 2016 年相比,这一原因已从第一下降到第四。 如今,黑客将“有机会学习”作为漏洞挖掘的首要动机,“享受挑战的快感”和“过程很有趣”并列第二。 黑客攻击的其他主要原因是为了发展自己的职业生涯、有保护和防御的机会以及为世界做好事。 总的来说,他们希望继续提高和扩展自己的技能,希望从中获得乐趣,并希望在此过程中为构建更安全的互联网发挥自己的作用。
8.2 奖励水平和学习机会最重要
这些激励措施可以促使黑客更加关注漏洞,无论他们是想赚取收入还是想磨练自己的技能。 超过23%的黑客表示,他们会根据奖励的大小来选择参与的活动。 超过 20% 的黑客表示,他们会根据挑战和学习机会进行选择。 其他占比较高的决定因素还有:最喜欢的企业品牌(13%)、安全团队的响应速度/水平(10.7%)以及对公司的认可度(9.7%)。
8.3 寻找黑客最喜欢的攻击维度:跨站脚本XSS
我们还调查了黑客最喜欢的攻击维度、技术和方法。 超过 28% 的受访黑客表示,他们更喜欢利用 XSS 漏洞,其次是 SQL 注入(23.1%)和模糊测试(5.5%)。 )和暴力破解(4.5%)。
8.4 如何使用错误赏金奖励
五年来,总共颁发了 2.3 亿美元的奖项,我们预计到 2020 年将颁发 10 亿美元的奖项。在本文的 4.1 中,我们给出了资金流向的分布图,但具体针对每个黑客,他们如何使用收到的奖金? 在拉斯维加斯的线下黑客活动上,我们与一些黑客进行了交流。 以下是他们在采访中的一些回答:
8.5 黑客聚焦:Sam
9. 真正的社区:共同努力并获得奖励
我们在社交网络上有一个标签和口号,那就是#(众志成城,所向无敌),这意味着如果一个社区的所有成员都能团结起来,进行一项共同的事业,那么影响将是无限的。 正是黑客的团结,才让互联网更加安全。
9.1 经常独自工作,善于向他人学习
大约三分之一(30.6%)的黑客喜欢单独工作,31.3%的黑客喜欢阅读其他黑客的博客并向其学习,13%的黑客经常与其他同行合作,9%的黑客喜欢单独工作。 经常与其他黑客合作,8.7%的黑客曾担任其他黑客的导师或接受过其他黑客的指导,7.1%的黑客与他人联合提交过漏洞报告。
9.2 凝聚全社区力量参与全球黑客活动
在线交流是我们社区互动的程度。 然而,面对面讨论问题、共进午餐、击掌的机会在网上却消失了。 不仅仅是黑客社区,还有黑客直接与安全团队联系所带来的价值。 2017年,我们举办了四场在线黑客活动:旧金山、阿姆斯特丹、拉斯维加斯和纽约。 我们与客户密切合作,邀请来自世界各地的顶级会员抽出时间参加线下活动。 这些活动汇聚了一些最有前途的人才,同时连接了强大的安全团队,共同发现漏洞,探索攻击面,搭建人与人之间的友谊桥梁。
9.3 黑客聚焦:Frans
10、企业以更加开放的态度接受漏洞提交
对于没有漏洞披露政策(VDP)的公司,他们需要考虑将采用什么流程和渠道来安全地报告漏洞。 而且,我们需要为发现漏洞的黑客提供一个“避风港”。 最合法、最安全的方式是不披露这些漏洞,因为大多数黑客将无法找到合适的方式来披露这些漏洞。
事实上,近四分之一的黑客没有报告他们发现的漏洞,仅仅是因为公司没有办法提交这些漏洞。 但这并不意味着他们会不负责任地披露漏洞信息。 他们常常被迫通过其他渠道(例如社交媒体、向相关企业部门发送电子邮件)告知漏洞详细信息,但往往被忽视或误解。 。
关于漏洞披露政策 (VDP):这是组织用于接收外部提交的漏洞的正式方法。 通常采用@.XX电子邮件的形式,该方法在ISO 29147标准中定义。 但与漏洞赏金计划不同的是,漏洞披露政策不会向提交者发放金钱奖励,但这一政策仍然非常有效。 例如,美国国防部通过漏洞披露政策了解并修复了近3000个安全漏洞。 您可以在我们的指南中阅读有关漏洞披露政策的最佳实践:。
然而,当今的企业对于接收漏洞提交更加持开放态度。 根据我们对黑客的调查,72%的公司比以前变得更加开放和透明,34%的公司公开和透明度明显提高。
过去18个月里,美国国防部总共修复了约3000个漏洞。 每月修复超过 167 个漏洞,每天提交约 6 个漏洞。 您可以阅读更多内容: 。
10.1 黑客焦点:Tommy
11. 总结
在互联网的发展史上,有一些非常关键的漏洞由于好奇心和黑客的不断努力而被发现并解决。 首席安全架构师 Chris 曾表示:“不幸的是,黑客经常被描绘成坏人,但我认为过去 20 到 30 年里,我们实际上是好人。我们的工作就是帮助每个人了解风险,并帮助每个人真正意义上降低风险。”
作为世界上最大的白帽黑客社区,我们不断测试和发现各种类型组织中的安全漏洞——从热门的硅谷初创公司到 Play 商店、星巴克、通用汽车等公司,甚至世界知名的大型企业、市场和机构,例如美国国防部。
我们的使命是让世界互联网更安全。 我们已经取得了很大进展,但仍有许多工作要做。 漏洞披露政策现在得到了各个行业的规范和支持(详情见:),这是一个典型的力挽狂澜的例子。 对于企业管理者来说,使用漏洞披露政策不仅会为想要提供帮助的道德黑客创造一个安全的避风港,还会使您的公司更加安全,您的客户数据不会受到任何影响,并且您将拥有我们来自世界各地的安全团队。
我们还投资于其他黑客社区,以继续发展,并继续与世界各地的安全团队密切合作,帮助他们实现目标。 团结一心,我们所向无敌。
11.1 黑客聚焦:Brett
11.2 方法论
2017年12月,来自195个国家和地区的1700多名黑客被调查。 接受调查的黑客都在互联网上提交了至少一个有效的安全漏洞。 部分调查结果来自平台的数据源以及 900 多个错误赏金计划和漏洞披露计划。
11.3 关于
它是世界第一的安全平台,帮助组织在受到攻击之前了解并修复关键漏洞。 我们合作过的组织包括:美国国防部、美国分析局、、任天堂、松下、高通、移动支付、星巴克以及许多国家的互联网应急响应中心(CERT)。 目前有超过 1,000 个组织信任所提交的漏洞。 同时,已帮助客户修复超过57,000个漏洞,并发放了总计2.3亿美元的漏洞奖励。 总部位于旧金山,在伦敦和荷兰设有办事处。
让互联网更加安全是每一个白帽黑客应该坚守的使命。
微信扫一扫打赏
支付宝扫一扫打赏
