作为一名潜伏在多个安全群的老司机,雷锋网编辑自认为对这个群体还不够了解。
比如某白帽群一位童鞋真诚发问,有没有想创业的,他可以带资进组。
下面一排踊跃回答的:
我想开个奶茶店,需要50万,现在还缺50万;
我想加盟肯德基;
coco吗?为妹子开?;
coco也需要营销,不过可以招个会营销的,需要我吗?
(新闻:农村一亩地,养活一家三口),我可以
做麻辣烫?
开……主题酒店?
总结:安全做不下去了,然而午饭过后,这群人又开始在群里交流技术了……
在攻与防的网络世界里,白帽子们夜晚工作的特性与高超的技术能力给他们蒙上了神秘的面纱,人们似乎对这个群体既充满敬意又存有顾虑,甚至其中还有不少的误解。比如你以为在网上日天日地的白帽子们现实里都是不爱说话的天才自闭青年,实际上他们年轻有活力,偶像是丹尼斯·里奇与肯·汤普生,来自企业的误解更可能会让他们提交的漏洞得不到认可。
如果给你一个机会,走近这群带着各种标签的“个性”青年们,你想知道什么?雷锋网(公众号:雷锋网)就在补天发布的《中国白帽子人才调查报告》中发现了不少秘密,统计结果可能比白帽子自己都了解自己。
年轻宅男/女
“年轻宅男”是白帽子群体的第一个显著特征。调研显示,“男同学”是组成白帽子群体的主要人群,超过半数的白帽子是95后。同时,白帽子人群的学历结构正在逐步提高,八成以上的白帽子拥有大专或本科以上学历,甚至硕士、博士群体的加入也已经不再罕见。
(一) 白帽子的性别比例
调研显示,中国95.4%的白帽子是男性,男女性别比例高达21:1,女生在白帽子中属于绝对的稀有品种。
(二) 白帽子的年龄分布
根据调查结果显示,白帽子的年龄集中在90后和95后。其中,95后年轻人占到了白帽子群体的53.9%。85后只占该群体的10%,而85前的活跃白帽仅占全体总数的不到1%。
(三) 白帽子的地理分布
目前,中国白帽子的人口分布集中在华东地区(约占25%)、华南地区(约占20%)、华北地区(约占20%)、华中地区(约占10%)、和西南地区(约占10%),再向下追溯更加聚焦于广东,北京,四川,山东,上海,江苏等经济科技相对发达地区及一线城市。
(四) 白帽子的学历情况
调查显示,有超过8成的白帽子拥有专科或本科学历,但有约4成白帽子为在校学生。其中,高中或初中在校生约占10%。总体而言,白帽子的学历水平正在不断提高,硕士、博士等高学历人群在白帽子群体中也已经不再罕见。
从白帽子所学专业来看。有将近80%的人学习的专业与计算机学科相关,如计算机科学与技术、网络工程、软件工程等。其中,来自信息安全专业的同学最多,占比为26.1%。可以看出,白帽子的专业化程度越来越高。外行挖洞,跨界挖洞的情况已经越来越少。
单身夜猫子
从生活上来看,白帽子是一群“爱玩不爱吃的单身夜猫子”。养成良好的生活习惯和找到自己的另一半是白帽子人生的最大课题。
(一) 白帽子的作息时间
作为一名白帽子,挖洞是生活的主旋律;作为一名技术宅,熬夜晚睡也是一种生活常态。调查显示,通常能在深夜12点前上床睡觉的白帽子仅有约51.2%,14.1%的白帽子常常通宵不睡。或许只有在深夜时候,白帽子们才能成为 “暗夜的正义使者”吧。
(二) 白帽子的饮食习惯
对于饮食,白帽子普遍不怎么挑剔:从来不在乎吃什么的白帽子超过35%,喜欢清淡饮食和快餐外卖的白帽子也分别多达25.4%和18.3%。真正能够自己下厨做饭,保持健康饮食的白帽子,仅有20%多一点。
(三) 白帽子的兴趣爱好
白帽子除了挖洞之外,同样拥有非常丰富的业余爱好,他们很喜欢打游戏,但是也很喜欢运动、音乐、旅行和追剧。
(四) 白帽子的情感状态
或许是因为挖洞的成就感远远超过了异性的吸引力,白帽子群体堪称单身狗俱乐部。接近60%的白帽子目前还是单身状态;虽然也有近三成的白帽子已经有了自己的女(男)朋友,但真正已婚、已育的白帽子仅有10%多一点。
已脱单比例如此之低,这与白帽子群体的年龄结构并不匹配。这或许与IT技术宅们普遍不善言辞,不善与人交流有关。不过好在白帽子们还普遍年轻,追求爱情还有时间!
挖洞事业
白帽子是一群爱学习,有追求,向往大城市生活的人;他们非常希望能够依靠自己的技术能力服务社会,改善生活。
(一) 白帽子期望工作的城市
调查显示,北上广深等一线城市依然是白帽子们首选的发展城市。发达城市能够给予白帽子更多的就业机会,更大的发展平台,以及更加前沿的技术资讯。不过仍有15.4%的白帽子期望回到自己的家乡工作。
(二) 白帽子的就职情况
从就业行业来看,有超过一半的白帽子进入了IT、互联网等行业,这与白帽子人群的学业背景是基本相符的。不过,特别值得注意的是,来自教育、国企、政府及事业单位和金融领域的白帽子也不在少数。这在某种程度上也反映出相关领域信息化水平正在快速提高,因此才吸引了大量白帽子人群的就业。客观的说,来自特定行业领域的白帽子,由于更加熟悉相关行业的业务系统,因此也更有利于他们快速发现这些行业领域信息系统中的安全漏洞。
就网络安全领域从业经验来看,近80%的白帽子进入安全圈的时间为3年以下,其中31.2%的白帽子进入安全圈的时间小于1年,50.0%的白帽子进入安全圈的时间为1-3年;另外,也有14.7%的白帽子进入安全圈的时间为4-6年,进入安全圈工作6年以上的活跃白帽子只占群体总数4%左右。可以说,入圈6年以上的白帽子,真的就是名副其实的安全“老帽”了。
从收入方面开来,在已经毕业工作的白帽子中,月收入在8000-12000元的占比最多,达到了20%以上;其次是月收入5000-8000元的白帽子,占比为16.2%左右。下图数据在一定程度上反映出了白帽子群体的薪资基本水平,白帽子们可以作为参考,努力丰富自己,赢得与自身价值匹配的薪资。
特别的,在这些已经毕业工作的白帽子中,仍有约15.8%的白帽子是无固定收入的。这也在一定程度上反映出了部分白帽子的生活困境。
此外,因为很多学生群体的白帽子还没有参加实习或兼职工作,也都处在“无固定收入”的状态。不过也有20%左右的学生白帽子每月能获得3千-8千元固定收入,我们还发现,有6%左右的学生白帽子每月能够获得8000-20000的可观收入。
(三) 白帽子的就业期望
对于学生群体白帽子的求职情况来说,45.5%的白帽子没有清晰的目标岗位,以及职业规划,非常需要进行就业指导;31.3%的学生白帽子有相对清晰的职位选择和职业发展规划,认为自己不需要就业指导;。还有23.2%的白帽子对就业的概念很模糊。
从学生群体的白帽子对找工作的态度来看,有10.2%的白帽子是惧怕找工作的,31.3%的白帽子没有明确的态度;15.9%的白帽子暂时不找工作;有42.6%的白帽子不恐惧找工作。
当被问及毕业后希望从事哪些方向的工作时,87.1%的学生白帽子表示希望毕业后能继续从事网络安全相关工作,这表明,网络安全工作对白帽子还是很有吸引力的,而且大部分白帽子也相信从事网络安全工作会有很好的发展前景。
对于学生白帽子群体来说,最有吸引力的网络安全工作岗位是渗透测试工程师,88.6%的白帽子希望能够从事这一岗位,这也是和白帽子挖洞工作性质最为接近的岗位。排名第二和第三的岗位分别是测试工程师和安全运维工程师。
多种技能
挖什么样的洞,为什么样的系统挖洞,不同的白帽子会有不同的选择。
(一) 目标企业与目标用户
“爱挑你的毛病,很可能是因为她爱你”。这句话似乎也非常适合于白帽子群体。
调查显示,超过半数的白帽子会更倾向于选择给自己喜欢的企业挖洞,而选择给知名企业,或使用过其产品的企业挖洞的白帽子也都接近半数。真正会专门选择给自己不喜欢的企业挖洞的白帽子仅占白帽子群体的12.4%。白帽子选择的挖洞对象原因,很大程度上是因为他们喜欢这些企业或尊敬这些企业。一个企业,越是受到白帽子的关注,被白帽子报告的漏洞数量越多,就越是说明这个企业或这个企业的产品深受白帽子们的欢迎。
从白帽子关注的行业来看:互联网行业排名第一,关注度为66.3%;其次是教育行业,关注度为54.1%;排名第三的事政府机构和事业单位,关注度为49.3%。
(二) 擅长挖掘的漏洞类型
在各种类型的安全漏洞中,白帽子们普遍擅长挖掘的漏洞还是传统的Web漏洞,擅长比例高达95.9%;其次是操作系统漏洞和Android移动应用程序漏洞,不过擅长此类漏洞的白帽子比例一下子下跌到13%-14%。其他几类应用环境下的安全漏洞,擅长的白帽子比例均低于10%。
可见,当下白帽子们的“偏科”现象比较严重,对于移动互联网、物联网等领域的漏洞挖掘能力仍然普遍不足。而实际上,企业对移动互联网、物联网等领域安全漏洞的关注正在持续上升,在这些应用领域有特长的白帽子可能会得到更好的发展空间。
在各类Web安全漏洞中,白帽子们最擅长挖掘的是SQL注入漏洞,擅长比例高达71.7%;其次为XSS漏洞,擅长比例为63.7%;逻辑漏洞排第三,擅长比例为52.9%。
(三) 白帽子的漏洞提交量
白帽子常常活跃在国内各大知名的漏洞平台以及各家企业的SRC。在这里,在接受调研的白帽子中,有超过半数的白帽子为这些平台或SRC提交过10个以上的漏洞,值得一提的是,有8.0%的白帽子提交过超过500个漏洞,堪称“洞霸”!
(四) 白帽子偏爱的奖励机制
对于自己的挖洞成果,85.9%的白帽子还是很期望获得现金奖励;同样有50.5%比较重视荣誉。下图给出了白帽子们偏爱的奖励机制分布。客观的说,希望通过自己的挖洞特长获取收入并改善生活,是白帽子们的基本需求。而第三方漏洞平台为白帽子建立的奖励机制和厂商提供的奖金,都非常有助于吸引和鼓励白帽子们提交更多的漏洞。
挖洞收入
通过挖洞,白帽子到底能够获得多少收入呢?调查显示,超过60.7%的白帽子通过提交漏洞每月获得的奖励在300元以下, 20%的白帽子可通过提交漏洞获得1000元以上的奖励。其中,仅仅有不到10%的白帽子可以每月获得3000元以上的奖励,而这些白帽子大多参与了“众测”项目。很多白帽子反映漏洞越来越难挖,这与国内网络安全建设愈发受到重视有很大的关系,“高价值”的漏洞对技术的要求越来越高,这也是对白帽子群体的技术水平发起的挑战。
总体而言,真正能靠挖洞来养家糊口的白帽子,目前来说还只是极少数,但高水平白帽子通过挖洞月入数万也已经不是什么新闻了。白帽子群体的能力差距仍然十分悬殊。
(一)活跃的漏洞平台
目前,在国内,白帽子提交漏洞的主要渠道有三类:第三方漏洞平台、国家漏洞库CNVD和企业自建的SRC。调查显示,白帽子最为活跃的平台是第三方漏洞平台,87.3%的白帽子会选择第三方漏洞平台;其次是企业SRC,而选择直接向CNVD报告漏洞白帽子数量最少。造成这种情况可能的原因之一,是第三方漏洞平台和企业SRC能够向白帽子提供更多奖金并能和白帽子们保持良好的互动。
职业规划
如果问10个白帽子,未来的职业理想或职业发展规划是什么,有6个会回答你他们更想成为技术领域的资深专家,大约3个会告诉你他们想向管理方向发展,只有1个不想被职场束缚希望成为自由职业者,白帽子们果然是对技术高度充满理想的追梦少年。
(一) 白帽子对职业未来的期待
对大部分白帽子来讲,未来能够成为技术领域的专家(31.5%)或资深工程师(27.8%)是非常值得期待的事情,有约四分之一的白帽子更倾向于向管理岗位是发展。
从未来3-5年内,白帽子期望的薪资范围的来看,32.9%的白帽子希望获得3万元以上。
(二)白帽子对漏洞酬金的看法
虽然帮助企业发现漏洞是自发行为,但73.4%白帽子们仍然希望能够得到企业的奖励认可,另外26.6%的白帽子为企业提交漏洞只是自己的兴趣和责任,并不期待奖励认可。
(三) 白帽子对自我价值的认知
在白帽子眼中,自己挖洞所体现的社会价值,不单单为企业减少了安全隐患,同样维护了互联网用户个人信息的安全,为国家的网络安全建设贡献了自己的力量。
更懂你的是企业
作为一种特殊的“职业”,白帽子的工作往往不被理解。其实,白帽子也同样期待得到社会的认同,这种认同来自企业和家庭两个方面:得不到政企机构的认可,自己的努力就没有了意义;而得不到家庭的认可,自己的努力就不会带来幸福。
那么,在企业和家人的眼中,白帽子的工作到底是个什么样子呢?调查显示,企业远比家人更懂白帽子!
(一)企业对白帽子的看法
曾经,有些人会误以为白帽子的挖洞工作完全可以由漏扫工具或机器代替。调研显示,时至今日,持这种想法的企业安全管理人员占比仍然高达27.5%。尽管66.7%的人能够正确认识人工挖洞的不可替代性,但这一调查结果仍然令人十分堪忧。
那么,在企业眼中,白帽子提交的高危安全漏洞到底值多少钱呢?调查显示,愿意为高危漏洞向白帽子支付1000-3000元酬金的企业最多,占比为29.1%;其次是3000-10000元酬金,占比为25.2%;特别的,有22.0%的企业愿意为单个高危漏洞向白帽子支付10000元以上的酬金。这一调查结果显示:企业对白帽子提交的高危安漏洞的价值认可度还是比较高的。
(二)家人对白帽子的看法
那么,白帽子的工作是否能够得到家人的理解呢?
调查显示,近一半白帽子的家人并不是很清楚他们在做的事情,也不了解白帽子们所做事情的社会价值;16%以上白帽子的家人对白帽子的工作表示不太理解或非常不理解;而真正表示非常理解的白帽子的家人,占比仅为13.4%。事实上,在绝大多数年轻白帽子的家人眼中,白帽子仍然是每天守着电脑不好好学习的“网瘾少年”。
可以看出,白帽子的工作,要得到整个社会的认可,还有很长的路要走。
雷锋网报告来源:补天
。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/116370.html