2020白帽年度报告：金钱不是第一驱动力

2020年是白帽报告不第特殊的一年，受全球疫情的年度影响，世界已经转变为数字化优先的金钱模式，而这也要求安全团队必须紧跟潮流迅速调整。驱动同时，白帽报告不第不断变化的年度攻击面和复杂的数字生态系统也为安全团队带来了新的挑战。

在过去的金钱一年里，白帽子们使出浑身解数，驱动从支持企业完成紧急的白帽报告不第数字化转型到投入大量时间帮助医疗服务行业，出色完成了众多挑战。年度

​[[387539]]​

全球知名漏洞众测平台HackerOne就2020年白帽黑客情况提供了一份调查报告。金钱报告显示，驱动在疫情流行背景下，白帽报告不第白帽们用自己多样且强大的年度专业知识与安全团队形成友好的共生伙伴关系。

本次报告中显示，金钱2020年HackerOne共有超过100万的白帽黑客，发放了4000万美元的赏金。并且，2020年有一名白帽在此平台收入突破200万美元大关。

主要发现

白帽动机分析：学习欲胜于金钱欲

​​

使白帽们维持积极性的并不仅仅是赏金，更多的是免费信息发布网想要获取知识与技能。还有47%的白帽出于自身的正义感，想要保护和捍卫企业与个人免受网络威胁。其原因可能是由于82%的白帽将自己定义为兼职白帽，并不靠这份工作养活自己。虽然不主要因为钱，但如果有赏金那就再好不过了，毕竟还有76%的人对赏金感兴趣。

此外，白帽的动机也影响到了他们挖到漏洞后的行动。

​​

当白帽们发现一个漏洞之后，他们首先想到的就是报告给企业。但是，如果他们不能找到一个明显的报告渠道的话，白帽们将会面临选择：什么都不做，或者公开披露漏洞。

50%选择不披露漏洞的白帽中，27%是因为没有渠道，另有27%是WordPress模板因为公司之前没有反应。既然有76%的白帽看重赏金，那么19%的人因为没有钱而不披露也并不奇怪。

疫情影响趋势，漏洞类型新变化

​​

报告显示，大部分漏洞类别同比之前都呈增长态势。在十大漏洞之中，信息披露的漏洞的有效提交量增幅最大，达到了65%。

此外，虽然没有进入十大漏洞，但是由于疫情导致的企业向云计算转移，错误配置的报告在2020年增长了310%。同时，被遗忘已久的HTTP请求干扰漏洞在2019年被重新披露新研究之后，在2020年，关于其的报告达到了848份。

随着白帽驱动的安全技术被广泛采用，白帽社区也在不断发展，变得更加敏捷、更加高效、更加复杂。在过去的一年里，一个白帽从加入平台到报告第一个漏洞，平均只需要16天。

在2020年，顶尖的白帽提交的报告平均涉及20个不同的漏洞。

虽然黑客们发现了新的漏洞和新的利用方法，但49%的黑客认为，随着低垂的漏洞被发现和修复，攻击面实际上正在硬化。虽然26%的黑客表示越来越难找到漏洞，但还有45%的黑客表示他们在过去一年中里发现了以前没有发现的漏洞。

2020白帽画像

HackerOne的白帽分布于全球各地。从图上来看，俄罗斯、中国、印度、澳大利亚、北美、巴西、阿根廷的白帽数量最多，欧洲、非洲也有部分国家拥有较多白帽。

​​

82%的白帽认为他们只是兼职黑客，并不依靠挖漏洞生存。

白帽黑客仍然是Z世代的热门追求，55%的群体年龄在25岁以下。黑客正在为他们的未来铺平道路;33%的人已经利用他们的技能获得了一份工作，23%的人计划在内部安全团队中继续从事信息安全工作。

​​

白帽们带来了专门的技能和领域专业知识，帮助安全团队在敏捷攻击面进行扩展测试。通过局外人的视角、不同的方法、经验和知识，黑客可以提交有影响的漏洞，这意味着你的攻击面得到更好的保护。

白帽在各个行业都有体现，59%的白帽关注互联网和在线服务，47%关注金融服务，41%关注零售与电子商务程序，43%关注计算机软件程序。

结论

自疫情发生以来，四分之一的安全团队的预算和人员被削减，各组织被迫大规模地以较少的资源保障更多的安全。与此同时，白帽们比以往任何时候都要忙碌。

自疫情开始以来，38%的人花了更多的时间进行攻击，34%的人获得了更多的赏金，34%的白帽表示由于流行病主导的数字化转型，他们看到了更多的bug，50%的人表示，总体而言，企业对白帽的态度变得更加积极。

最新评论