2020年是特殊的一年，受全球疫情的影響，世界已經轉變為數字化優先的模式，而這也要求安全團隊必須緊跟潮流迅速調整。同時，不斷變化的攻擊面和復雜的數字生態系統也為安全團隊帶來了新的挑戰。

在過去的一年里，白帽子們使出渾身解數，從支持企業完成緊急的數字化轉型到投入大量時間幫助醫療服務行業，出色完成了眾多挑戰。

?[[387539]]?

全球知名漏洞眾測平臺HackerOne就2020年白帽黑客情況提供了一份調查報告。報告顯示，在疫情流行背景下，白帽們用自己多樣且強大的專業知識與安全團隊形成友好的共生伙伴關系。

本次報告中顯示，2020年HackerOne共有超過100萬的白帽黑客，發放了4000萬美元的賞金。并且，2020年有一名白帽在此平臺收入突破200萬美元大關。

主要發現

• 自兩年前發布《2019年黑客報告》以來，HackerOne社區的規模已經翻了一番，注冊白帽人數超過100萬。并且在過去12個月中，提交漏洞的白帽數量增加了63%。
• 頭部白帽的報告中呈現的漏洞平均數為20個不同漏洞。
• 不正當訪問控制漏洞和特權升級漏洞提交量增加了53%。
• 由于疫情原因，企業向云計算轉移導致關于配置不當的報告增長310%。
• 50%的白帽選擇不提交發現的漏洞。因為找不到明確的提交流程或因為過去的負面經歷。
• 白帽動機不全是為了錢，雖然有很高的比例(76%)是為了賞金。但85%的人是為了學習技能，還有62%是為了促進職業發展。

白帽動機分析：學習欲勝于金錢欲

??

使白帽們維持積極性的并不僅僅是賞金，更多的是想要獲取知識與技能。還有47%的白帽出于自身的正義感，想要保護和捍衛企業與個人免受網絡威脅。其原因可能是由于82%的白帽將自己定義為兼職白帽，并不靠這份工作養活自己。雖然不主要因為錢，但如果有賞金那就再好不過了，畢竟還有76%的人對賞金感興趣。

此外，白帽的動機也影響到了他們挖到漏洞后的行動。

??

當白帽們發現一個漏洞之后，他們首先想到的就是報告給企業。但是，如果他們不能找到一個明顯的報告渠道的話，白帽們將會面臨選擇：什么都不做，或者公開披露漏洞。

50%選擇不披露漏洞的白帽中，27%是因為沒有渠道，另有27%是因為公司之前沒有反應。既然有76%的白帽看重賞金，那么19%的人因為沒有錢而不披露也并不奇怪。

疫情影響趨勢，漏洞類型新變化

??

報告顯示，大部分漏洞類別同比之前都呈增長態勢。在十大漏洞之中，信息披露的漏洞的有效提交量增幅最大，達到了65%。

此外，雖然沒有進入十大漏洞，但是由于疫情導致的企業向云計算轉移，錯誤配置的報告在2020年增長了310%。同時，被遺忘已久的HTTP請求干擾漏洞在2019年被重新披露新研究之后，在2020年，關于其的報告達到了848份。

隨著白帽驅動的安全技術被廣泛采用，白帽社區也在不斷發展，變得更加敏捷、更加高效、更加復雜。在過去的一年里，一個白帽從加入平臺到報告第一個漏洞，平均只需要16天。

在2020年，頂尖的白帽提交的報告平均涉及20個不同的漏洞。

雖然黑客們發現了新的漏洞和新的利用方法，但49%的黑客認為，隨著低垂的漏洞被發現和修復，攻擊面實際上正在硬化。雖然26%的黑客表示越來越難找到漏洞，但還有45%的黑客表示他們在過去一年中里發現了以前沒有發現的漏洞。

2020白帽畫像

HackerOne的白帽分布于全球各地。從圖上來看，俄羅斯、中國、印度、澳大利亞、北美、巴西、阿根廷的白帽數量最多，歐洲、非洲也有部分國家擁有較多白帽。

??

82%的白帽認為他們只是兼職黑客，并不依靠挖漏洞生存。

白帽黑客仍然是Z世代的熱門追求，55%的群體年齡在25歲以下。黑客正在為他們的未來鋪平道路;33%的人已經利用他們的技能獲得了一份工作，23%的人計劃在內部安全團隊中繼續從事信息安全工作。

??

白帽們帶來了專門的技能和領域專業知識，幫助安全團隊在敏捷攻擊面進行擴展測試。通過局外人的視角、不同的方法、經驗和知識，黑客可以提交有影響的漏洞，這意味著你的攻擊面得到更好的保護。

白帽在各個行業都有體現，59%的白帽關注互聯網和在線服務，47%關注金融服務，41%關注零售與電子商務程序，43%關注計算機軟件程序。

結論

自疫情發生以來，四分之一的安全團隊的預算和人員被削減，各組織被迫大規模地以較少的資源保障更多的安全。與此同時，白帽們比以往任何時候都要忙碌。

自疫情開始以來，38%的人花了更多的時間進行攻擊，34%的人獲得了更多的賞金，34%的白帽表示由于流行病主導的數字化轉型，他們看到了更多的bug，50%的人表示，總體而言，企業對白帽的態度變得更加積極。