《奇安信:2023中国实战化白帽人才能力白皮书(39页).pdf》由会员分享,可在线阅读,更多相关《奇安信:2023中国实战化白帽人才能力白皮书(39页).pdf(39页珍藏版)》请在三个皮匠报告上搜索。
1、 中国实战化白帽人才能力白皮书 2022.11 补天漏洞响应平台 奇安信安服团队 奇安信行业安全研究中心 主要观点 实战化白帽人才的能力正在以实战化白帽人才的能力正在以 5 50 0%回归率为标准结构性调整。回归率为标准结构性调整。通过报告数据可见,若一类能力的人才平均掌握率显著高于 50%,那么人才平均掌握率就会随时间变化呈现下降趋势。反之若显著低于 50%,则人才平均掌握率会随时间变化呈现显著或小幅的上升趋势。实战化白帽人才队伍能力逐渐全面、均衡、优化发展。实战化白帽人才队伍能力逐渐全面、均衡、优化发展。相当一部分新入行的白帽子,不愿意在已经很卷的成熟市场领域继续深耕,如 Web 漏洞利用
2、(基础)、Web 漏洞挖掘(进阶)等领域内竞争,而是转向人才相对更加稀缺的高级安全工具(高阶)、编写 PoC 或EXP(高阶)、掌握 CPU 指令集(高阶)等方面能力的学习。未来相当长一段时间,高水平实战化白帽人才仍将比较稀缺。未来相当长一段时间,高水平实战化白帽人才仍将比较稀缺。在高阶能力的各个类别中,实战化白帽人才系统层漏洞利用与防护的掌握能力仍旧最低。仅为 14.1%。也就是说,平均每 7 个白帽子,才有一名白帽子掌握系统层漏洞利用与防护的实战化能力。白帽人才最为稀缺的单项实战化能力是针对 iOS 和 macOS 系统编写 PoC 或 EXP 的能力。掌握这两项能力的白帽子仅有 6.6%
3、和 3.5%。也就是说,平均每 100 个白帽子中,最多才有 5 个白帽子具备编写 iOS 或 macOS 操作系统漏洞验证代码或漏洞利用代码的能力。从高级安全工具入手学习高阶能力是白帽人才很好的选择。从高级安全工具入手学习高阶能力是白帽人才很好的选择。在高阶能力的各个类别中,高级安全工具的平均掌握率较 2020 年有显著的上升,从 23.9%增长到 29.2%。摘 要 最新调研成果显示,在“实战化白帽人才能力图谱”所关注的 3 个级别、14 大类、87项具体的实战化能力中,各项能力总体的平均掌握率已经从 2020 年末的 38.8%,提升至 2023 年 8 月的 41.4%,提升了 2.6
4、 个百分点。但与 2022 年 7 月的 45.5%比,降低了4 个百分点。基础能力的 2 大类 20 项具体能力的平均掌握率从 74.2%下降至 66.3%,降低了 7.9 个百分点;进阶能力 4 大类 23 项具体能力的平均掌握率从55.0%降低至 43.5%,下降了11.5个百分点,而高阶能力的平均掌握率从 27.3%增长至 28.7%,增加了 1.4个百分点,8 大类 44 项具体能力的平均掌握率是三个级别的能力中唯一有所增长的方向。Web漏洞利用能力的平均掌握率从57.0%,大幅增长到74.5%,而后又平稳恢复至65.8%;而基础安全工具的平均掌握率则变化不大,从 74.5%持续下降
5、至 67.1%。目前,两大类实战化基础能力的平均掌握率已经十分接近,人才储备均相对充实。Web 漏洞挖掘和社工钓鱼这两类技能的人才的储备量近两年均超过半数。其中,Web 漏洞挖掘能力的平均掌握率为 56.7%,社工钓鱼能力的平均掌握率为 52.1%。内网渗透能力的平均掌握率,从 2020 年末的 59.7%下降到 2023 年 8 月的 45.9%,但仍然是白帽人才平均掌握率最高的实战化高阶能力类别。其次是身份隐藏能力,2023 年白帽人才身份隐藏能力的平均掌握率为 44.7%。调研显示,Burp Suite 的平均掌握率最高,为 92.5%,是 2023 年度实战化白帽人才中唯一掌握率超过
6、9 成的基础安全工具,算得上是最基础的入门级安全工具。其次为Sqlmap,平均掌握率为 82.4%,排名第二。而 AppScan 和 Cobalt Strike 的平均掌握率均不足 50%。也就是说,一半以上的白帽子不会使用 Cobalt Strike 和 AppScan 两款安全工具。调研显示,针对苹果公司的操作系统,有 PoC 或 EXP 编写能力的白帽子非常“稀有”,iOS 6.6%、macOS 3.5%。关键字关键字:实战化、白帽子、攻防演习、能力图谱、漏洞挖掘、目 录 研究背景研究背景.1 第一章第一章 实战化白帽人才能力变化趋势实战化白帽人才能力变化趋势.3 第二章第二章 实战化白
7、帽人才能力现状分析实战化白帽人才能力现状分析.7 一、基础能力.7 二、进阶能力.8 三、高阶能力.11 第三章第三章 总结总结.18 附录附录 1 1 实战化白帽实战化白帽人才人才能力各项技能详解能力各项技能详解.19 一、基础能力.19 二、进阶能力.22 三、高阶能力.25 附录附录 2 2 补天漏洞响应平台补天漏洞响应平台.35 附录附录 3 3 奇安信蓝队能力及攻防实践奇安信蓝队能力及攻防实践.错误!未定义书签。1 研究背景 实战化能力,是网络安全实战化发展对白帽子攻防能力的必然要求。相比于单纯的挖洞能力,白帽子的实战化能力有以下几方面的特点:1)攻防过程针对的是业务系统,而并非单纯
8、的 IT 系统。2)挖洞只是攻防过程中的辅助,攻击必须要有实际效果。3)针对系统的攻击是一个过程,技术之外允许使用社工。4)实战在动态攻防环境中进行,目标系统有人运行值守。2021 年 1 月,补天漏洞响应平台、奇安信安服团队、奇安信行业安全研究中心首次联合发布的中国实战化白帽人才能力白皮书(2020)(简称:白皮书(2020)。白皮书(2020 结合 1900 余个目标系统的攻防实战经验,首次提出了实战化白帽人才能力的概念,并给出了“实战化白帽人才能力图谱”。图谱详细列举了白帽人才在实战化过程中,所需要掌握的 3 个级别、14 个大类、87 项具体能力。白皮书还对每一项技能的含义与要求,进行
9、了详细的说明。以图谱为基础,我们对 518 名白帽子进行了实战化能力调研。白皮书(2020对实战化白帽人才的能力培养给出了明确的指导方向和市场分析,引起了大量用人单位、教育机构、特别是白帽子群体的高度关注和认可。2023 年 8 月,补天漏洞响应平台再次对平台上活跃的 518 名白帽子进行了实战化能力调研,并以此次调研为基础,撰写了中国实战化白帽人才能力白皮书(2023)(简称:白皮书(2023),希望能够对提升国内白帽子群体的整体能力水平,促进安全行业的实战化白帽子人才发展及能力培养工作有所帮助。特别说明,白皮书(2023)“实战化白帽人才能力图谱”由 3 个级别、14 个大类、87项具体能
10、力集合而成。如下图所示。2 3 第一章 实战化白帽人才能力变化趋势 自 2021 年 1 月,中国实战化白帽人才能力白皮书(2020)发布以来,我国白帽人才群体的实战化能力已经得到了普遍的、显著的提升。最新调研成果显示,在“实战化白帽人才能力图谱”所关注的 3 个级别、14 大类、87 项具体的实战化能力中,各项能力总体的平均掌握率已经从 2020 年末的 38.8%,提升至 2023 年 8 月的 41.4%,提升了 2.6 个百分点。但与 2022 年 7 月的 45.5%比,降低了 4 个百分点。其中,基础能力的 2 大类 20 项具体能力的平均掌握率从 74.2%下降至 66.3%,降
11、低了7.9 个百分点;进阶能力 4 大类 23 项具体能力的平均掌握率从55.0%降低至 43.5%,下降了11.5 个百分点,而高阶能力的平均掌握率从 27.3%增长至 28.7%,增加了 1.4 个百分点,8大类 44 项具体能力的平均掌握率是三个级别的能力中唯一有所增长的方向。在本次白皮书中,单项能力的平均掌握率,是指在受调研的白帽子群体中,掌握某项具体的实战化能力的白帽子人数,占所有受调研白帽子总人数的比例。而多项能力的总体平均掌握率,则是各单项能力的平均掌握率的总平均值,具体计算方法如下:单项能力的平均掌握率=掌握该项能力的白帽子人数受调研的白帽群体总人数 多项能力总体平均掌握率=1
12、 第项能力的平均掌握率=1 通过数据分析,我们惊讶的发现“50%回归率”现象。即表面上看,基础能力人才平均掌握率从 74.2%下降到了 66.3%,进阶能力从 55.0%下降到了 43.3%,高阶能力变化不大,总平均掌握率从 45.4%下降到 41.4%,似乎是人才掌握的能力越来越少了。但详细分析基础能力、进阶能力、高阶能力的细分项变化后,就会发现,对于白帽人才来说,人才对不同能力的平均掌握率的平衡点似乎恰好出现在 50%左右。4 50%50%回归率回归率 当一个市场竞争激烈、内卷严重时,人才就会流出,同时也并不会降低这个市场的整体供给能力。反之,如果一个市场人才稀缺,就会不断的有人才涌入这个
13、市场,提升这个领域的整体供给能力。如果一个市场人才供求平衡,那么人才流入和流出的速度都会相差不大。我们发现,不论是对比三年的总趋势还是对比 20222023 年的变化,也不论一个技能是基础能力、进阶能力还是高阶能力(能力级别只代表能力学习的难度,不代表人才的稀缺程度),一个显著的共同现象就是:1、如果一类能力的人才平均掌握率显著高于 50%,那么人才平均掌握率就会随时间变化呈现显著的下降趋势 2、如果一类能力的人才平均掌握率显著低于 50%,那么人才平均掌握率就会随时间变化呈现显著的或小幅的上升趋势 3、如果一类能力的人才平均掌握率接近于 50%,那么人才平均掌握率就会随时间变化呈现小幅波动态
14、势 所以说,白帽人才的能力平均掌握率并不是简单的下降了,而是实在的结构性调整。50%回归率的本质,是市场对人才竞争的调节作用。相当一部分新入行的白帽子,不愿意在已经很卷的成熟市场领域内竞争,如 Web 漏洞利用(基础能力)、Web 漏洞挖掘(进阶能力)等,而是转向人才相对更加稀缺的高级安全工具(高阶能力)、编写 PoC 或 EXP(高阶能力)、掌握 CPU 指令集(高阶能力)等方面能力的学习。(详细分析见下文)相比基础能力和进阶能力实战化白帽人才选择更加困难的高阶能力,所以才造成了高阶能力平均掌握率的增长幅度没能填补基础能力、进阶能力平均掌握率的下降占比,进而导致安全技能的总体平均掌握率有所下
15、降的情况发生。综上,我们推断白帽人才能力的建设与发展,不能简单的只看人才掌握技能数量的多少,而是应当积极的促进人才队伍能力结构全面、均衡、优化发展。适当的压缩过剩的低端产能,尽快补足短板,提升进阶能力,特别是高阶能力的平均掌握率,是白帽人才培养的当务之急。而我们的 白皮书 已经给白帽子自学、给有关单位引导培养,指出了具体的、科学的方向。详细分析来看,相比于 2020 年末,到 2023 年 8 月,虽然拥有高阶能力的实战化白帽人才的比例,有小幅增加,但在整体白帽人才能力掌握上仍旧处于最少。这也进一步说明,高水平的实战化白帽人才,在当前和未来相当长的一段时间里,仍将是比较稀缺的。下图给出的是两类
16、基础能力平均掌握率的变化趋势。可以看出,Web 漏洞利用能力的平均掌握率从 57.0%,大幅增长到 74.5%,而后又平稳恢复至 65.8%;而基础安全工具的平均掌握率则变化不大,从 74.5%持续下降至 67.1%。目前,两大类实战化基础能力的平均掌握率已经十分接近,人才储备均相对充实。5 下图给出的是四类进阶能力的平均掌握率变化趋势。可以看出,Web 漏洞挖掘和社工钓鱼这两类技能的人才的储备量近两年均超过半数。其中,Web 漏洞挖掘能力的平均掌握率为56.7%,社工钓鱼能力的平均掌握率为 52.1%。与此同时 Web 开发与变成和编写 PoC 或 EXP等利用量类技能也在平稳上升中,其中,
17、编写 PoC 或 EXP 等利用能力近两年在平稳上升,由2022 年的 49.1%稳步突破半数大关上升至 50.5%;Web 开发与编程能力由 2022 年的 31.1%上升至 34.6%,虽然仍旧较少,但与前两年比均有提高。可见白帽人才正在努力完善和全面发展自己的进阶能力。下图给出的是 8 类高阶能力的平均掌握率变化趋势。总体来看,在高阶能力中,掌握各类能力的人才分布情况近两年整体略有增加但掌握情况均未达半成。内网渗透能力的平均掌握率,从 2020 年末的 59.7%下降到 2023 年 8 月的 45.9%,但仍然是白帽人才平均掌握率最高的实战化高阶能力类别。其次是身份隐藏能力,2023
18、年白帽人才身份隐藏能力的平均掌握率为 44.7%。而系统层漏洞利用与防护平均掌握率最低,仅为 14.1%,也就是说,平均每7 个白帽子,才有一名白帽子掌握系统层漏洞利用与防护的实战化能力。6 值得注意的是,在各类高阶能力中,高级安全工具的掌握与编写 PoC 或 EXP 等高级利用能力近两年均在稳步上涨。其中,高级安全工具的掌握能力从 2021 年的 23.9%,到 2022 年的 29.2%,2023 年已稳步上涨至 32.8%,编写 PoC 或 EXP 等高级利用能力也从 2021 年的10.9%涨至 2023 年的 16.5%,上涨了 5.6 个百分点。从高级安全工具与高级编程利用入手学习
19、高阶能力是白帽人才很好的选择。7 第二章 实战化白帽人才能力现状分析 2023 年 8 月,根据“实战化白帽人才能力图谱”,补天漏洞响应平台针对平台上活跃的518 名白帽子进行了实战化能力调研,本章将给出具体的调研结果和分析。一、基础能力 基础能力是比较初级的白帽人才实战化能力,学习和掌握相对容易,通常也是其他各类高级实战化能力学习和实践的基础。基础能力主要包括 Web 漏洞利用与基础安全工具使用两大类。(一)Web 漏洞利用 由于 Web 系统是绝大多数机构业务系统或对外服务系统的构建形式,所以 Web 漏洞利用也是最常见,最基础的网络攻击形式之一。在实战攻防演习中,白帽子最为经常利用的 W
20、eb漏洞形式包括:命令执行、SQL 注入、代码执行、逻辑漏洞、解析漏洞、信息泄露、XSS、配置错误、弱口令、反序列化、文件上传、权限绕过等。调研显示,2023 年在所有的 Web 漏洞利用能力中,SQL 注入和命令执行的平均掌握率最高,但均未超过 90%:在实战中,88.0%的白帽子发现并利用过 SQL 注入漏洞,77.2%的白帽子发现并利用过命令执行漏洞。利用过 SQL 注入漏洞的白帽子如此诸多,主要原因是 SQL 注入类漏洞在实战化环境中最为常见。相比之下,平均掌握率最低的三种漏洞仍旧为反序列化漏洞、解析漏洞和配置错误,只有几乎不到半数的白帽子在实战中发现并利用过这三种漏洞。具体调研结果如
21、下图。(二)基础安全工具 基础安全工具是指安全分析或攻防实战过程中,经常使用到的一些初级的、基础的软件工具。比较常见的基础安全工具包括:Burp Suite、Sqlmap、Nmap、Wireshark、AppScan、AWVS、MSF、Cobalt Strike 等。8 调研显示,Burp Suite 的平均掌握率最高,为 92.5%,是 2023 年度实战化白帽人才中唯一掌握率超过 9 成的基础安全工具,算得上是最基础的入门级安全工具。其次为 Sqlmap,平均掌握率为 82.4%,排名第二。而 AppScan 和 Cobalt Strike 的平均掌握率均不足 50%。也就是说,一半以上的
22、白帽子不会使用 Cobalt Strike 和 AppScan 两款安全工具。具体调研结果如下图所示。二、进阶能力 进阶能力是相对更加高级的实战化白帽能力,学习和掌握的难度高于基础能力,但低于高阶能力,主要包括 Web 漏洞挖掘、Web 开发与编程、编写 PoC 或 EXP 等利用、社工钓鱼等。(一)Web 漏洞挖掘 Web 漏洞挖掘能力是指针对 Web 系统或软件进行漏洞挖掘的能力。在白帽子挖掘的 Web应用漏洞中,比较常见的漏洞形式包括:SQL 注入、弱口令、命令执行、逻辑漏洞、XSS、代码执行、解析漏洞、信息泄露、配置错误、反序列化、文件上传、权限绕过等。9 由于漏洞挖掘要比漏洞利用困难
23、得多,所以,各种 Web 漏洞挖掘能力的平均掌握率均显著低于同类漏洞的漏洞利用能力 710 个百分点。其中,SQL 注入漏洞的挖掘能力平均掌握率最高,为 79.5%,与 2022 年 82.4%的掌握率相比略有下降。其次为弱口令漏洞,掌握率为68.0%排名第二,命令执行类漏洞挖掘能力排名第三,其平均掌握率为 66.2%。但值得注意的是,各项技能与 2022 年 web 漏洞挖掘能力掌握情况相比,弱口令漏洞和权限绕过类漏洞的挖掘能力平均掌握率下降显著。弱口令类漏洞挖掘掌握能力与 2022 年相比下降 15.5 个百分点,权限绕过类漏洞 2022 年掌握率为 58.4%,而 2023 年仅为 45
24、.4%,下降了 13 个百分点。具体调研结果如上图。漏洞挖掘能力学习的难易程度,不仅与漏洞本身的技术原理或技术门槛有关,也与漏洞出现的概率有关。例如,反序列化漏洞大多对白帽子本身的代码掌握情况有要求,同时随着重要政企机构安全水平的普遍提高,配置错误导致的安全漏洞也会越来越少,因此这几类漏洞在实战环境下可能就会越来越难地被白帽子发现和利用。(二)Web 开发与编程 掌握一门或几门的开发与编程语言,是白帽子深入挖掘 Web 应用漏洞,分析 Web 站点及业务系统运行机制的重要基础能力。在实战攻防演习中,白帽子最为经常遇到和需要掌握的编程语言包括:Java、PHP、Python、C/C+、Golan
25、g 等。调研显示,在 5 种最常用的 Web 开发语言中,掌握 Python 语言开发与编程的白帽子人才最多,占比约为 68.0%,与 2022 年的 67.5%基本持平;其次是 PHP,占比为 33.0%。值得注意的是,Java 与 C/C+两张语言的掌握情况涨势较好。掌握 Java 的白帽子约为 32.8%,与 2022 年的 23.2%相比提高了 9.6 个百分点,掌握 C/C+白帽子约为 29.0%,相比于 2022年提高了 9.4 个百分点,二者均有显著提高。而掌握 Golang 的白帽子也终于突破 10.0%的大关,2023 年占比 10.4%。具体调研结果如下图。此外,还有约 2
26、7.4%的白帽子表示,他们虽然熟悉一些编程语言,但并没有真正的 Web 开发经验,不会进行真正的开发工作。总体而言,白帽子在 Web 开发与编程方面的能力是普遍较低的,绝大多数的白帽子,并不掌握除 Python 以外的其他 Web 开发语言。这很有可能成为我国实战化白帽人才能力长远发展的重要瓶颈。但比较乐观的是,通过近两年的情况可以看到,白帽子越来越清晰的知道自己的优势与劣势,正在努力提升 web 开发与编程的能力。10(三)编写 PoC 或 EXP 等利用 编写漏洞验证代码或漏洞利用代码,是比单纯的漏洞发现更加具有实战意义的白帽能力。其中主要包括 PoC(Proof of Concept)或
27、 EXP(Exploit)这两种方式。关于 PoC,和 EXP 的详细解释,参见附录 1。在进阶能力中,PoC 或 EXP 等利用主要针对的是 Web 漏洞、智能硬件/IoT 漏洞等系统环境。调研显示,掌握 Web 漏洞的 PoC 或 EXP 编写能力的白帽子,占比高达 87.1%,几乎可以算是人人都会的必备技能。但是,掌握智能硬件/IoT 漏洞的 PoC 或 EXP 编写能力的白帽子,则占比仅为 13.9%,大约相当于平均每 7 个白帽子中,才有 1 人掌握针对智能硬件或IoT 设备编写漏洞验证代码或利用代码的能力。这与今天智能硬件/IoT 设备高度普及的现状是相当不匹配的。具体调研结果如下
28、图。(四)社工钓鱼 社工钓鱼,是指利用社会工程学手法,利用伪装、欺诈、诱导等方式,利用人的安全意识不足或安全能力不足,对目标机构特定人群实施网络攻击的一种手段。社工钓鱼,既是实战攻防演习中经常使用的作战手法,也是黑产团伙或黑客组织最为经常使用的攻击方式。在很多情况下,“搞人”要比“搞系统”容易得多。社工钓鱼的方法和手段多种多样。在实战攻防演习中,最为常用,也是最为实用的技能主要有四种:开源情报收集、社工库收集、鱼叉邮件和社交钓鱼。其中,前面两个都属于情报收集能力,而后面两个则属于攻防互动能力。11 调研显示,约 86.1%的白帽子曾经在实战攻防演习中使用过社工钓鱼手法,完全没用过任何形式社工钓
29、鱼手法的白帽子仅有 13.9%。这表明,社工钓鱼已经成为实战攻防演习的重要组成部分和普遍使用的攻防手法,单纯基于技术的攻防思想已经完全不适用于现代实战攻防演习活动。具体调研结果如上图。在四种最常用的社工钓鱼方法中,使用过社工库收集的白帽子最多,占比为 62.6%;其次是开源情报收集,占比为 61.8%;49.0%的白帽子曾使用过社交钓鱼;仅 34.6%的白帽子使用过鱼叉邮件。事实上,从我们对各类高级威胁,特别是 APT 活动的研究中可以明显的发现,鱼叉邮件一直是攻击成本最低、攻击成功率最高的攻击方法之一。但在实战攻防演习工作中,仅有约三分之一的白帽子使用过鱼叉邮件,这与鱼叉邮件在实战攻防过程中
30、的实际地位是不相配的。造成这种情况的原因有几个方面:首先,鱼叉邮件虽然成本低,但也有一定的技术门槛,特别是需要一定的前期情报收集,需要对目标个体或群体有比较充分的了解,否则很难构造出以假乱真的邮件。第二,在某些实战攻防演习中,鱼叉邮件是被禁止使用的。这就导致演习环境与现实环境存在很大的差异。不过,从趋势上看,对于社工手法的使用限制正在变得越来越少。第三,很多白帽子更加崇尚技术路线或其他社工方式(如使用社交软件进行攻击),尚未充分认识到鱼叉邮件对政企机构攻击的有效性。三、高阶能力 高阶能力是最为高级的实战化白帽能力,学习和掌握的难度普遍较高,白帽子通常需要多年的学习和实战经验积累,才能初步掌握其
31、中一小部分的关键能力。在实战化环境中,白帽子的高阶能力主要包括:系统层漏洞利用与防护、系统层漏洞挖掘、身份隐藏、内网渗透、高级安全工具、编写 PoC 或 EXP 等高级利用、掌握 CPU 指令集、团队协作等几个方面。(一)系统层漏洞利用与防护 为应对各种各样的网络攻击,操作系统内部有很多底层的安全机制。而每一种安全机制,12 都对应了一定形式的网络攻击方法。对于白帽子来说,学习和掌握底层的系统安全机制,发现程序或系统中安全机制设计的缺陷或漏洞,是实现高水平网络攻击的重要基础技能。在实战攻防演习中,最为实用、也是最为常用的 7 种典型的系统层安全机制包括:SafeSEH、DEP、PIE、NX、A
32、SLR、SEHOP、GS 等。调研显示,SafeSEH 的平均掌握率最高,为 19.5%,与 2022 年 18.2%相比略有提升;其次是 PIE,平均掌握率为 17.0%。GS 的平均掌握率最低,仅为 8.1%。不过系统层漏洞利用与防护能力从总体来看,均略有提升,具体调研结果如下图。客观的说,学习操作系统的安全机制,对于当下绝大多数国内的白帽子来说都是非常困难的。从调研结果来看,白帽子对 7 种典型的系统层安全机制的平均掌握率均未超过 20%。同时,有 50.4%的白帽子明确表示,自己从未接触人过任何系统层漏洞利用与防护方面的安全知识。(二)系统层漏洞挖掘 系统层漏洞的挖掘需要很多相对高级的
33、漏洞挖掘技术与方法。从实战角度看,以下 6 种挖掘方法最为实用:代码跟踪、动态调试、Fuzzing 技术、补丁对比、软件逆向静态分析、系统安全机制分析。调研现实,Fuzzing 技术的平均掌握率最高,均为 33.8%,略有提升,代码跟踪能力的平均掌握率也达到了 31.5%与 2022 年相比基本持平。动态调试能力平均掌握率排名第三,达 28.0%。软件逆向静态分析、补丁对比、系统安全机制分析等能力的平均掌握率较低,分别为 24.5%、21.6%和 14.5%。此外,约有 34.4%的白帽子表示,从未接触过系统层漏洞挖掘方面的工作。具体调研结果如下图。13 (三)身份隐藏 为避免自己的真实 IP
34、、物理位置、设备特征等信息在远程入侵的过程中被网络安全设备记录,甚至被溯源追踪,攻击者一般都会利用各种方式来进行身份隐藏。在实战攻防演习中,攻击方所采用的身份隐藏技术主要有以下几类:匿名网络(如 Tor)、盗取他人 ID/账号、使用跳板机、他人身份冒用和利用代理服务器等。调研显示,68.0%的白帽子曾经利用代理服务器进行过身份隐藏,与 2022 年 81.1%相比显著下降;50.0%的白帽子使用过跳板机;45.6%的白帽子使用过匿名网络。而曾经使用过冒用他人身份、盗取他人 ID/账号等方法隐藏身份的白帽子,仅分别有 31.1%和 29.0%。具体调研结果如下图。此外,约有 9.3%的白帽子表示
35、,从来没有使用过任何身份隐藏的技术或方法。而不进行身份隐藏,也就意味着,在实战化环境下,或在实战攻防演习中,白帽子一旦发起攻击,就很容易暴露自己,进而被防守方所捕获。14(四)内网渗透 内网渗透,是指当攻击方已经完成边界突破,成功入侵到政企机构内部网络之后,在机构内部网络中实施进一步渗透攻击,逐层突破内部安全防护机制,扩大战果或最终拿下目标系统的攻击过程。在实战攻防环境下,白帽子比较实用的内网渗透能力主要包括:工作组或域环境渗透、横向移动、内网权限维持/提权、数据窃取和免杀等。调研显示,内网权限维持/提权的平均掌握率最高,约为 55.6%;其次是横向移动,平均掌握率为 51.9%。特别值得注意
36、的是,约有 38.4%的白帽子或多或少的掌握一定程度的免杀技术。这也意味着,政企机构单纯依赖杀毒软件,很难防范专业白帽的渗透攻击。此外,约有 17.2%的白帽子表示,没有接触过内网渗透相关的各项技能。具体调研结果如下图。(五)高级安全工具 高级安全工具同样是白帽子的必修课,只不过这些工具对于使用者有更高的基础技能要求,初学者不易掌握。在实战化环境中,最为经常被用到的工具包括:IDA、Ghidra、Binwalk、OllyDbg、Peach fuzzer 等。调研显示,白帽子最爱使用的高级安全工具是 IDA,平均掌握率高达 52.1%。Peach fuzzer 的平均掌握率从 2022 年的 1
37、5.2%增长至 2023 年的 38.0%,排名跃升至第二,显著增长了 22.8 个百分点。Binwalk 和 OllyDbg 掌握率紧随其后,分别为 31.1%月 27.4%。会用Ghidra 的人最少,只有 15.4%。此外有 21.0%的白帽子表示,从来没有接触或使用过这些高级的安全工具,与 2022 年持平。可怜更多的白帽子在开始接触和使用各种高级安全工具的同时,越来越倾心于更加智能和自动化的检测工具。具体调研结果如下图所示。15 (六)编写 PoC 或 EXP 等高级利用 针对 Web 漏洞或智能硬件/IoT 漏洞编写 PoC 或 EXP,属于实战化的进阶能力。而针对各类操作系统或网
38、络安全设备编写 PoC 或 EXP,则属于实战化的高阶能力。在实战化环境中,比较被关注的操作系统主要包括:Windows、Android、iOS、Linux、macOS。调研显示,掌握 Windows 操作系统 PoC 或 EXP 编写能力的白帽子最多,约为 27.4%,增长了 7.9%;其次是 Linux 25.1%、Android 17.4%。而针对苹果公司的操作系统,有 PoC 或EXP 编写能力的白帽子非常“稀有”,iOS 6.6%、macOS 3.5%。此外,约有 18.9%的白帽子能够针对某些网络安全设备编写 PoC 或 EXP。总体而言,能够针对操作系统和网络安全设备编写 PoC
39、 或 EXP 的白帽子,正在逐步增加,但总体还是非常稀少的。具体调研结果如下图。特别值得注意的是,针对网络安全设备编写 PoC 或 EXP 的能力是非常实用的实战化技能。相比于主流的商业化操作系统,国内各家安全企业生产的网络安全设备,其自身的安全性实际上是参差不齐的,被报告漏洞后的响应与修复速度也大不相同。在很多情况下,针对网络安全设备挖洞和编写利用代码,要比直接攻击主流操作系统更容易。16(七)掌握 CPU 指令集 CPU 指令集,即 CPU 中用来计算和控制计算机系统的一套指令的集合。每一种不同的 CPU在设计时都会有一系列与其他硬件电路相配合的指令系统。指令系统包括指令格式、寻址方式和数
40、据形式。一台计算机的指令系统反应了该计算机的全部功能。机器类型不同,其指令集也不同。而白帽子对 CPU 指令集的掌握程度,将直接决定白帽子进行系统层漏洞挖掘与利用的能力水平。目前,最为常见的 CPU 指令集包括 x86、MIPS、ARM 和 PowerPC 等。调研显示,实战化白帽人才 2023 年对各类 CPU 指令集均略有提高,其中,掌握 x86 的白帽子最多,占比约为 47.3%;其次是 ARM,占比约为 24.5%,掌握 MIPS 和 PowerPC 指令集的白帽子分别约占比 17.4%和 13.5%。此外,约 37.6%的白帽子表示,从未接触过操作系统指令集方面的知识和技能。具体调研
41、结果如上图。(八)团队协作与角色 由 35 人组成的攻击小队,通过分工协作的方式高效完成攻击行动的模式已经越来越成熟。而对于白帽子来说,是否拥有团队协作的作战经验,在团队中扮演过什么样的角色,也是白帽子实战化能力的重要指标。在实战攻防演习实践中,攻击队比较常见的角色分工主要有 6 种,分别是:行动总指挥、情报收集人员、武器装备制造人员、打点实施人员、社工钓鱼人员和内网渗透人员。调研显示,在实战攻防演习中,打点实施人员是最为热门的角色,超过半数(52.3%)的白帽子曾经担任过这个角色。其次是情报收集人员,45.2%的白帽子担任过这个角色。接下来依次是内网渗透人员 25.5%、社工钓鱼人员 23.
42、2%。行动总指挥是攻击队的核心和“主角”,对实战攻防能力的综合素质要求最高。调研结果显示,仅有约 22.8%的白帽子担任过行动总指挥。具体调研结果如下图。17 需要强调的是,内网渗透是非常重要的实战化能力。但如前所述,内网渗透能力的平均掌握率不足 50%(45.9%),而在实际演习过程中担任过内网渗透人员角色的白帽子更是不足三成。这与演习之外,缺乏合法合规的内网渗透实战及教学环境有很大关系。18 第三章 总结 下图是汇集了上述所有信息的,2023 年实战化白帽人才能力现状。19 附录 1 实战化白帽人才能力各项技能详解 一、基础能力 基础能力是比较初级的实战化白帽能力,学习和掌握相对容易,通常
43、也是其他各类高级实战化技能学习和实践的基础能力。基础能力主要包括 Web 漏洞利用与基础安全工具使用两类。(一)Web 漏洞利用 Web 漏洞利用能力是指利用 Web 系统或软件的安全漏洞实施网络攻击的能力。由于 Web 系统是绝大多数机构业务系统或对外服务系统的构建形式,所以 Web 漏洞利用也是最常见,最基础的网络攻击形式之一。在实战攻防演习中,白帽子最为经常利用的 Web漏洞形式包括:命令执行、SQL 注入、代码执行、逻辑漏洞、解析漏洞、信息泄露、XSS、配置错误、弱口令、反序列化、文件上传、权限绕过等。1)命令执行 命令执行漏洞,是指黑客可以直接在 Web 应用中执行系统命令,从而获取
44、敏感信息或者拿下 Shell 权限的安全漏洞。造成命令执行漏洞最常见的原因是 Web 服务器对用户输入命令的安全检测不足,导致恶意代码被执行。命令执行漏洞常常发生在各种 Web 组件上,包括Web 容器、Web 框架、CMS 软件、安全组件等。2)SQL 注入 SQL,是 Structured Query Language 的缩写,意为结构化查询语言。SQL 注入漏洞,是最常见的安全漏洞形式之一,是指通过构造特定的 SQL 语句,可以实现对数据库服务器的非授权查询,进而造成数据库数据泄露的安全漏洞。SQL 注入漏洞产生的主要原因是软件系统对输入数据的合法性缺少校验或过滤不严。3)代码执行 代码
45、执行漏洞,是指通过构造特殊的语句或数据,使软件可以在设计流程之外,执行特定函数或命令的安全漏洞。造成代码执行漏洞的主要原因是,开发人员在编写代码时,没有充分校验输入数据的合法性。4)逻辑漏洞 逻辑漏洞,是指由于程序设计逻辑不够严谨,导致一些逻辑分支处理错误,或部分流程被绕过,进而引发安全风险的安全漏洞。5)解析漏洞 解析漏洞,是指服务器应用程序在解析某些精心构造的后缀文件时,会将其解析成网页脚本,从而导致网站沦陷的漏洞。大部分解析漏洞的产生都是由应用程序本身的漏洞导致的。此类漏洞中具有代表性的便是 IIS6.0 解析漏洞,此漏洞又有目录解析和文件解析两种利用 20 方式,但也有少部分是由于配置
46、的疏忽所产生的。6)信息泄露 信息泄露漏洞,是指造成系统或服务器中,本应被保护或不可见的敏感信息被意外泄露的安全漏洞。这些信息包括账号密码、系统配置、运行状态、关键参数、敏感文件内容等。造成信息泄露漏洞的主要原因包括运维操作不当、系统代码不严谨等。7)XSS XSS,全称为 Cross Site Scripting,意为跨站脚本攻击,为了和更加常用的 CSS(Cascading Style Sheets,层叠样式表)有所区分,特别简写为 XSS。XSS 攻击,通常是指通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通
47、常是JavaScript,但实际上也可以包括 Java、VBScript、ActiveX、Flash 或某些普通的 HTML 等。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密的网页内容、会话信息和 Cookie 等各种用户敏感信息。最早期的 XSS 攻击示例大多使用了跨站方法,即:用户在浏览 A 网站时,攻击者却可以通过页面上的恶意代码,访问用户浏览器中的 B 网站资源(如 Cookie 等),从而达到攻击目的。但随着浏览器安全技术的进步,早期的跨站方法已经很难奏效,XSS 攻击也逐渐和“跨站”的概念没有了必然的联系。只不过由于历史习惯,XSS 这个名字一直被延用了下来,现如今
48、用来泛指通过篡改页面,使浏览器加载恶意代码的一种攻击方法。在本文中,白帽子的 XSS 能力,是指白帽子能够发现软件或系统的设计缺陷或安全漏洞,构造 XSS 攻击代码,实现网络攻击的技术能力。8)配置错误 配置错误,是指由软件或系统的配置不当导致安全风险的安全漏洞。例如,文件的或服务的访问权限、可见范围配置不当,网络安全规则的设置错误等,都有可能使系统处于暴露或风险之中。配置错误的本质是系统的使用或运维不当,而不是系统的设计或开发问题。造成配置错误的主要原因是运维人员的疏忽或专业技能不足。9)弱口令 弱口令也是安全漏洞的一种,是指系统登录口令的设置强度不高,容易被攻击者猜到或破解。造成弱口令的主
49、要原因是系统的运维人员、管理人员安全意识不足。常见的弱口令形式包括:系统出厂默认口令没有修改;密码设置过于简单,如口令长度不足,单一使用字母或数字;使用了生日、姓名、电话号码、身份证号码等比较容易被攻击者猜到的信息设置口令;设置的口令属于流行口令库中的流行口令。10)反序列化 反序列化漏洞,是指反序列化过程可以被操控或篡改,进而引发恶意代码执行风险的安全漏洞。序列化和反序列化都是基础的计算机技术。序列化就是把计算机中的“对象”转换成字节流,以便于存储的一种方法。反序列化是序列化的逆过程,即将字节流还原成“对象”。在反序列化过程中,如果输入的字节流可以被控制或篡改,就有可能产生非预期的“对 21
50、 象”。这就是反序列化漏洞。此时,攻击者通过构造恶意字节流输入,就可以在反序列化过程中,在对象被还原的过程中,使系统执行恶意代码。11)文件上传 文件上传漏洞,是指可以越权或非法上传文件的安全漏洞。攻击者可以利用文件上传漏洞将恶意代码秘密植入到服务器中,之后再通过远程访问去执行恶意代码,达到攻击的目的。12)权限绕过 权限绕过漏洞,是指可以绕过系统的权限设置或权限管理规则执行非法操作的安全漏洞。造成权限绕过漏洞的主要原因是,软件或系统的开发人员对数据处理权限的设计或判定不严谨、不全面。(二)基础安全工具 基础安全工具是指安全分析或攻防实战过程中,经常使用到的一些初级的、基础的软件工具。比较常见
51、的基础安全工具包括:Burp Suite、Sqlmap、AppScan、AWVS、Nmap、Wireshark、MSF、Cobalt Strike 等。1)Burp Suite Burp Suite 是一个常用的 Web 攻击工具的集合平台,经常被安全工作者用来测试 Web系统安全性,也是实战攻防演习中攻击队的常用平台。使用者通过平台集成的工具,既可以对目标发起手动攻击,也可以自定义规则发起自动攻击;既可以探测和分析目标漏洞,也可以使用爬虫抓取和搜索页面内容。2)Sqlmap Sqlmap 是一个开源的渗透测试工具,可以用来进行自动化检测。Sqlmap 可以利用常见的 SQL 注入漏洞,获取数
52、据库服务器的权限。Sqlmap 还具有功能比较强大的检测引擎,可提供针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件,甚至可以通过外带数据连接的方式执行操作系统命令。3)AppScan AppScan 是 IBM 公司推出的一款 Web 应用安全测试工具,采用黑盒测试的方式,可以扫描常见的 Web 用安全漏洞。AppScan 功能比较齐全,支持登录、报表等功能。在扫描结果中,不仅能够看到 Web 应用被扫出的安全漏洞,还提供了详尽的漏洞原理、修改建议、手动验证等功能。在实战攻防演习中,AppScan 是一个很方便的漏洞扫描器。4)AWVS AWVS 是
53、Acunetix Web Vulnerability Scanner 的缩写。它是一个自动化的 Web 应用程序安全测试工具,可以审计和检查 Web 漏洞。AWVS 可以扫描任何可通过 Web 浏览器访问的和遵循 HTTP/HTTPS 规则的 Web 站点和 Web 应用程序。可以通过检查 SQL 注入攻击漏洞、XSS漏洞等来审核 Web 应用程序的安全性。5)Nmap 22 Nmap 是 Network Mapper 的缩写,意为网络映射器,是一款开放源代码的网络探测和安全审核的工具。它的设计目标是快速地扫描大型网络,但也可以用于扫描单个主机。Nmap 使用原始 IP 报文来发现网络上有哪些
54、主机,每台主机提供什么样的服务,哪些服务运行在什么操作系统上,这些主机使用了什么类型的报文过滤器或防火墙等。虽然 Nmap通常用于安全审核,但许多系统管理员和网络管理员也用它来做一些日常的工作,比如查看整个网络的信息,管理服务升级计划,以及监视主机和服务的运行。在实战攻防演习中,Nmap 常用来对目标系统进行资产分析。6)Wireshark Wireshark 是一个免费开源的网络数据包分析软件,它可以帮助网络管理员检测网络问题,帮助网络安全工程师检查信息安全相关问题。在实战攻防演习中,数据包分析也是非常重要的基础工作。7)MSF MSF 是 Metasploit Framework 的缩写,
55、这不仅仅是一个工具软件,它是为自动化地实施经典的、常规的、复杂新颖的攻击,提供基础设施支持的一个完整框架平台。它可以使使用人员将精力集中在渗透测试过程中那些独特的方面上,以及如何识别信息安全计划的弱点上。MSF 的能够让用户通过选择它的渗透攻击模块、攻击载荷和编码器来实施一次渗透攻击,也可以更进一步编写并执行更为复杂的攻击技术。8)Cobalt Strike Cobalt Strike 是一款 C/S 架构的商业渗透软件,适合多人团队协作。可模拟 APT 对抗,进行内网渗透。Cobalt Strike 集成了端口转发、端口扫描、Socks 代理、提权、凭据导出、钓鱼、远控木马等功能。该工具几乎
56、覆盖了 APT 攻击链中所需要用到的各个技术环节 二、进阶能力 进阶能力是相对更加高级的实战化白帽能力,学习和掌握的难度高于基础能力,但低于高阶能力,主要包括 Web 漏洞挖掘、Web 开发与编程、编写 PoC 或 EXP 等利用、社工钓鱼等四类。(一)Web 漏洞挖掘 Web 漏洞挖掘能力是指针对 Web 系统或软件进行漏洞挖掘的能力。在白帽子挖掘的 Web 应用漏洞中,比较常见的漏洞形式包括:命令执行、SQL 注入、代码执行、逻辑漏洞、解析漏洞、信息泄露、XSS、配置错误、弱口令、反序列化、文件上传、权限绕过等。关于这些漏洞类型的具体含义,参见前述“基础能力”中的“(一)Web 漏洞利用”
57、,这里不再累述。(二)Web 开发与编程 掌握一门或几门的开发与编程语言,是白帽子深入挖掘 Web 应用漏洞,分析 Web 站点及 23 业务系统运行机制的重要基础能力。在实战攻防演习中,白帽子最为经常遇到和需要掌握的编程语言包括:Java、PHP、Python、C/C+、Golang 等。1)Java Java 是一种面向对象的计算机编程语言,具有简单性、功能强大、分布式、健壮性、安全性、平台独立与可移植性、多线程及动态性的特点,经常用于编写桌面应用程序、Web 应用程序、分布式系统和嵌入式系统应用程序等。2)PHP PHP 原为 Personal Home Page 的缩写,后更名为 Hy
58、pertext Preprocessor,但保留了人们已经习惯的“PHP”的缩写形式。其含义为:超文本预处理器,是一种通用开源脚本语言。PHP 主要适用于 Web 开发领域,是在服务器端执行的,常用的脚本语言。PHP 独特的语法混合了 C、Java、Perl 以及 PHP 自创的语法,利于学习,使用广泛。3)Python Python 是一种跨平台的计算机程序设计语言,是一个高层次的,结合了解释性、编译性、互动性和面向对象的脚本语言。最初被设计用于编写自动化脚本(Shell),随着版本的不断更新和语言新功能的添加,逐渐被用于独立的、大型项目的开发。4)C/C+C/C+是一种通用的编程语言,广泛
59、用于系统软件与应用软件的开发。语言具有高效、灵活、功能丰富、表达力强和较高的可移植性等特点,在程序设计中备受青睐,是当前使用最为广泛的编程语言。在 Web 开发中常用于嵌入式设备的开发。5)Golang Golang 语言,简称 Go 语言,是由三位 Google 工程师开发的一种静态强类型、编译型语言。Go 语言语法与 C 相近,但具有内存安全、垃圾回收、结构形态及 CSP-style 并发计算等功能。(三)编写 PoC 或 EXP 等利用 编写漏洞验证代码或漏洞利用代码,是比单纯的漏洞发现更加具有实战意义的白帽能力。其中主要包括 PoC 或 EXP 等两种方式。PoC,是 Proof of
60、 Concept 的缩写,即概念验证,特指为了验证漏洞存在而编写的程序代码。有时也经常被用来作为 0day、Exploit(漏洞利用)的别名。EXP,是 Exploit 的缩写,即漏洞利用代码。一般来说,有漏洞不一定就有 EXP,而有EXP,就肯定有漏洞。PoC 和 EXP 的概念仅有细微的差别,前者用于验证,后者则是直接的利用。能够自主编写 PoC 或 EXP,要比直接使用第三方编写的漏洞利用工具或成熟的漏洞利用代码困难的多。但对于很多没有已知利用代码的漏洞或0day漏洞,自主编写PoC或EXP就显得非常重要了。此外,针对不同的目标或在不同的系统环境中,编写 PoC 或 EXP 的难度也不同
61、。针对Web 应用和智能硬件/IoT 设备等,编写 PoC 或 EXP 相对容易,属于进阶能力;而针对操作系统或安全设备编写 PoC 或 EXP 则更加困难,因此属于高阶能力了。24(四)社工钓鱼 社工钓鱼,是指利用社会工程学手法,利用伪装、欺诈、诱导等方式,利用人的安全意识不足或安全能力不足,对目标机构特定人群实施网络攻击的一种手段。社工钓鱼,既是实战攻防演习中经常使用的作战手法,也是黑产团伙或黑客组织最为经常使用的攻击方式。在很多情况下,“搞人”要比“搞系统”容易得多。社工钓鱼的方法和手段多种多样。在实战攻防演习中,最为常用,也是最为实用的技能主要有四种:开源情报收集、社工库收集、鱼叉邮件
62、和社交钓鱼。其中,前面两个都属于情报收集能力,而后面两个则属于攻防互动能力。1)开源情报收集 开源情报收集能力,是指在公开的互联网信息平台上,合法收集针对目标机构的关键情报信息的能力。例如,新闻媒体、技术社区、企业官网、客户资源平台等公开信息分享平台都是开源情报收集的重要渠道。白帽子可以通过开源情报收集,获取诸如企业员工内部邮箱、联系方式、企业架构、供应链名录、产品代码等关键情报信息。这些信息都可以为进一步的攻击提供支撑。开源情报收集是白帽子首要的情报收集方式,其关键在于要从海量网络信息中,找到并筛选出有价值的情报信息组合。通常情况下,单一渠道公开的机构信息,大多没有什么敏感性和保密性。但如果
63、将不同渠道的多源信息组合起来,就能够形成非常有价值的情报信息。当然,也不排除某些机构会不慎将内部敏感信息泄露在了互联网平台上。白帽子在互联网平台上直接找到机构内部开发代码,找到账号密码本的情况也并不少见。2)社工库收集 社工库收集能力,是指针对特定目标机构的社工库信息的收集能力。所谓社工库,通常是指含有大量用户敏感信息的数据库或数据包。这些敏感信息包括但不限于,如账号、密码、姓名、身份证号、电话号码、人脸信息、指纹信息、行为信息等。由于这些信息非常有助于攻击方针对特定目标设计有针对性的社会工程学陷阱,因此将这些信息集合起来的数据包或数据库,就被称为社会工程学库,简称社工库。社工库是地下黑产或暗
64、网上交易的重要标的物。不过,在实战攻防演习过程中,白帽子所使用的社工库资源,必须兼顾合法性问题,这就比黑产团伙建立社工库的难度要大得多。3)鱼叉邮件 鱼叉邮件能力,是指通过制作和投递鱼叉邮件,实现对机构内部特定人员有效欺骗的一种社工能力。鱼叉邮件是针对特定组织机构内部特定人员的定向邮件欺诈行为,目的是窃取机密数据或系统权限。鱼叉邮件有多种形式,可以将木马程序作为邮件的附件发送给特定的攻击目标,也可以构造特殊的、有针对性的邮件内容诱使目标人回复或点击钓鱼网站。鱼叉邮件主要针对的是安全意识或安全能力不足的机构内部员工。不过,某些设计精妙的鱼叉邮件,即便是经验的安全人员也难以识别。4)社交钓鱼 社交
65、钓鱼能力,是指通过社交软件或社交网站与攻击目标内的成员进行沟通交流,骗取 25 对方信任并借此收集相关情报信息的能力。社交钓鱼,一般建立在使人决断产生认知偏差的基础上,具体形式包括但不限于:微信、QQ 等社交软件/网站的在线聊天、电话钓鱼、短信钓鱼等。社交钓鱼,其实也是网络诈骗活动的主要方法,但以往实战攻防演习中还很少被使用。但随着防守方能力的不断提升,直接进行技术突破的难度越来越大,针对鱼叉邮件也有了很多比较有效的监测方法,于是近两年,社交钓鱼方法的使用就开始越来越多了。三、高阶能力 高阶能力是最为高级的实战化白帽能力,学习和掌握的难度普遍较高,白帽子通常需要多年的学习和实战经验积累,才能初
66、步掌握其中一小部分的关键能力。从实战角度出发,白帽子的高阶能力主要包括:系统层漏洞利用与防护、系统层漏洞挖掘、身份隐藏、内网渗透、高级安全工具、编写 PoC 或 EXP 等高级利用、掌握 CPU 指令集、团队协作等几个方面。(一)系统层漏洞利用与防护 为应对各种各样的网络攻击,操作系统内部有很多底层的安全机制。而每一种安全机制,都对应了一定形式的网络攻击方法。对于白帽子来说,学习和掌握底层的系统安全机制,发现程序或系统中安全机制设计的缺陷或漏洞,是实现高水平网络攻击的重要基础技能。在实战攻防演习中,最为实用、也是最为常用的 7 种典型的系统层安全机制包括:SafeSEH、DEP、PIE、NX、
67、ASLR、SEHOP、GS 等。1)SafeSEH 当系统遭到攻击时,程序运行就会出现异常,并触发异常处理函数。而要使攻击能够继续进行,攻击者就常常需要伪造或篡改系统异常处理函数,使系统无法感知到异常的发生。SafeSEH,(Safe Structured exception handling)是 Windows 操作系统的一种安全机制,专门用于防止异常处理函数被篡改,即在程序调用异常处理函数之前,对要调用的异常处理函数进行一系列的有效性校验,如果发现异常处理函数不可靠或存在安全风险,则应立即终止异常处理函数的调用。反之,如果 SafeSEH 机制设计不完善或存在缺欠,就有可能被攻击者利用,欺
68、骗或绕过。在本文中,白帽子的 SafeSEH 能力,是指白帽子掌握 SafeSEH 的技术原理,并能够发现程序或系统中 SafeSEH 机制的设计缺陷,并加以利用实施攻击的能力。2)DEP DEP,是 Data Execution Protection 的缩写,意为数据执行保护,作用是防止数据页内的数据被当作执行代码来执行,从而引发安全风险。从计算机内存的角度看,数据和代码的处理并没有特别明确区分,只不过是在系统的调度下,CPU 会对于不同内存区域中的不同数据,进行不一样的计算而已。这就使得系统在处理某些经过攻击者精心构造的数据时,会误将其中的一部分“特殊数据”当作可执行代码来执行,从而触发恶
69、意命令的执行。而 DEP 机制设计的重要目的就是仿制这种问题的发生;反之,如果 DEP 机制设计不完善或存在缺欠,就有可能被攻击者所利用,欺骗或绕过。在本文中,白帽子的 DEP 能力,是指白帽子掌握 DEP 的技术原理,并能够发现程序或系 26 统中 DEP 机制的设计缺陷,并加以利用实施攻击的能力。3)PIE PIE 是 Position-Independent Executable 的缩写,意为地址无关可执行文件,与 PIC(Position-Independent Code,地址无关代码)含义基本相同,是 Linux 或 Android 系统中动态链接库的一种实现技术。在本文中,白帽子的
70、 PIE 能力,是指白帽子掌握 PIE 的技术原理,并能够发现程序或系统中 PIE 机制的设计缺陷,并加以利用实施攻击的能力。4)NX NX,是 No-eXecute 的缩写,意为不可执行,是 DEP(数据执行保护)技术中的一种,作用是防止溢出攻击中,溢出的数据被当作可执行代码来执行。NX 的基本原理是将数据所在内存页标识为不可执行,当操作系统读到这段溢出数据时,就会抛出异常,而非执行恶意指令。反之,如果 NX 机制设计不完善或存在缺欠,就可以被攻击者利用并发动溢出攻击。在本文中,白帽子的 NX 能力,是指白帽子掌握 NX 的技术原理,并能够发现程序或系统中 NX 机制的设计缺陷,并加以利用实
71、施攻击的能力。5)ASLR ASLR,Address Space Layout Randomization 的缩写,意为地址空间随机化,是一种操作系统用来抵御缓冲区溢出攻击的内存保护机制。这种技术使得系统上运行的进程的内存地址无法被预测,使得与这些进程有关的漏洞变得更加难以利用。在本文中,白帽子的 ASLR 能力,是指白帽子掌握 ASLR 的技术原理,并能够发现程序或系统中 ASLR 机制的设计缺陷,并加以利用实施攻击的能力。6)SEHOP SEHOP,是 Structured Exception Handler Overwrite Protection 的缩写,意为结构化异常处理覆盖保护。其
72、中,结构化异常处理是指按照一定的控制结构或逻辑结构对程序进行异常处理的一种方法。如果结构化异常处理链表上面的某个节点或者多个节点,被攻击者精心构造的数据所覆盖,就可能导致程序的执行流程被控制,这就是 SEH 攻击。而 SEHOP 就是 Windows 操作系统中,针对这种攻击给出的一种安全防护方案。在本文中,白帽子的 SEHOP 能力,是指白帽子掌握 SEHOP 的技术原理,并能够发现程序或系统中 SEHOP 机制的设计缺陷,并加以利用实施攻击的能力。7)GS GS,意为缓冲区安全性检查,是 Windows 缓冲区的安全监测机制,用于防止缓冲区溢出攻击。缓冲区溢出是指当计算机向缓冲区内填充数据
73、位数时,填充的数据超过了缓冲区本身的容量,于是溢出的数据就会覆盖在合法数据上。理想的情况是:程序会检查数据长度,而且并不允许输入超过缓冲区长度的字符。但是很多程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患,即缓冲区溢出漏洞。GS 就是通过对缓冲区数据的各种校验机制,防止缓冲区溢出攻击的发生。27 在本文中,白帽子的 GS 能力,是指白帽子掌握 GS 的技术原理,并能够发现程序或系统中 GS 机制的设计缺陷,并加以利用实施攻击的能力。(二)系统层漏洞挖掘 系统层漏洞的挖掘需要很多相对高级的漏洞挖掘技术与方法。从实战角度看,以下 6 种挖掘方法最为实用:代码跟踪、动态调
74、试、Fuzzing 技术、补丁对比、软件逆向静态分析、系统安全机制分析。1)代码跟踪 代码跟踪,是指通过自动化分析工具和人工审查的组合方式,对程序源代码逐条进行检查分析,发现其中的错误信息、安全隐患和规范性缺陷问题,以及由这些问题引发的安全漏洞,提供代码修订措施和建议。2)动态调试 动态调试,原指软件作者利用集成环境自带的调试器跟踪自己软件的运行,来协助解决自己软件的错误。不过,对于白帽子来说,动态调试通常是指使用动态调试器(如 OllyDbg x64Dbg 等),为可执行程序设置断点,通过监测目标程序在断点处的输入输出及运行状态等信息,来反向推测程序的代码结构、运行机制及处理流程等,进而发现
75、目标程序中的设计缺陷或安全漏洞的一种分析方法。3)Fuzzing 技术 Fuzzing 技术,是一种基于黑盒(或灰盒)的测试技术,通过自动化生成并执行大量的随机测试用例来触发软件或系统异常,进而发现产品或协议的未知缺陷或漏洞。4)补丁对比 每一个安全补丁,都会对应一个或多个安全漏洞。通过对补丁文件的分析,往往可以还原出相应漏洞的原理或机制。而利用还原出来的漏洞,就可以对尚未打上相关补丁的软件或系统实施有效攻击。而补丁对比,是实战环境下,补丁分析的一种常用的、有效的方式。补丁对比,是指对原始文件和补丁文件分别进行反汇编,然后对反汇编后的文件做比较找出其中的差异,从而发现潜在的漏洞的一种安全分析方
76、法。5)软件逆向静态分析 在本文中,软件逆向静态分析,是指将对软件程序实施逆向工程,之后对反编译的源码或二进制代码文件进行分析,进而发现设计缺陷或安全漏洞的一种安全分析方法。对开放源代码的程序,通过检测程序中不符合安全规则的文件结构、命名规则、函数、堆栈指针等,就可以发现程序中存在的安全缺陷。被分析目标没有附带源程序时,就需要对程序进行逆向工程,获取类似于源代码的逆向工程代码,然后再进行检索和分析,也可以发现程序中的安全漏洞。这就是软件逆向静态分析。软件逆向静态分析,也叫反汇编扫描,由于采用了底层的汇编语言进行漏洞分析,在理论上可以发现所有计算机可运行的漏洞。对于不公开源代码的程序来说,这种方
77、法往往是最有效的发现安全漏洞的办法。28 6)系统安全机制分析 操作系统的安全机制,就是指在操作系统中,利用某种技术、某些软件来实施一个或多个安全服务的过程。主要包括标识与鉴别机制,访问控制机制,最小特权管理机制,可信通路机制、安全审计机制,以及存储保护、运行保护机制等。在本文中,系统安全机制分析能力,是指对操作系统的各种安全机制的进行分析,进而发现系统设计缺陷或安全漏洞的方法。(三)身份隐藏 为避免自己的真实 IP、物理位置、设备特征等信息在远程入侵的过程中被网络安全设备记录,甚至被溯源追踪,攻击者一般都会利用各种方式来进行身份隐藏。在实战攻防演习中,攻击方所采用的身份隐藏技术主要有以下几类
78、:匿名网络、盗取他人 ID/账号、使用跳板机、他人身份冒用和利用代理服务器等。1)匿名网络 匿名网络泛指信息接受者无法对信息发送者进行身份定位与物理位置溯源,或溯源过程极其困难的通信网络。这种网络通常是在现有的互联网环境下,通过使用特定的通信软件组成的特殊虚拟网络,从而实现发起者的身份隐藏。其中以 Tor 网络(洋葱网络)为代表的各类“暗网”是比较常用的匿名网络。在本文中,白帽子的匿名网络能力,是指白帽子能够使用匿名网络对目标机构发起攻击,并有效隐藏自己身份或位置信息的能力。2)盗取他人 ID/账号 盗取他人 ID/账号,一方面可以使攻击者获取与 ID/账号相关的系统权限,进而实施非法操作;另
79、一方面也可以使攻击者冒充 ID/账号所有人的身份进行各种网络操作,从而实现攻击者自身身份隐藏的目的。不过,在实战攻防演习中,通常不允许随意盗取与目标机构完全无关人员的 ID/账号,因此,在本文中,白帽子的盗取他人 ID/账号能力,是指白帽子能够盗取目标机构及其相关机构内部人员 ID/账号,以实现有效攻击和身份隐藏的能力。3)使用跳板机 使用跳板机,是指攻击发起者并不直接对目标进行攻击,而是利用中间主机作为跳板机,经过预先设定的一系列路径对目标进行攻击的一种攻击方法。使用跳板机的原因主要有两个方面:一是受到内网安全规则的限制,目标机器可能直接不可达,必须经过跳板机才能间接访问;二是使用跳板机,攻
80、击者可以在一定程度上隐藏自己的身份,使系统中留下的操作记录多为跳板机所为,从而增加防守方溯源分析的难度。在本文中,白帽子使用跳板机的能力,是指白帽子能够入侵机构内部网络,获得某些主机控制权限,并以此为跳板,实现内网横向移动的技术能力。4)他人身份冒用 他人身份冒用,是指通过技术手段对身份识别系统或安全分析人员进行欺骗,从而达到冒用他人身份实现登录系统、执行非法操作及投放恶意程序等攻击行为。这里所说的他人身份冒用技术不包括前述的盗取他人 ID/账号。29 在本文中,白帽子的他人身份冒用能力,是指白帽子能够使用各种技术手段冒用他人身份,入侵特定系统的技术能力。5)利用代理服务器 代理服务器,是指专
81、门为其他联网设备提供互联网访问代理的服务器设备。在不使用代理服务器的情况下,联网设备会直接与互联网相连,并从运营商那里分配获得全网唯一的 IP地址。而在使用代理服务器的情况下,联网设备则是首先访问代理服务器,再通过代理服务器访问互联网。代理服务器的设计,最初是为了解决局域网内用户联结互联网的需求而提出的,局域网内所有的计算机都通过代理服务器与互联网上的其他主机进行通信。对于被通信的主机或服务器来说,只能识别出代理服务器的地址,而无法识别事出局域网内哪一台计算机与自己通信。在实战攻防环境下,攻击方使用代理服务器联网,就可以在一定程度上隐藏自己的 IP地址和联网身份,增加防守方的溯源难度和 IP
82、封禁难度。在某些情况下,攻击者甚至还会设置多级代理服务器,以此实现更加深度的身份隐藏。在本文中,白帽子的利用代理服务器能力,是指白帽子在攻击过程中,能够使用一级或多级代理服务器,从而实现身份隐藏的能力。(四)内网渗透 内网渗透,是指当攻击方已经完成边界突破,成功入侵到政企机构内部网络之后,在机构内部网络中实施进一步渗透攻击,逐层突破内部安全防护机制,扩大战果或最终拿下目标系统的攻击过程。在实战攻防环境下,白帽子比较实用的内网渗透能力包括:工作组或域环境渗透、内网权限维持/提权、横向移动、数据窃取和免杀等。1)工作组、域环境渗透 工作组和域环境都是机构内部网络结构的基本概念。工作组通常是指一组相
83、互联结,具有共同业务或行为属性的终端(计算机)集合。组内终端权限平等,没有统一的管理员或管理设备。通常来说,工作组的安全能力上线就是每台终端自身的安全能力。域环境,则是由域控服务器创建的,具有统一管理和安全策略的联网终端的集合,域控服务器和域管理员账号具有域内最高权限。通常来说,域环境的安全性要比工作组高很多,但如果域管理员账号设置了弱口令,或域控服务器存在安全漏洞,也有可能导致域控服务器被攻击者劫持,进而导致域内所有设备全部失陷。出于安全管理的需要,大型机构的内部网络一般都会被划分为若干个域环境,不同的域对应不同的业务和终端,执行不同的网络和安全管理策略。而在一些网络管理相对比较松散的机构中
84、,内网中也可能只有若干的工作组,而没有域环境。在本文中,白帽子的工作组、域环境渗透能力,是指白帽子能够掌握内网环境中,工作组或域环境的运行管理机制,能够发现其中的设计缺陷或安全漏洞,并加以利用实施攻击的能力。2)横向移动 30 横向移动,通常是指攻击者攻破某台内网终端/主机设备后,以此为基础,对相同网络环境中的其他设备发起的攻击活动,但也常常被用来泛指攻击者进入内网后的各种攻击活动。在本文中,白帽子的横向移动能力,是泛指以内网突破点为基础,逐步扩大攻击范围,逐步攻破更多内网设备或办公、业务系统的技术能力。3)内网权限维持/提权 攻击者通常是以普通用户的身份接入网络系统或内网环境,要实现攻击,往
85、往还需要提升自身的系统权限,并且使自身获得的高级系统权限能够维持一定的时间,避免被系统或管理员降权。提升系统权限的操作简称提权,维持系统权限的操作简称权限维持。在实战环境下,系统提权的主要方式包括:利用系统漏洞提权、利用应用漏洞提权、获取密码/认证提权等。在本文中,白帽子的内网权限维持/提权能力,是指白帽子在内网环境中,能够利用各种安全设计缺陷或安全漏洞,提升自己的系统权限,以及维持提权有效性的技术能力。4)数据窃取 对机密或敏感数据的窃取,是实战攻防演习工作中最常见的预设目标之一,也是黑客针对政企机构网络攻击活动的主要目的之一。一般来说,机构内部的很多办公系统、业务系统、生产系统中,都会有专
86、门的服务器或服务器集群用于存储核心数据,数据服务器的防护一般也会比其他网络设备更加严密一些。在本文中,白帽子的数据窃取能力,是指白帽子能够熟练掌握服务器的数据库操作,能够在内网中找到机构的核心系统数据服务器,能够获取服务器访问或管理权限,能够在防守方不知情的情况下将数据窃取出来并秘密外传的技术能力。5)免杀 免杀,英文为 Anti Anti-Virus,是高级的网络安全对抗方式,是各种能使木马病毒程序免于被杀毒软件查杀的技术的总称,可以使攻击者编写的木马病毒程序在目标主机上秘密运行,不被发现。免杀技术,不仅要求开发人员具备木马病毒的编写能力,同时还需要对各种主流安全软件的运行框架、杀毒引擎的工
87、作原理、操作系统的底层机制、应用程序的白利用方式等,有非常深入的了解,并能据此编写对抗代码。使用免杀技术,对于白帽的基础能力要求非常之高。在本文中,白帽子的免杀技术能力,是指白帽子能够编写木马病毒程序实现免杀的技术能力。通过使用第三方工具(如加密壳)在某些安全防护薄弱的环境下也能达到免杀目的,但这种基础能力不属于本文描述的免杀技术能力。(五)高级安全工具 高级安全工具同样是白帽子的必修课,只不过这些工具对于使用者有更高的基础技能要求,初学者不易掌握。在实战化环境中,最为经常被用到的工具包括:IDA、Ghidra、Binwalk、OllyDbg、Peach fuzzer 等。1)IDA 31 I
88、DA,是一个专业的反汇编工具,是安全渗透人员进行逆向安全测试的必备工具,具有静态反汇编和逆向调试等功能,能够帮助安全测试人员发现代码级别的高危安全漏洞。2)Ghidra Ghidra,是一款开源的跨平台软件逆向工具,目前支持的平台有Windows、macOS及Linux,并提供了反汇编、汇编、反编译等多种功能。Ghidra P-Code 是专为逆向工程设计的寄存器传输语言,能够对许多不同的处理器进行建模。3)Binwalk Binwalk,是一个文件扫描提取分析工具,可以用来识别文件内包含的内容和代码。Binwalk 不仅可以在标准格式本件中进行分析和提取,还能对非标准格式文件进行分析和提取,
89、包括压缩文件、二进制文件、经过删节的文件、经过变形处理的文件、多种格式相融合的文件等。4)OllyDbg OllyDbg,是一款强大的反汇编工具。它结合了动态调试与静态分析等功能。是一个用户模式调试器,可识别系统重复使用的函数,并能将其参数注释。OllyDbg 还可以调试多线程应用程序,从一个线程切换到另一个线程、挂起、恢复和终止,或改变它们的优先级。5)Peach fuzzer Peach Fuzzer 是一款智能模糊测试工具,广泛用于发现软件中的缺陷和漏洞。Peach Fuzzer 有两种主要模式:基于生长的模糊测试和基于变异的模糊测试。(六)编写 PoC 或 EXP 等高级利用 在前述“
90、进阶能力”中的“(三)编写 PoC 或 EXP 等利用”中,我们已经介绍了 PoC 和EXP 的概念,这里不再累述。相比于针对 Web 应用和智能硬件/IoT 设备编写 PoC 或 EXP,针对各种类型的操作系统和安全设备编写 PoC 或 EXP 要更加困难,属于高阶能力。高阶能力中,比较被关注的几个操作系统和设备包括:Windows、Android、iOS、Linux、macOS、网络安全设备。1)Windows 由微软公司开发的个人电脑操作系统。在本文此处,Windows 代指能够在 Windows 操作系统上找到漏洞并利用漏洞编写 PoC 或EXP 的能力。2)Android 由 Goo
91、gle 公司和开放手机联盟领导及开发的操作系统,主要使用于移动设备,如智能手机和平板电脑。在本文中,Android 代指能够在 Android 操作系统上找到漏洞并利用漏洞编写 PoC 或EXP 的能力。3)iOS 由苹果公司开发的移动操作系统,主要使用于 iPhone、iPod touch、iPad 上。32 在本文中,iOS 代指能够在 iOS 操作系统上找到漏洞并利用漏洞编写 PoC 或 EXP 的能力。4)Linux 主要使用于服务器的操作系统,Ubnutu、CentOS 等均属基于 Linux 内核基础上开发的操作系统。在本文中,Linux 代指能够在 Linux 操作系统上找到漏洞
92、并利用漏洞编写 PoC 或 EXP 的能力。5)macOS 由苹果公司开发的操作系统,主要运用于 Macintosh 系列计算机。macOS 的架构与Windows 不同,很多针对 Windows 的计算机病毒在 macOS 上都无法攻击成功。在本文中,macOS 代指能够在 macOS 操作系统上找到漏洞并利用漏洞编写 PoC 或 EXP 的能力。6)网络安全设备 在实战化环境中,经常会遇到的网络安全设备包括 IP 协议密码机、安全路由器、线路密码机、防火墙、安全服务器、公开密钥基础设施(PKI)系统、授权证书(CA)系统、安全操作系统、防病毒软件、网络/系统扫描系统、入侵检测系统、网络安全
93、预警与审计系统等。网络安全设备本身也会存在各种各样的安全漏洞,在近年来的实战攻防演习中,受到越来越多的重视和利用。在本文中,网络安全设备代指能够在各类网络安全设备中找到漏洞并利用漏洞编写 PoC或 EXP 的能力。(七)掌握 CPU 指令集 CPU 指令集,即 CPU 中用来计算和控制计算机系统的一套指令的集合。每一种不同的 CPU在设计时都会有一系列与其他硬件电路相配合的指令系统。指令系统包括指令格式、寻址方式和数据形式。一台计算机的指令系统反应了该计算机的全部功能。机器类型不同,其指令集也不同。而白帽子对 CPU 指令集的掌握程度,将直接决定白帽子进行系统层漏洞挖掘与利用的能力水平。本文指
94、掌握不同架构下的底层程序分析。目前,最为常见的 CPU 指令集包括 x86、MIPS、ARM 和 PowerPC。1)x86 x86 一般指 Intel x86。x86 指令集是 Intel 为其 CPU 专门开发的指令集合。通过分析 x86 指令集可以找到 intel 下相关软件或系统的运行机制,从而通过指令实现底层攻击。2)MIPS MIPS(Microcomputer without Interlocked Pipeline Stages)的含义是无互锁流水级微处理器,该技术是 MIPS 公司(著名芯片设计公司,)设计开发的一系列精简的指令系统计算结构,最早是在 80 年代初期由斯坦福(
95、Stanford)大学 Hennessy 教授领导的研究小组研制出来的。由于其授权费用低,因此被 Intel 外的大多数厂商使用。33 通过分析 MIPS 指令集可以找到除 Intel 外大多厂商(多见于工作站领域)的软件或系统运行机制,从而通过指令实现底层攻击。3)ARM ARM(Advanced RISC Machines),即 ARM 处理器,是英国 Acorn 公司设计的,低功耗的第一款 RISC(Reduced Instruction Set Computer,精简指令集计算机)微处理器。在本文中,ARM 指 ARM 指令集。ARM 指令集是指计算机 ARM 操作指令系统。ARM 指
96、令集可以分为跳转指令、数据处理指令、程序状态寄存器处理指令、加载/存储指令、协处理器指令和异常产生指令六大类。4)PowerPC PowerPC(Performance Optimization With Enhanced RISC-Performance Computing)是一种精简指令集架构的中央处理器,其基本的设计源自 IBM 的 POWER 架构。POWER 是 1991年,Apple、IBM、Motorola 组成的 AIM 联盟所发展出的微处理器架构。PowerPC 处理器有广泛的实现范围,包括从高端服务器 CPU(如 Power4)到嵌入式 CPU 市场(如任天堂游戏机)。但苹
97、果公司自 2005 年起,旗下计算机产品转用 Intel CPU。(八)团队协作 随着实战攻防演习实践的不断深入,防守方的整体能力持续提升。这就使得白帽子单凭强大的个人能力单打独斗取得胜利的希望越来越小。而由 35 人组成的攻击小队,通过分工协作的方式高效完成攻击行动的模式已经越来越成熟。而对于白帽子来说,是否拥有团队协作的作战经验,在团队中扮演什么样的角色,也是白帽子实战化能力的重要指标。团队作战,成功的关键的是协作与配合。通常来说,每只攻击队的成员都会有非常明确的分工和角色。在实战攻防演习实践中,攻击队比较常见的角色分工主要有 6 种,分别是:行动总指挥、情报收集人员、武器装备制造人员、打
98、点实施人员、社工钓鱼人员和内网渗透人员。1)行动总指挥 通常是攻击队中综合能力最强的人,需要有较强的组织意识、应变能力和丰富的实战经验,负责策略制定、任务分发、进度把控等。2)情报收集人员 负责情报侦察和信息收集,收集内容包括但不限于:目标系统的组织架构、IT 资产、敏感信息泄露、供应商信息等。3)武器装备制造人员 负责漏洞挖掘及工具编写,是攻击队的核心战斗力量,不仅要能找到漏洞并利用漏洞,还要力求在不同环境下达到稳定、深入的漏洞利用。4)打点实施人员 负责获取接入点,进行 Web 渗透等。找到薄弱环节后,利用漏洞或社工等方法,获取外网系统控制权限,之后寻找和内网连通的通道,建立据点(跳板)。
99、5)社工钓鱼人员 34 负责社工攻击。利用人的安全意识不足或安全能力不足等弱点,实施社会工程学攻击,通过钓鱼邮件或社交平台等进行诱骗,进而成功打入内网。6)内网渗透人员 负责进入内网后的横向移动。利用情报收集人员的情报结合其他弱点来进行横向移动,扩大战果。尝试突破核心系统权限,控制核心任务,获取核心数据,最终完成目标突破工作。35 附录 2 补天漏洞响应平台 补天漏洞响应平台(https:/),成立于 2013 年 3 月,是国内专注于漏洞响应的第三方平台。补天平台通过充分引导民间白帽力量,实现实时的、高效的漏洞报告与响应。成立 10 年来,补天平台已经成为全中国影响力最大的漏洞响应平台之一,
100、同时也是最活跃的网络安全从业者交流平台之一。通过奇安信攻防社区、补天白帽大会、“补天杯”破解大赛、补天城市沙龙、补天校园行,搭建安全从业者开放、分享、成长的平台,把国内外网络安全专家、业界大咖、安全厂商、研究机构聚集到一起,将多种形式结合建立网络安全从业者技术生态。同时在实战化的趋势下,人是支撑安全业务的最重要因素,补天平台也成为汇聚海量实战型网络安全人才的资源池。通过提供真实的训练环境,开放实战工具箱和资源,定制专属课程、顶级黑客进行技术教学,依托长期积累,利用独有的技术人才优势,培养出具有顶级技术的网络安全实战型人才,为行业提供强有力的人才保障,提升支撑安全业务的各项能力,应对新形势下的网
101、络安全挑战。2021 年 12 月 16 日,由北京冬奥组委技术部组织,补天漏洞响应平台提供技术平台和运营支持的“冬奥网络安全卫士”招募启动,这是奥运史上首次以公开招募白帽子协助网络安全信息系统排查短板、挖掘相关漏洞以及收集网络安全情报信息等工作,经过层层选拔的冬奥网络安全卫士 24 小时在线,发起超过 2000 万次测试请求,测试总时长超过 1 万小时,成功发现了大量有效系统漏洞和冬奥相关威胁情报,为保障冬奥会网络安全发挥了巨大作用。对此,中央网信办冬奥会网络安全专家研判组组长、中国工程院院士方滨兴给予了高度肯定“白帽子作为冬奥网络安全卫士的突出表现,也证明了白帽子群体是可信任的、可管理的,
102、同时更是有能力的、有水平的。”面对复杂多变的网络安全态势和层出不穷的攻击手段,补天平台采用 SRC、众测等方式服务广大企业,以安全众包的形式让白帽子从模拟攻击者的角度发现问题,解决问题,帮助企业树立动态、综合的防护理念,守护企业网络安全。补天平台将多种安全服务有机的整合起来,进一步提升企业的漏洞响应能力、积极防御能力和常态化安全运营能力。截止 2023 年 12 月,平台注册白帽子已达 12 万余名,累计为 40 万多家企业报告的漏洞超过 153 万个。补天漏洞响应平台先后被公安部、工信部、国家信息安全漏洞共享平台(CNVD)、国家信息安全漏洞库(CNNVD)分别评定为技术支持先进单位、漏洞信息报送突出贡献单位和一级技术支撑单位。网聚安全力量,为社会提供准确、详实的漏洞情报,实现漏洞的及时发现与快速响应是补天平台始终坚持并不断履行的社会使命。通过营造实战化的学习环境、建设协同育人的导师制度、构建技能衔接的知识体系培养的实战化人才为企业网络安全贡献力量,为国家安全保驾护航。