“年轻宅男”是白帽子群体的第一个显著特征。调研显示,“男同学”是组成白帽子群体的主要人群,超过半数的白帽子是95后。同时,白帽子人群的学历结构正在逐步提高,八成以上的白帽子拥有大专或本科以上学历,甚至硕士、博士群体的加入也已经不再罕见。
“内行人”也正在越来越多向白帽子领域聚集。绝大多数白帽子具备一定的学科基础知识,并且半数以上已就业白帽子仍在从事IT、互联网等行业的工作。“跨界”挖洞的现象正逐步减少。
从生活上来看,白帽子是一群“爱玩不爱吃的单身夜猫子”。养成良好的生活习惯和找到自己的另一半是白帽子人生的最大课题。
白帽子还是一群爱学习,有追求,向往大城市生活的人;他们希望能够依靠自己的技术能力服务社会,改善生活。而第三方漏洞平台正是白帽子实现自己人生价值的重要舞台。
“爱挑你的毛病,很可能是因为她爱你”。这句话似乎也非常适合于白帽子群体。一个企业,越是受到白帽子的关注,被白帽子报告的漏洞数量越多,这也说明了这个企业或这个企业的产品深受白帽子们的欢迎。
企业远比家人更懂白帽子,多数企业愿意为白帽子的挖洞工作支付比较丰厚的酬劳。
有超过一半的白帽子工作在IT、互联网等行业。特别值得注意的是,来自教育、国企、政府及事业单位和金融领域的白帽子也不在少数。
在已经毕业工作的白帽子中,月收入在8000-12000元的占比最多,达到了20%以上;其次是月收入5000-8000元的白帽子,占比为16.2%左右。
87.1%的学生白帽子表示希望毕业后能继续从事网络安全相关工作。同时,对学生白帽子最有吸引力的网络安全工作岗位是渗透测试工程师。
超过半数的白帽子会更倾向于选择给自己喜欢的企业挖洞,而选择给知名企业,或使用过其产品的企业挖洞的白帽子也都接近半数。真正会专门选择给自己不喜欢的企业挖洞的白帽子仅占白帽子群体的12.4%。
从白帽子关注的行业来看:互联网行业排名第一,关注度为66.3%;其次是教育行业,关注度为54.1%;排名第三的是政府机构和事业单位,关注度为49.3%。
当下白帽子们的“偏科”现象比较严重,对于移动互联网、物联网等领域的漏洞挖掘能力仍然普遍不足。
约有8.0%的白帽子在各种漏洞提交平台上提交过超过500个漏洞。堪称“洞霸”。
85.9%的白帽子很期望获得现金奖励;比较重视荣誉的占50.5%。
中国当前的教育体系尚不足以实现白帽子攻防人才的批量化培养,网上自学和拜师学艺仍是最主要的白帽人才产出方式。
真正能靠挖洞来养家糊口的白帽子,目前来说还只是极少数,但高水平白帽子通过挖洞月入数万也已经不是什么新闻了。白帽子群体的能力差距仍然十分悬殊。
愿意为高危漏洞向白帽子支付1000-3000元酬金的企业最多,占比为29.1%;其次是3000-10000元,占比为25.2%;特别的,有22%的企业愿意为单个高危漏洞向白帽子支付10000元以上的酬金。
近一半白帽子的家人并不是很清楚他们在做的事情;16%以上白帽子的家人对白帽子的工作表示不太理解或非常不理解;而真正表示非常理解支持白帽子工作的家人,占比仅为13.4%。
白帽子的就职情况
从就业行业来看,有超过一半的白帽子进入了IT、互联网等行业,这与白帽子人群的学业背景是基本相符的。不过,特别值得注意的是,来自教育、国企、政府及事业单位和金融领域的白帽子也不在少数。这在某种程度上也反映出相关领域信息化水平正在快速提高,因此才吸引了大量白帽子人群的就业。客观的说,来自特定行业领域的白帽子,由于更加熟悉相关行业的业务系统,因此也更有利于他们快速发现这些行业领域信息系统中的安全漏洞。
就网络安全领域从业经验来看,近80%的白帽子进入安全圈的时间为3年以下,其中31.2%的白帽子进入安全圈的时间小于1年,50.0%的白帽子进入安全圈的时间为1-3年;另外,也有14.7%的白帽子进入安全圈的时间为4-6年,进入安全圈工作6年以上的活跃白帽子只占群体总数4%左右。可以说,入圈6年以上的白帽子,真的就是名副其实的安全“老帽”了。
从收入方面开来,在已经毕业工作的白帽子中,月收入在8000-12000元的占比最多,达到了20%以上;其次是月收入5000-8000元的白帽子,占比为16.2%左右。下图数据在一定程度上反映出了白帽子群体的薪资基本水平,白帽子们可以作为参考,努力丰富自己,赢得与自身价值匹配的薪资。
特别的,在这些已经毕业工作的白帽子中,仍有约15.8%的白帽子是无固定收入的。这也在一定程度上反映出了部分白帽子的生活困境。
挖什么样的洞,为什么样的系统挖洞,不同的白帽子会有不同的选择。下面,我们就来看看白帽子们是如何做出自己的选择的。
目标企业与目标用户
“爱挑你的毛病,很可能是因为她爱你”。这句话似乎也非常适合于白帽子群体。
调查显示,超过半数的白帽子会更倾向于选择给自己喜欢的企业挖洞,而选择给知名企业,或使用过其产品的企业挖洞的白帽子也都接近半数。真正会专门选择给自己不喜欢的企业挖洞的白帽子仅占白帽子群体的12.4%。白帽子选择的挖洞对象原因,很大程度上是因为他们喜欢这些企业或尊敬这些企业。一个企业,越是受到白帽子的关注,被白帽子报告的漏洞数量越多,就越是说明这个企业或这个企业的产品深受白帽子们的欢迎。