渗透测试专家(白帽子黑客)、漏洞猎人和漏洞赏金的规模,是衡量一个国家网络安全人才储备和整体水平的一个重要指标。虽然第一个计算机病毒的“发明者”是巴基斯坦人,但从RSA2020和历年的黑帽大会上的演讲嘉宾国籍分布来看,欧美、东亚才是网络安全的先进市场。但是最新报告显示,印度的渗透测试人才和漏洞猎人正在急速崛起,已经超越了美国和巴基斯坦。
印度逆袭
近日,根据漏洞赏金平台Bugcrowd公布的最新报告“Inside of a Hacker 2020”,印度黑客人数和漏洞赏金总额(下图)在最近几个月中急剧增加,首次超过美国成为第一大国家。
该报告分析3,493名受访者的调查数据以及2019年5月至2020年4月1,549个Bugcrowd漏洞披露程序的数据。
调查发现,2020年已发放漏洞赏金项目总额比2019年增长了30%,而来自印度的漏洞发现者数量比上一年增长了83%,巩固了该国在信息安全研究领域的世界领导者的声誉。
至少在Bugcrowd平台上,印度的漏洞猎人数量已经首次超过美国,多出10%之多。
报告指出:“2019年,有27%的受访者表示住在美国,但2020年只有10%的受访者居住在美国。这种大幅下降似乎表明,来自美国并做出回应的安全研究人员的数量正在锐减。”
在漏洞猎人数量取得增长的国家中,印度以几何级数的增长在增幅上遥遥领先。
除了印度和美国,漏洞猎人数量排名前五的其他三个国家依次是巴基斯坦、孟加拉国和印度尼西亚,英国、澳大利亚、德国分别排第六、第八和第十。
消除对黑客的偏见
Bugcrowd的报告指出,仅在2019年,漏洞猎人们发现的漏洞就避免了89亿美元的网络犯罪损失。
该报告除了跟踪Bugcrowd平台上的安全研究人员的地理分布外,还对黑客的定义要素展开研究。
Bugcrowd创始人兼首席技术官Casey Ellis指出,人们需要改变对黑客的成见和偏见,今天的白帽子黑客不是躲在黑暗角落中的穿兜帽衫的神秘人物。
今年的报告调研有意识地设计了很多帮助用户了解深入了解当今黑客的问题,例如“你把钱花在哪里?”、“你最多一次挣了多少钱?”,该研究甚至还调查了3493名受访黑客每天晒太阳的时长。这个问题这是为了消除人们长期以来一直认为黑客是居住在黑暗地下室的犯罪分子的想法。
报告指出,“今年,我们收集了更多维度的数据,可以使黑客变得人性化,并为他们所做的工作定价。这可以确保该报告描绘出全球黑客社区的完整情况,而不是仅仅关注那些年收入数百万美元的‘1%’头部黑客。”
黑客特质与漏洞众包全球化
超过一半的受访者(53%)年龄在24岁以下,这表明千禧一代和“00后”已经成为漏洞猎人的主力军。
漏洞猎人也是一个“新手村”职业,在受访者中,有41%是过去12个月内加入的新入行者。
值得注意的是,多达13%的受访黑客属于神经多样性类型,这是一个总称,用来描述许多疾病,包括注意力缺陷多动障碍(ADHD)和自闭症。
报告指出:“近一半的神经多样的黑客(6%)患有注意力缺陷多动障碍症,但他们在快速变化的环境(例如安全研究)中却如鱼得水。研究还显示,创造力和创新思维使漏洞猎人获得丰厚的回报。”
优秀漏洞猎人的其他特质和优势包括:出色的记忆能力、增强的感知能力、对细节的精准关注以及对系统的增强理解。
报告还对未来的发展做出了预测,并指出在明年,随着新冠疫情对全球企业网络安全风险模型的改变,越来越多的企业和组织将开始接受远程安全测试服务,开放他们自己的漏洞赏金计划,保护关键基础架构和远程工作安全。
报告指出:“根据这些趋势,保守估计,到2025年,Bugcrowd平台上的黑客将帮助全球企业和组织避免超过550亿美元的网络犯罪损失。”