稀缺安全技能的列表越來(lái)越長(cháng)�。安全技能需求增長(cháng)背后的原因是什么��?
從推進(jìn)公司的零信任安全策略��,到保護公司的云部署�,再到部署機器學(xué)習解決方案�。
團隊成員必須是效率極高的多面手����,還得能夠隨業(yè)務(wù)需求轉變����、技術(shù)發(fā)展進(jìn)步和安全風(fēng)險變化快速調整工作方法和學(xué)習新技能����。
事實(shí)上�,Sanders將“適應變化”列為2021年最受歡迎的技能之一��,其他搶手技能還包括內在動(dòng)力和自主工作的能力��。
毫無(wú)疑問(wèn)��,公司需要的技能很多����。
實(shí)際上�,網(wǎng)絡(luò )安全人才一直供不應求�。
2020年7月�,ISSA和企業(yè)戰略集團(ESG)發(fā)布聯(lián)合報告����,指出70%的ISSA會(huì )員認為全球網(wǎng)絡(luò )安全人才短缺已經(jīng)影響到了所在組織����。同時(shí)�,2020年 (ISC)2 網(wǎng)絡(luò )安全勞動(dòng)力市場(chǎng)研究發(fā)現��,64%的受訪(fǎng)安全人士感受到了所在公司人才短缺的影響����。
然而����,此類(lèi)統計數據反映的還只是問(wèn)題的一部分�。
安全主管們表示�,不僅合格的安全工作者短缺�,現有安全人才庫中也難以找到所需的技能��。
考慮到當今需要的超多技能��,發(fā)出這種感嘆毫不令人意外��。
事實(shí)上����,安全人員需通過(guò)不止一個(gè)認證����,或具有多種主要工具的使用經(jīng)驗��。隨著(zhù)安全工作逐漸轉型為橫跨不同學(xué)科的復合職能����,安全人員越來(lái)越需要正確組合多種安全技能與技術(shù)����、業(yè)務(wù)和人際交往能力了����。
勞動(dòng)市場(chǎng)分析公司Burning Glass Technologies發(fā)布了2019年職能混合報告����,其常務(wù)董事Will Markow稱(chēng):“只能做好一件事的安全人員不再受青睞�。系統面臨的威脅太多��,被黑的幾率太高��,如果沒(méi)有廣博的知識�,你就無(wú)法勝任安全人員的工作�?�!?/p>
2021最緊俏安全人才反映了這一趨勢�,安全主管們表示�,他們需要的安全人才要能夠綜合利用各種專(zhuān)業(yè)技能以適應新興安全與威脅環(huán)境�,滿(mǎn)足總體業(yè)務(wù)要求����。
未來(lái)一年�,以下10個(gè)領(lǐng)域的人才將備受青睞:
1�、風(fēng)險識別與管理
Jorge Rey是專(zhuān)業(yè)服務(wù)公司Kaufman Rossin的首席信息安全官��,他想要熟悉公司及其所屬行業(yè)的安全員工�,所以相當看重自己部門(mén)的人員離職率��。他表示��,老員工能帶來(lái)他需要的業(yè)務(wù)洞察����。而這種洞察一旦與技術(shù)敏銳度和網(wǎng)絡(luò )安全經(jīng)驗相結合����,就能幫助識別出公司面臨的最大威脅�,讓公司安全部門(mén)能夠合理分配有限的資源��,達成最佳安全防護����。
“緩解威脅的最佳辦法就是了解風(fēng)險����。所以我們需要精通治理和策略人才����,這樣才能確定最佳解決方案����,找出正確的技術(shù)或合適的外部提供商�,或者合理構建自己的處理能力�?!?/p>
其他機構也將風(fēng)險管理置于2021理想技能列表頂端����,Burning Glass就將之列為未來(lái)五年需求增長(cháng)最快的安全技能之一��,也是能夠給安全人員帶來(lái)1萬(wàn)多美元年終獎的技能之一��。
Markow補充道:“CISO需要能夠采取基于風(fēng)險的方法構建安全數字基礎設施的人才����?�!?/p>
2�、技術(shù)功底
具備全面技術(shù)能力的人才也是CISO的延攬對象��,畢竟如果不懂構成基礎設施的IT組件�,也就無(wú)法理解數字世界風(fēng)險和制定安全計劃�。
科技公司Syntax首席信息安全官Matthew Rogers稱(chēng):“編程技能����、系統管理技能和網(wǎng)絡(luò )技能都是必要的��,因為如果缺乏基礎知識支撐�,安全技能就毫無(wú)價(jià)值��?���!?/p>
咨詢(xún)公司普華永道同樣將技術(shù)敏銳度看作安全人員的重要特質(zhì)��,將“數字構件塊”知識列入有效安全項目所需的三大關(guān)鍵專(zhuān)業(yè)技能領(lǐng)域(數字技術(shù)�、業(yè)務(wù)敏銳度和社交技能)����。
因此����,普華永道網(wǎng)絡(luò )與隱私創(chuàng )新研究院院長(cháng)Joe Nocera表示��,安全主管想要的員工除了具備特定業(yè)務(wù)和安全解決方案的相關(guān)專(zhuān)業(yè)知識����,還要了解架構和登錄�、監視��、身份管理及身份驗證�。
Jack O’Meara是資深CISO��,目前出任技術(shù)咨詢(xún)和外包公司Guidehouse的網(wǎng)絡(luò )安全解決方案團隊總監����。他贊同Joe Nocera的看法����,并表示:“我想確保手下員工具備現成的專(zhuān)業(yè)技能�,能夠搞定我要部署的特定技術(shù)����。他們得了解技術(shù)的運行機制�,因為如果不懂��,他們就永遠無(wú)法摸清攻擊者會(huì )怎么利用這些技術(shù)��?�!?/p>
3��、數據管理與分析
安全部門(mén)是企業(yè)中最大的數據生成器��。而由于要利用信息驅動(dòng)更有效的防護策略����,在很多企業(yè)中��,安全部門(mén)也開(kāi)始變成最大的數據消費者了�。
技術(shù)研究公司Gartner安全與風(fēng)險管理領(lǐng)導力合作伙伴Brandon S. Dunlap表示:“安全部門(mén)想要充分發(fā)揮手中大量數據的效用��,而工具的作用不過(guò)如此��。越來(lái)越多的CISO紛紛招聘數據科學(xué)家�、數據工程師和數據官����?�!?/p>
4�、DevSecOps
公司企業(yè)正從開(kāi)發(fā)運維轉向DevSecOps��,尋求將安全考慮融入應用設計與開(kāi)發(fā)周期����,確保產(chǎn)出更加安全的應用����。這就要求安全人員具備開(kāi)發(fā)和運營(yíng)的相關(guān)知識與經(jīng)驗了��。
IT 人力資源公司Robert Half Technology執行董事Jeffrey Weber稱(chēng):“過(guò)去幾年來(lái)��,我們已經(jīng)認識到安全風(fēng)險存在于應用本身�。所以我們的軟件開(kāi)發(fā)需要從一開(kāi)始就融入安全考慮��?���!?/p>
Burning Glass將應用開(kāi)發(fā)安全列為增長(cháng)最快的頭號技術(shù)�,未來(lái)五年預期需求將增長(cháng)164%����。
5�、云
云的大規模采納��,尤其是多云策略的崛起��,增加了對具備云部署經(jīng)驗的安全人員的需求��,此類(lèi)安全人員需能將云部署經(jīng)驗融入企業(yè)安全策略��。比如說(shuō)����,Rey就想將熟悉一個(gè)或多個(gè)公有云平臺(AWS�、Azure��、GCP)和私有云架構的安全人才收入麾下��。他說(shuō):“要做好云安全工作�,需要各方面知識都懂一點(diǎn)�,這其實(shí)是在云環(huán)境中開(kāi)發(fā)安全網(wǎng)絡(luò )�?!?/p>
6����、自動(dòng)化
ESG在2020年《網(wǎng)絡(luò )安全人員的生活與時(shí)光》報告中稱(chēng)�,企業(yè)可采用自動(dòng)化技術(shù)解決網(wǎng)絡(luò )安全人才短缺問(wèn)題����。專(zhuān)家對此表示贊同�,并解釋稱(chēng)��,自動(dòng)化重復性任務(wù)可產(chǎn)出效率和提升有效性����,同時(shí)將員工寶貴的時(shí)間轉移到只有人類(lèi)能完成的復雜工作上����。
然而��,自動(dòng)化安全功能要求安全員工具備實(shí)際實(shí)現自動(dòng)化解決方案的技術(shù)和能力��。
Rey認為��,自動(dòng)化可幫助彌補人才短缺�,自動(dòng)化技能應成為IT或安全員工的內化技能����。他想要的安全人才應能夠鑒別可以自動(dòng)化的任務(wù)�,并能運用Python����、PowerShell及其他腳本語(yǔ)言自己搞定自動(dòng)化�。
7����、威脅追捕
威脅追捕是日漸受到關(guān)注的新興安全策略��。根據安全解決方案生產(chǎn)商DomainTools 2020年的一項調查����,93%的公司企業(yè)認為威脅追捕應成為首要安全項目��,以便提供早期檢測和降低風(fēng)險��。威脅追捕實(shí)踐越來(lái)越受人青睞����,其實(shí)現也越來(lái)越多����,具備相應技能組合的人才需求也水漲船高����。Burning Glass將威脅追捕列為第四號需求增長(cháng)最快的技能��。
安全技術(shù)公司VMware Carbon Black首席網(wǎng)絡(luò )安全策略師Rick McElroy稱(chēng)����,威脅追捕需要數據分析技能��,要了解MITRE ATT&CK及其他此類(lèi)框架����,懂得各種企業(yè)技術(shù)棧(這樣才能發(fā)覺(jué)“異常情況”)����,還要有探索問(wèn)題的好奇心����。McElroy表示:“威脅追捕人員得像攻擊者那樣思考�,要自問(wèn)‘攻擊者會(huì )怎樣繞過(guò)我的防御����?’”
8��、人際交往技能
隨著(zhù)數字經(jīng)濟的崛起��,網(wǎng)絡(luò )安全功能只會(huì )越來(lái)越重要��,網(wǎng)絡(luò )安全人員也越來(lái)越受重視��,安全人員出現在高管����、董事會(huì )成員和業(yè)務(wù)人員面前的頻率越來(lái)越高��。因此�,他們須能與各類(lèi)利益相關(guān)者協(xié)作����、溝通和商討�,凸顯出人際交往技能是多么搶手����。能源公司PNM Resources網(wǎng)絡(luò )安全副總監Gary Todd表示:“銷(xiāo)售似的�,要能向公司所有不同層級灌輸他們在保護公司安全方面需要做些什么��?!?/p>
9��、業(yè)務(wù)敏銳度
惠普首席信息安全官Joanna McDaniel Burkey希望招募到了解業(yè)務(wù)�、能以業(yè)務(wù)用語(yǔ)交流�,并將自己視為商業(yè)人士與技術(shù)人員復合體的人才����。她認為��,網(wǎng)絡(luò )安全人員需要此類(lèi)技能來(lái)幫助管理風(fēng)險��,風(fēng)險管理才是現代安全團隊的主要目標�。
安全人員需幫助公司企業(yè)在安全與成本�、市場(chǎng)需求及其他業(yè)務(wù)指標之間取得平衡����。她表示:“我將之稱(chēng)為管理的兩極與取舍��。我們需要照顧到問(wèn)題的兩面��,站在對方的角度思考����,這樣才能與利益相關(guān)者和諧共創(chuàng )����?�!?/p>
10����、敏捷性
2020年 (ISC)2 網(wǎng)絡(luò )勞動(dòng)力市場(chǎng)研究表明����,30%的受訪(fǎng)者表示����,由于新冠肺炎疫情�,自家企業(yè)僅一天之內就切換到了遠程辦公模式����,另有47%的受訪(fǎng)企業(yè)在僅僅數天到一周時(shí)間內完成了工作模式遷移(只有16%的受訪(fǎng)者耗費了超過(guò)一周的時(shí)間��。)專(zhuān)家預測�,這種快速勞動(dòng)力轉型不會(huì )成為常態(tài)����,但他們確實(shí)認為技術(shù)和業(yè)務(wù)轉型速度會(huì )繼續加快�。
安全需快速跟上�。美國密歇根州奧克蘭郡首席技術(shù)官E.J. Widun稱(chēng):“新冠肺炎疫情帶來(lái)了全新的詐騙與攻擊手法��,以及新型工作方式��。新冠肺炎疫情向我們表明�,我們需要能夠適應��,而且是快速適應的人才��?!?/p>
