稀缺安全技能的列表越来越长。安全技能需求增长背后的原因是什么?听听专家怎么说。
Jimmy Sanders手头的工作堆积如山,他想要一支能够搞定许多任务的安全团队:从推进公司的零信任安全策略,到保护公司的云部署,再到部署机器学习解决方案。
团队成员必须是效率极高的多面手,还得能够随业务需求转变、技术发展进步和安全风险变化快速调整工作方法和学习新技能。
事实上,Sanders将“适应变化”列为2021年最受欢迎的技能之一,其他抢手技能还包括内在动力和自主工作的能力。
毫无疑问,公司需要的技能很多。
作为Netflix DVD安全主管和美国信息系统安全协会(ISSA)旧金山分会主席,Sander表示:“全能型人才极其稀缺。”
实际上,网络安全人才一直供不应求。
2020年7月,ISSA和企业战略集团(ESG)发布联合报告,指出70%的ISSA会员认为全球网络安全人才短缺已经影响到了所在组织。同时,2020年 (ISC)2 网络安全劳动力市场研究发现,64%的受访安全人士感受到了所在公司人才短缺的影响。
然而,此类统计数据反映的还只是问题的一部分。
安全主管们表示,不仅合格的安全工作者短缺,现有安全人才库中也难以找到所需的技能。
考虑到当今需要的超多技能,发出这种感叹毫不令人意外。
事实上,安全人员需通过不止一个认证,或具有多种主要工具的使用经验。随着安全工作逐渐转型为横跨不同学科的复合职能,安全人员越来越需要正确组合多种安全技能与技术、业务和人际交往能力了。
劳动市场分析公司Burning Glass Technologies发布了2019年职能混合报告,其常务董事Will Markow称:“只能做好一件事的安全人员不再受青睐。系统面临的威胁太多,被黑的几率太高,如果没有广博的知识,你就无法胜任安全人员的工作。”
2021最紧俏安全人才反映了这一趋势,安全主管们表示,他们需要的安全人才要能够综合利用各种专业技能以适应新兴安全与威胁环境,满足总体业务要求。
未来一年,以下10个领域的人才将备受青睐:
1、风险识别与管理
Jorge Rey是专业服务公司Kaufman Rossin的首席信息安全官,他想要熟悉公司及其所属行业的安全员工,所以相当看重自己部门的人员离职率。他表示,老员工能带来他需要的业务洞察。而这种洞察一旦与技术敏锐度和网络安全经验相结合,就能帮助识别出公司面临的最大威胁,让公司安全部门能够合理分配有限的资源,达成最佳安全防护。
“缓解威胁的最佳办法就是了解风险。所以我们需要精通治理和策略人才,这样才能确定最佳解决方案,找出正确的技术或合适的外部提供商,或者合理构建自己的处理能力。”
其他机构也将风险管理置于2021理想技能列表顶端,Burning Glass就将之列为未来五年需求增长最快的安全技能之一,也是能够给安全人员带来1万多美元年终奖的技能之一。
Markow补充道:“CISO需要能够采取基于风险的方法构建安全数字基础设施的人才。”
2、技术功底
具备全面技术能力的人才也是CISO的延揽对象,毕竟如果不懂构成基础设施的IT组件,也就无法理解数字世界风险和制定安全计划。
科技公司Syntax首席信息安全官Matthew Rogers称:“编程技能、系统管理技能和网络技能都是必要的,因为如果缺乏基础知识支撑,安全技能就毫无价值。”
咨询公司普华永道同样将技术敏锐度看作安全人员的重要特质,将“数字构件块”知识列入有效安全项目所需的三大关键专业技能领域(数字技术、业务敏锐度和社交技能)。
因此,普华永道网络与隐私创新研究院院长Joe Nocera表示,安全主管想要的员工除了具备特定业务和安全解决方案的相关专业知识,还要了解架构和登录、监视、身份管理及身份验证。
Jack O’Meara是资深CISO,目前出任技术咨询和外包公司Guidehouse的网络安全解决方案团队总监。他赞同Joe Nocera的看法,并表示:“我想确保手下员工具备现成的专业技能,能够搞定我要部署的特定技术。他们得了解技术的运行机制,因为如果不懂,他们就永远无法摸清攻击者会怎么利用这些技术。”
3、数据管理与分析
安全部门是企业中最大的数据生成器。而由于要利用信息驱动更有效的防护策略,在很多企业中,安全部门也开始变成最大的数据消费者了。
技术研究公司Gartner安全与风险管理领导力合作伙伴Brandon S. Dunlap表示:“安全部门想要充分发挥手中大量数据的效用,而工具的作用不过如此。越来越多的CISO纷纷招聘数据科学家、数据工程师和数据官。”
4、DevSecOps
公司企业正从开发运维转向DevSecOps,寻求将安全考虑融入应用设计与开发周期,确保产出更加安全的应用。这就要求安全人员具备开发和运营的相关知识与经验了。
IT 人力资源公司Robert Half Technology执行董事Jeffrey Weber称:“过去几年来,我们已经认识到安全风险存在于应用本身。所以我们的软件开发需要从一开始就融入安全考虑。”
Burning Glass将应用开发安全列为增长最快的头号技术,未来五年预期需求将增长164%。
5、云
云的大规模采纳,尤其是多云策略的崛起,增加了对具备云部署经验的安全人员的需求,此类安全人员需能将云部署经验融入企业安全策略。比如说,Rey就想将熟悉一个或多个公有云平台(AWS、Azure、GCP)和私有云架构的安全人才收入麾下。他说:“要做好云安全工作,需要各方面知识都懂一点,这其实是在云环境中开发安全网络。”
6、自动化
ESG在2020年《网络安全人员的生活与时光》报告中称,企业可采用自动化技术解决网络安全人才短缺问题。专家对此表示赞同,并解释称,自动化重复性任务可产出效率和提升有效性,同时将员工宝贵的时间转移到只有人类能完成的复杂工作上。
然而,自动化安全功能要求安全员工具备实际实现自动化解决方案的技术和能力。
Rey认为,自动化可帮助弥补人才短缺,自动化技能应成为IT或安全员工的内化技能。他想要的安全人才应能够鉴别可以自动化的任务,并能运用Python、PowerShell及其他脚本语言自己搞定自动化。
7、威胁追捕
威胁追捕是日渐受到关注的新兴安全策略。根据安全解决方案生产商DomainTools 2020年的一项调查,93%的公司企业认为威胁追捕应成为首要安全项目,以便提供早期检测和降低风险。威胁追捕实践越来越受人青睐,其实现也越来越多,具备相应技能组合的人才需求也水涨船高。Burning Glass将威胁追捕列为第四号需求增长最快的技能。
安全技术公司VMware Carbon Black首席网络安全策略师Rick McElroy称,威胁追捕需要数据分析技能,要了解MITRE ATT&CK及其他此类框架,懂得各种企业技术栈(这样才能发觉“异常情况”),还要有探索问题的好奇心。McElroy表示:“威胁追捕人员得像攻击者那样思考,要自问‘攻击者会怎样绕过我的防御?’”
8、人际交往技能
随着数字经济的崛起,网络安全功能只会越来越重要,网络安全人员也越来越受重视,安全人员出现在高管、董事会成员和业务人员面前的频率越来越高。因此,他们须能与各类利益相关者协作、沟通和商讨,凸显出人际交往技能是多么抢手。能源公司PNM Resources网络安全副总监Gary Todd表示:“销售似的,要能向公司所有不同层级灌输他们在保护公司安全方面需要做些什么。”
9、业务敏锐度
惠普首席信息安全官Joanna McDaniel Burkey希望招募到了解业务、能以业务用语交流,并将自己视为商业人士与技术人员复合体的人才。她认为,网络安全人员需要此类技能来帮助管理风险,风险管理才是现代安全团队的主要目标。
安全人员需帮助公司企业在安全与成本、市场需求及其他业务指标之间取得平衡。她表示:“我将之称为管理的两极与取舍。我们需要照顾到问题的两面,站在对方的角度思考,这样才能与利益相关者和谐共创。”
10、敏捷性
2020年 (ISC)2 网络劳动力市场研究表明,30%的受访者表示,由于新冠肺炎疫情,自家企业仅一天之内就切换到了远程办公模式,另有47%的受访企业在仅仅数天到一周时间内完成了工作模式迁移(只有16%的受访者耗费了超过一周的时间。)专家预测,这种快速劳动力转型不会成为常态,但他们确实认为技术和业务转型速度会继续加快。
安全需快速跟上。美国密歇根州奥克兰郡首席技术官E.J. Widun称:“新冠肺炎疫情带来了全新的诈骗与攻击手法,以及新型工作方式。新冠肺炎疫情向我们表明,我们需要能够适应,而且是快速适应的人才。”
ISSA和ESG在2020年7月推出的报告:
https://www.issa.org/wp-content/uploads/2020/07/ESG-ISSA-Research-Report-Cybersecurity-Professionals-Jul-2020.pdf
2020 (ISC)2 网络劳动力市场研究:https://www.isc2.org/Research/Workforce-Study
劳动力市场分析公司Burning Glass Technologies 2019报告:
https://www.burning-glass.com/wp-content/uploads/hybrid_jobs_2019_final.pdf
安全解决方案厂商DomainTools 2020调查研究报告:
https://www.domaintools.com/resources/survey-reports/the-2020-threat-hunting-report
来源:数世咨询