组织需要的安全技能有很多,而且还在不断增加。专家表示,网络攻击的发展正在推动安全技能的需求。
Netflix公司DVD业务安全负责人、美国信息系统安全协会(ISSA)旧金山分会会长Jimmy Sanders表示,该公司在网络安全方面有很多的工作要做,因此他希望带领的安全团队可以处理未来的许多任务,从推进企业的零信任安全策略到保护其云服务部署,再到部署机器学习解决方案。
![]()
安全团队成员必须能够完成所有这些工作,并能够随着业务需求的变化、技术的发展和安全风险的变化,快速地进行调整和升级技能。
实际上,Sanders认为“适应变化”是2021年最需要的网络安全技能之一,这与内在动力和自我指导工作的能力并驾齐驱。网络安全人才对于企业来说供不应求。
美国信息系统安全协会(ISSA)和Enterprise Strategy Group(ESG)于2020年7月发布的一份调查报告发现,70%的ISSA成员认为,全球网络安全技能短缺已对其组织带来不利影响,而《2020(ISC)²网络安全劳动力研究》报告发现,64%的响应安全专业人士在自己的组织中遇到了技能短缺的问题。但是,这样的统计数字只能说明其中的一部分情况。
一些网络安全部门的领导者表示,不仅在该领域工作的合格人员数量短缺,而且在现有的安全专业人员队伍中找到所需的技能也具有挑战性。考虑到目前所需的所需技能,这种情况不足为奇。
实际上,安全专业人员不仅需要认证证书,还需要使用一些关键工具的知识和经验。随着安全工作演变成跨越不同学科的混合角色,他们越来越需要将多种安全技能与技术、业务和人际交往能力正确地结合在一起。
劳动力市场分析机构Burning Glass 科技公司总经理Will Markow说,“安全人员的技能需要转变。网络系统构成的威胁太多,机会太多,如果没有广泛的知识基础,就不可能成为一名合格的安全专业人员。”该公司在2019年发表了一份关于职位角色混合的调查报告。
安全负责人表示,2021年最需要的安全技能反映了这一趋势,他们需要能够汇集各领域专业知识的人员,以满足新兴的安全和威胁环境以及总体业务需求。
以下是未来一年最需要网络安全技能的10个领域以及原因:
1. 风险识别与管理
专业服务商Kaufman Rossin公司首席信息安全官Jorge Rey表示,希望安全人员了解企业及其行业,这就是他重视安全部门离职率的原因。他说,资深员工带来了他所需的业务见解。而且,这种洞察力与技术敏锐度和网络安全经验相结合,可以帮助他们确定哪些威胁构成了最大的风险,因此他们可以有效地分配有限的资源来提供最佳保护。
他说:“减轻威胁的最佳方法是了解风险,因此企业需要精通治理和战略的人员,他们可以确定最佳安全解决方案,可以采用合适的技术或找到合适的外部提供商,或者在内部构建合适的解决方案。”
其他组织也将风险管理放在了2021年所需技能的首位,Burning Glass公司将风险管理列为未来五年需求增长最快的安全技能之一。
Markow补充说:“首席信息安全官需要能够采取基于风险的方法来构建安全的数字基础设施的人员。”
2. 技术敏锐性
首席信息安全官也在寻求具有全面技能的人员,他们指出,如果不了解构成基础设施的IT组件,他们将无法理解风险,并且无法为数字世界制定安全计划。
科技厂商Syntax公司的首席信息安全官Matthew Rogers表示:“编程技能、系统管理技能和网络技能都是必不可少的技术,因为如果没有基础知识,安全技能就一文不值。”
普华永道咨询公司也将技术敏锐性视为对安全专业人员至关重要的技术,将“数字构建块”的知识列为有效安全计划所需的三个关键专业知识领域(数字技能、业务敏锐度和社交技能)之一。
因此,普华永道公司网络与隐私创新研究所的负责人Joe Nocera表示,安全主管希望员工除了了解特定业务和安全解决方案的专业知识之外,还需要了解架构、日志、监控、身份管理和身份验证。
技术咨询和外包商Guidehouse公司网络安全解决方案团队资深主管Jack O’Meara是一名资深的首席信息安全官。他说,“我想确保员工对正在部署的特定技术有实际经验。他们必须了解技术是如何工作的,因为如果他们不了解这些技术,他们就永远不会了解网络攻击者如何利用它。”
3. 数据管理与分析
安全部门是企业中最大的数据生成器之一,在许多企业中,安全部门也正成为最大的数据使用方之一,因为它试图利用信息来推动更有效的保护策略。
技术研究机构Gartner公司负责安全和风险管理的合伙人Brandon S. Dunlap说:“很多企业正在寻找能够理解和分析其拥有的大量数据的工具,而到目前为止,这些工具并不理想。”他补充说,现在越来越多的首席信息安全官雇佣数据科学家、数据工程师和数据官员。
4. 开发安全
越来越多的企业从DevOps转移到DevSecOps,寻求在应用程序设计和开发阶段添加安全性,以确保应用程序更安全。这需要具有开发和运营知识和经验的安全人员。
IT人员配置商Robert Half Technology公司总经理Jeffrey Weber说:“我们在过去几年中了解到,安全风险真正存在的地方在于应用程序本身,因此我们需要从一开始就将安全性集成到软件开发中。”
Burning Glass公司将应用程序开发安全列为增长最快的技能,预计未来五年需求将增长164%。
5. 云计算
云计算的广泛采用,尤其是企业对多云战略的日益接纳,增加了对在云部署中具有丰富经验并且与企业安全战略相结合的安全工作者的需求。Rey表示,希望团队成员在一个或多个公共云平台(AWS、Azure、谷歌)以及私有云架构方面具有专业知识。他说,“当我想到云计算安全性时,团队成员需要对云计算的特性有一些了解;这是关于在云计算环境中开发安全的网络。”
6. 自动化
ESG公司在其2020年发布的名为《网络安全专业人员的生活和时代》调查报告中表示,企业安全可以使用自动化来解决网络安全技能短缺的问题。专家一致认为,自动化重复性任务可以提高效率,同时将员工的精力和时间转移到复杂工作上。然而,实现安全功能的自动化需要在实现自动化解决方案方面具有技能的网络安全人员。
Rey表示,首席信息安全官相信自动化可以帮助缩小技能差距,他说,“自动化技能应该嵌入到IT或安全领域的任何人身上。”他表示,希望网络安全人员能够使用Python、PowerShell和其他脚本语言来确定可以实现自动化的任务。
7. 威胁搜寻
威胁搜寻是一种相对较新的安全策略,正在得到广泛的关注。根据安全解决方案制造商DomainTools公司在2020年进行的一项调查,93%的受访者表示,威胁搜寻应该是一项首要的安全计划,旨在提供早期发现,并降低风险。随着对威胁搜寻实践的关注与实施的日益增长,正推动企业对完成这项工作所需技能组合的需求。Burning Glas公司将这一技能列为需求增长最快的第四名。
安全技术服务商VMware Carbon Black公司首席网络安全策略师Rick McElroy表示,这需要网络安全人员具有分析技能,对MITER ATT&CK框架或其他此类方法的理解、对企业技术堆栈的了解,并且对于寻求问题答案有着强烈的好奇心。McElroy说,“他们必须像网络攻击者一样思考;他们必须想,‘网络攻击者将如何绕过我们的防御?’”
8. 人际交往技能
随着数字经济的兴起,网络安全的作用越来越重要,也越来越突出。这使得安全专业人员以更高的频率出现在企业高管、董事会成员和员工面前。因此,他们必须能够与这些不同的利益相关者合作、沟通和协商,使这些技能和其他人际交往技能成为热门商品。能源开发商PNM Resources公司网络安全副总监Gary Todd表示:“这几乎是一项销售技能,能够向企业的所有不同级别的人员展示他们需要做什么进行保护。”
9. 商业头脑
惠普公司首席信息安全官Joanna McDaniel Burke表示,希望网络安全员工能够了解业务,以业务术语进行交流,并将自己视为商人和技术专家。她表示,安全专业人员需要这样的技能,以便他们可以帮助管理风险,这是现代安全团队的主要目标。
安全专业人员必须帮助他们的组织平衡安全与成本、市场需求和其他业务指标。她说:“我将其称为‘管理的两极分化’与权衡取舍。我们需要看到问题的两个方面,需要设身处地为他们着想,这样才能与利益相关者共同创造良好的环境。”
10. 敏捷性
根据2020年(ISC)²劳动力研究的调查报告,由于发生冠状病毒疫情,只有30%的受访者表示在一天之内将其工程转换到远程工作;另外47%的受访者表示,在几天到一周的时间做出转换,只有16%的受访者表示这种转换花费了一周以上的时间。专家们并不期望这种快速的工作场所变革会成为常态,但他们确实希望技术和业务变革的步伐会继续加快。
密歇根州奥克兰县首席技术官E.J.Widun说,“冠状病毒疫情带来了全新的骗局、网络攻击和工作方式。疫情表明,我们需要具有快速适应能力的网络安全人员。”
