整個安全領域都在抱怨信息安全人才的短缺。短缺確實存在,但并不是一條巨大的鴻溝,而是一系列山谷和裂縫,每一條都有不同的特征。除了承認短缺的存在,我們需要仔細勘察地勢,才能得出跨越它的路線圖。
信息安全的很多領域絕對存在人才緊缺情況。ICS和SCADA安全人員就是一個新興領域。高技術惡意軟件逆向工程師是眾人追逐的搶手貨。能保衛急速擴張中的微服務和API的云安全架構師供不應求。能打造測試工具的頂級滲透測試員鳳毛麟角。毫無疑問,此類技術人才非常罕見。
該人才短缺的情況并非僅僅因為缺乏熟練的安全專業人員造成。隨著人們漸漸認為所有系統都需要一定程度的安全控制,以及想讓世界上所有東西都成為帶個IP的軟件,新安全工種像雨后春筍一樣紛紛冒頭。需要審查的技術在以指數級速度增長,對這些系統的測試往往需要高技術安全專業人才,而我們目前并沒有如此巨量的人才儲備。
有很多方法來獲得信息安全技術:從幫助臺開始,轉向系統工程或開發,學習利用技術解決企業面臨的問題。這將教會你在新安全威脅沖擊下平衡業務需求、新技術和遺留系統。這些經驗的價值再怎么強調都不為過。成為信息安全專業人才的最佳途徑,就是從其他IT角色積累經驗,但這并非唯一一條道路。我們不能僅僅依賴職業專家;我們還需要真正入門級角色的新鮮血液。
為填補人才缺口,我們不僅需要發展剛參加工作的入門級信息安全職位,還需要納入希望在職業生涯稍后階段轉向信息安全的IT人士。我們需要擴展我們對“入門級”在信息安全領域的認知。
定義信息安全和入門級
人才短缺的主要分歧,似乎是信息安全不是入門級職位的想法。對某些角色而言,這一點不可否認。但是,信息安全不可能全都是滲透測試和惡意軟件逆向工程之類極其復雜的非標準工作。我們得仔細思考入門級到底意味著什么。
它可以是剛出校門的大學生,也可以是有著大量IT經驗但想轉向信息安全的IT老手。保持企業安全所需的基本安全衛生需要大量的工作,而這些工作可被處在職業生涯兩端的人士共同完成。
醫學專業學生畢業的時候,他們會進入醫生實習期培訓項目。住院醫生實習期間,他們會在經驗豐富的醫生指導下,處理各種病癥的患者。如果醫學生剛畢業就能在在職指導下處理生命攸關的工作,我們同樣可以找出讓人在信息安全領域成長的道路。
延續醫學方面的類比,外科醫生不在手術室里消毒工具,他們依靠清潔的設備預防感染,由經受訓練的技師負責恰當地清潔這些設備。這些技師在醫療領域工作。希望轉行到信息安全領域的IT專業人士與之類似。護士往往會成為執業護師。他們在醫療領域習得技能,然后在下一個角色中應用這些技能。我們也可以創建不需要幾十年信息安全經驗就能產出積極結果的安全職位。
這里的關鍵,就在于對概念和技術的基本理解,以及通過適當的培訓執行定義良好的過程。讓經驗豐富的“理療師”進駐安全運營中心(SOC)分析數據包、評估日志或審查補丁報告會很難。因為理療師欠缺IT系統、網絡或日志的基本常識。這是入門級安全角色方面被混為一談的紛爭點。
沒人會提倡任意技術水準的任何人都可以進入任一信息安全角色。讓剛出校門毫無經驗的大學生,獨自對生產系統進行滲透測試,輕則紕漏頻出,重則引發災難。期待Windows系統管理員了解有關Linux權限的所有事,也是不現實的。
然而,在試圖提升環境安全的時候,兩種人員都是有價值的。經由定義良好的過程且恰當培訓過的人員,可以對企業安全產生重大積極影響。入門級大學生可為舊有安全任務帶來新的觀點,而成熟IT專業人士了解大學畢業生從未見過的各種問題。將“入門級安全角色”擴展至處在職業生涯兩端的人,可以彌合安全人才缺口。
不是每個人都能/應該成為搖滾巨星
人才缺口問題的關鍵:我們一直相信,因為某些安全難題的超級復雜性,能解決這些問題的人才是“萬里挑一”的。然而事實真相是,大多數數據泄露,都是網絡釣魚郵件、錯誤配置、口令重用和補丁缺失之類的“小”問題導致的。
我們不能一邊哀嘆人才短缺,一邊抱怨自己沒能在自身安全項目中覆蓋基礎措施。你的頂級人才可以處理審核和強化系統指南、修復和評估網絡釣魚郵件等等工作,但這是對他們技能的浪費。
如果我們觀察可以預防數據泄露的角色所在領域的人才缺口,你會看到急于進入信息安全領域的勞動力大軍。我們不能依靠處在職業巔峰的安全多面手來解決所有信息安全問題。對他們的需求是永無止境的。
甚至醫療結果也并不全由醫生決定。護士、X光透視技師、理療師等等大量人員,都對成功的醫療健康成果有所貢獻,而他們未必都有幾十年的醫學院校和職業經驗。醫生負責處理復雜問題,而其他人搞定標準流程。信息安全也可同理處置。
文檔缺乏加劇了人才短缺問題
如果你的IT過程沒包含良好的文檔記錄,你將有兩個非常可能的結果:老練的安全團隊疲于奔命,測試紅隊入侵你的系統如入無人之境。
花費大量金錢試圖將安全寄予不良IT過程的公司,只能看到公司安全不斷限于失敗之境。修復范圍將隨“新”問題系統的發現,以幾何級數擴張。這些公司將怪罪安全人才短缺,因為他們認為只有信息安全超級英雄才能拯救自己。
只要你的IT過程有良好的文檔記錄和控制,讓安全新人在團隊高級成員指導下處理定義良好的安全過程,就能實現相對的風險屏蔽。
正確定義過程,以及創建自動故障恢復機制限制修復團隊成員轉向信息安全角色,也會有所幫助。你不僅可以卸下頂級安全人才身上的一些繁瑣任務負擔,還可以培養渴望成為信息安全專業人士的新人才。
別愛上人才缺口,要關閉它
如果作為招聘經理,卻只是在抱怨人才短缺,不積極支持實習項目或跨部門成長,那你就是問題本身的一部分。不是每個安全角色都一上來就要求CISSP、40年Python腳本編程經驗、至少兩個被接受的CVE、一個碩士學位。
你也不應該僅僅因為從未在“安全”行業工作過,就無視掉其他適格的IT人員。想象一下,如果連采血、拍X光、維護核磁共振設備和分發藥品之類的工作,都只能由醫生來做,那醫藥行業的人才缺口規模會有多么龐大。
如果你的環境太過復雜,以致無法定義任何過程,新團隊成員無法照章執行,那么全球頂尖安全大師也無法保住你不遭受數據泄露。先從找出自身基本缺口位置,定義項目實習生、初級員工和跨部門合作伙伴可以上手的地方開始。
大多數抱怨安全人才缺口的公司,可能都對自身IT系統沒有準確而完整的清單。這就是有點IT知識的人都能輔助做好的單調體力活,但卻能讓他們接觸到資產管理在安全中的重要性,開始培育有望關上人才缺口的勞動力儲備。如果你想要跨越鴻溝,從造橋開始吧。
小心缺口
我們可以通過創建入門級角色通路來補上人才缺口。這些角色可以由剛入職的人,或者別的領域工作后希望在信息安全領域迎接新挑戰的人來填充。
我們必須從已經過勞的頂級安全資源身上,卸下商品化安全任務的重擔,交給熱切的新安全人才。規范角色并隔離它們,這樣我們就不會陷入新人拿著雞毛當令箭造成嚴重后果的境地。在馱馬可以勝任的時候,就不要再嘗試雇傭安全獨角獸了。
我們需要將信息安全領域當成提升公司整體安全的專業人士聯盟。我們可以培養出不用每個人都處于職業巔峰的專業人士。如果我們這么做了,就可以在一代人之內,將人才缺口從大峽谷,彌合到小山澗的程度。
京公網安備 11010502049343號