Netflix公司DVD業務安全負責人、美國信息系統安全協會(ISSA)舊金山分會會長Jimmy Sanders表示,該公司在網絡安全方面有很多的工作要做,因此他希望帶領的安全團隊可以處理未來的許多任務,從推進企業的零信任安全策略到保護其云服務部署,再到部署機器學習解決方案。
安全團隊成員必須能夠完成所有這些工作,并能夠隨著業務需求的變化、技術的發展和安全風險的變化,快速地進行調整和升級技能。
實際上,Sanders認為“適應變化”是2021年最需要的網絡安全技能之一,這與內在動力和自我指導工作的能力并駕齊驅。網絡安全人才對于企業來說供不應求。
美國信息系統安全協會(ISSA)和Enterprise Strategy Group(ESG)于2020年7月發布的一份調查報告發現,70%的ISSA成員認為,全球網絡安全技能短缺已對其組織帶來不利影響,而《2020(ISC)²網絡安全勞動力研究》報告發現,64%的響應安全專業人士在自己的組織中遇到了技能短缺的問題。但是,這樣的統計數字只能說明其中的一部分情況。
一些網絡安全部門的領導者表示,不僅在該領域工作的合格人員數量短缺,而且在現有的安全專業人員隊伍中找到所需的技能也具有挑戰性。考慮到目前所需的所需技能,這種情況不足為奇。
實際上,安全專業人員不僅需要認證證書,還需要使用一些關鍵工具的知識和經驗。隨著安全工作演變成跨越不同學科的混合角色,他們越來越需要將多種安全技能與技術、業務和人際交往能力正確地結合在一起。
勞動力市場分析機構Burning Glass 科技公司總經理Will Markow說,“安全人員的技能需要轉變。網絡系統構成的威脅太多,機會太多,如果沒有廣泛的知識基礎,就不可能成為一名合格的安全專業人員。”該公司在2019年發表了一份關于職位角色混合的調查報告。
安全負責人表示,2021年最需要的安全技能反映了這一趨勢,他們需要能夠匯集各領域專業知識的人員,以滿足新興的安全和威脅環境以及總體業務需求。
以下是未來一年最需要網絡安全技能的10個領域以及原因:
1.風險識別與管理
專業服務商Kaufman Rossin公司首席信息安全官Jorge Rey表示,希望安全人員了解企業及其行業,這就是他重視安全部門離職率的原因。他說,資深員工帶來了他所需的業務見解。而且,這種洞察力與技術敏銳度和網絡安全經驗相結合,可以幫助他們確定哪些威脅構成了最大的風險,因此他們可以有效地分配有限的資源來提供最佳保護。
他說:“減輕威脅的最佳方法是了解風險,因此企業需要精通治理和戰略的人員,他們可以確定最佳安全解決方案,可以采用合適的技術或找到合適的外部提供商,或者在內部構建合適的解決方案。”
其他組織也將風險管理放在了2021年所需技能的首位,Burning Glass公司將風險管理列為未來五年需求增長最快的安全技能之一。
Markow補充說:“首席信息安全官需要能夠采取基于風險的方法來構建安全的數字基礎設施的人員。”
2.技術敏銳性
首席信息安全官也在尋求具有全面技能的人員,他們指出,如果不了解構成基礎設施的IT組件,他們將無法理解風險,并且無法為數字世界制定安全計劃。
科技廠商Syntax公司的首席信息安全官Matthew Rogers表示:“編程技能、系統管理技能和網絡技能都是必不可少的技術,因為如果沒有基礎知識,安全技能就一文不值。”
普華永道咨詢公司也將技術敏銳性視為對安全專業人員至關重要的技術,將“數字構建塊”的知識列為有效安全計劃所需的三個關鍵專業知識領域(數字技能、業務敏銳度和社交技能)之一。
因此,普華永道公司網絡與隱私創新研究所的負責人Joe Nocera表示,安全主管希望員工除了了解特定業務和安全解決方案的專業知識之外,還需要了解架構、日志、監控、身份管理和身份驗證。
技術咨詢和外包商Guidehouse公司網絡安全解決方案團隊資深主管Jack O’Meara是一名資深的首席信息安全官。他說,“我想確保員工對正在部署的特定技術有實際經驗。他們必須了解技術是如何工作的,因為如果他們不了解這些技術,他們就永遠不會了解網絡攻擊者如何利用它。”
3.數據管理與分析
安全部門是企業中最大的數據生成器之一,在許多企業中,安全部門也正成為最大的數據使用方之一,因為它試圖利用信息來推動更有效的保護策略。
技術研究機構Gartner公司負責安全和風險管理的合伙人Brandon S. Dunlap說:“很多企業正在尋找能夠理解和分析其擁有的大量數據的工具,而到目前為止,這些工具并不理想。”他補充說,現在越來越多的首席信息安全官雇傭數據科學家、數據工程師和數據官員。
4.開發安全
越來越多的企業從DevOps轉移到DevSecOps,尋求在應用程序設計和開發階段添加安全性,以確保應用程序更安全。這需要具有開發和運營知識和經驗的安全人員。
IT人員配置商Robert Half Technology公司總經理Jeffrey Weber說:“我們在過去幾年中了解到,安全風險真正存在的地方在于應用程序本身,因此我們需要從一開始就將安全性集成到軟件開發中。”
Burning Glass公司將應用程序開發安全列為增長最快的技能,預計未來五年需求將增長164%。
5.云計算
云計算的廣泛采用,尤其是企業對多云戰略的日益接納,增加了對在云部署中具有豐富經驗并且與企業安全戰略相結合的安全工作者的需求。Rey表示,希望團隊成員在一個或多個公共云平臺(AWS、Azure、谷歌)以及私有云架構方面具有專業知識。他說,“當我想到云計算安全性時,團隊成員需要對云計算的特性有一些了解;這是關于在云計算環境中開發安全的網絡。”
6.自動化
ESG公司在其2020年發布的名為《網絡安全專業人員的生活和時代》調查報告中表示,企業安全可以使用自動化來解決網絡安全技能短缺的問題。專家一致認為,自動化重復性任務可以提高效率,同時將員工的精力和時間轉移到復雜工作上。然而,實現安全功能的自動化需要在實現自動化解決方案方面具有技能的網絡安全人員。
Rey表示,首席信息安全官相信自動化可以幫助縮小技能差距,他說,“自動化技能應該嵌入到IT或安全領域的任何人身上。”他表示,希望網絡安全人員能夠使用Python、PowerShell和其他腳本語言來確定可以實現自動化的任務。
7.威脅搜尋
威脅搜尋是一種相對較新的安全策略,正在得到廣泛的關注。根據安全解決方案制造商DomainTools公司在2020年進行的一項調查,93%的受訪者表示,威脅搜尋應該是一項首要的安全計劃,旨在提供早期發現,并降低風險。隨著對威脅搜尋實踐的關注與實施的日益增長,正推動企業對完成這項工作所需技能組合的需求。Burning Glas公司將這一技能列為需求增長最快的第四名。
安全技術服務商VMware Carbon Black公司首席網絡安全策略師Rick McElroy表示,這需要網絡安全人員具有分析技能,對MITER ATT&CK框架或其他此類方法的理解、對企業技術堆棧的了解,并且對于尋求問題答案有著強烈的好奇心。McElroy說,“他們必須像網絡攻擊者一樣思考;他們必須想,‘網絡攻擊者將如何繞過我們的防御?’”
8.人際交往技能
隨著數字經濟的興起,網絡安全的作用越來越重要,也越來越突出。這使得安全專業人員以更高的頻率出現在企業高管、董事會成員和員工面前。因此,他們必須能夠與這些不同的利益相關者合作、溝通和協商,使這些技能和其他人際交往技能成為熱門商品。能源開發商PNM Resources公司網絡安全副總監Gary Todd表示:“這幾乎是一項銷售技能,能夠向企業的所有不同級別的人員展示他們需要做什么進行保護。”
9.商業頭腦
惠普公司首席信息安全官Joanna McDaniel Burke表示,希望網絡安全員工能夠了解業務,以業務術語進行交流,并將自己視為商人和技術專家。她表示,安全專業人員需要這樣的技能,以便他們可以幫助管理風險,這是現代安全團隊的主要目標。
安全專業人員必須幫助他們的組織平衡安全與成本、市場需求和其他業務指標。她說:“我將其稱為‘管理的兩極分化’與權衡取舍。我們需要看到問題的兩個方面,需要設身處地為他們著想,這樣才能與利益相關者共同創造良好的環境。”
10.敏捷性
根據2020年(ISC)²勞動力研究的調查報告,由于發生冠狀病毒疫情,只有30%的受訪者表示在一天之內將其工程轉換到遠程工作;另外47%的受訪者表示,在幾天到一周的時間做出轉換,只有16%的受訪者表示這種轉換花費了一周以上的時間。專家們并不期望這種快速的工作場所變革會成為常態,但他們確實希望技術和業務變革的步伐會繼續加快。
密歇根州奧克蘭縣首席技術官E.J.Widun說,“冠狀病毒疫情帶來了全新的騙局、網絡攻擊和工作方式。疫情表明,我們需要具有快速適應能力的網絡安全人員。”
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號