很多企業(yè)提供更高的薪資水平和更多的福利，還有一些則試圖將IT安全崗位細分化，部署更多智能系統(tǒng)解決安全專家的短缺問題。

Bulelock是一家位于印第安納波利斯的災難恢復云服務提供商，該公司在吸引優(yōu)秀的安全員工幫助企業(yè)開發(fā)并管理云服務方面遇到了不少問題。

公司位于美國中西部，必須與來自西海岸和東海岸的公司進行競爭。隨著印第安納波利斯逐漸變成科技之都，它也面臨著更多來自本地企業(yè)的挑戰(zhàn)。

Bluelock公司產品與服務執(zhí)行副總裁杰夫·唐 (Jeff Ton) 表示，對開發(fā)者和IT專家的競爭非常激烈，同樣這對安全專家也成立。

安全技術幾乎構成了該公司25％的工作內容。公司在雇傭員工方面十分激進，竭盡全力留住員工。除了增加福利之外，Bluelock正專注于和其IT員工協(xié)同合作，通過重視持續(xù)教育和有趣的項目，拓展其個人職業(yè)生涯。桐表示，基本而言，這個方式的效果不錯，產生的摩擦也比較少。

“你必須吸引新的專家。之后，還必須留住他們。因此我們必須確保他們認為Bluelock是個吸引人的工作地點。”

開發(fā)者和IT專家一直供不應求。不過，隨著數據泄露事件持續(xù)制造頭條，擁有網絡安全技術的員工發(fā)現自己正變得更加供不應求。企業(yè)很難遇到優(yōu)秀的求職者，而當找到優(yōu)秀的員工之后，也變得更難留住他們。

在2015年進行的一項遍及全球14000位受訪者的調查中，沙利文公司發(fā)現，62%的受訪者認為自己擁有的安全專家數量遠遠不夠，而56％的受訪者在2013年的調查中也有同感。由于存在需求，沙利文公司估計，到2020年，全球對安全員工的需求缺口將達到150萬人，而2015年僅有20萬名安全專家進入行業(yè)。

人力資源數據分析技術提供商Burning Glass的研究結果顯示，這一缺口意味著雇傭網絡安全專家的價格很高。IT安全行業(yè)員工平均收入比其它IT員工高9%，達到每月6500美金。2014年，大約有24萬與網絡安全相關的招聘需求，占全部IT職位的11%。

PatternEx公司聯合創(chuàng)始人、首席執(zhí)行官Uday Veeramachaneni說：大多數需求可以通過更有效地利用專業(yè)人員和更多情報工具實現。PatternEX公司開發(fā)人工智能和模式識別軟件，通過研究分析師已經發(fā)現的問題，辨別攻擊。

目前來看，大多數企業(yè)在保護系統(tǒng)方面非常低效，但這并不只是他們自己的錯誤。信息安全技術基本上已經變成了產品和系統(tǒng)的大雜燴，而企業(yè)通常缺乏整合它們的專業(yè)能力。因此，很多企業(yè)現在的安全策略只是增加更多的人手。

Veeramachaneni說：“大多數企業(yè)在面對沒有發(fā)現的攻擊時，最自然的反應就是雇更多的人。”

然而，造成這種人員短缺的根本原因是企業(yè)的工具沒有效果、缺乏效率。你需要更智能化的工具，與人類進行整合。否則，你永遠沒辦法填上缺口。

Veeramachaneni認為，更優(yōu)秀的安全技術能夠幫助人類員工清除雜草，更快地定位真正的威脅，節(jié)省時間并讓人類集中于審查更少數量的警報。

然而，對于科技公司等很多安全員工較少的企業(yè)而言，這種方式可能不會奏效，因為它們需要的是高度熟練的安全分析師。相反，市場應當找到方法，將網絡安全員工供應不足的消息傳播出去，讓更多企業(yè)知道。

從很多方面來看，這正是云安全和管理安全服務提供商 (Managed-security service providers, MSSPs) 正在做的事情，前者能提供定制模塊化的服務，后者則更加定制化、更易管控。兩者都能整合安全專家，當然這也成了網絡安全專家的薪資上漲的原因之一。

Stealth Worker公司CEO、創(chuàng)始人肯·貝勒 (Ken Baylor) 表示，有些企業(yè)正在尋找其它方式，減少安全專家的工作時間，讓企業(yè)能夠獲得雇傭安全專家的好處，而不需要讓他們成為全職員工。與顧問不同的是，工作者不只是干了一份工作，而是將長期發(fā)揮作用。Stealth Worker是一家負責安全專家碎片化工作的初創(chuàng)企業(yè)。

“如果你了解咨詢工作的原理，你會雇傭一些人，然后他們上交報告并走人。使用我們的服務，你可以快速雇傭網絡安全專家，但這的確能幫助構建你的團隊。”

Stealth Worker公司最受人歡迎的服務是虛擬首席信息安全官 (CISO) ，一位頂級的專家會同時為4到5家企業(yè)工作，每周給每家企業(yè)工作10個小時。

貝勒說：“有很多企業(yè)需要人力來運作整個項目。”身為專家的CISO可以快速讓一家企業(yè)跟上節(jié)奏。“這有點像你建設自己的第一所房子：很難，你會犯很多錯誤，但下一次就簡單多了。在推出安全項目方面也是這樣。”

推動安全專家分享時間的努力不止如此，其它企業(yè)正尋找方式，雇傭自由職業(yè)者，解決特定的安全問題。比如，HackerOne和Bugcrow這兩家初創(chuàng)公司都在尋找方式，通過讓安全專家變成自由職業(yè)者，提供特定的安全服務、漏洞評估和研究。漏洞賞金是為網站、服務和軟件提供漏洞評估的方式，讓企業(yè)能夠僅僅為結果——真正的漏洞付款，而不是永久性的雇傭。

Bluelock公司杰夫·桐表示，企業(yè)必須找到更多方式，解決安全專家短缺。

“問題不會自動消失，我認為挑戰(zhàn)在于弄明白人們如何扮演這些角色，這將成為接下來5到10年里安全領域的關鍵問題。”