总体而言,我们面临着巨大的网络安全职位缺口,预计2021年的职位空缺将在272万至350万之间。但是,在非常专业的运营技术(OT)领域,缺口更大网络安全,因为IT在建立专业知识方面拥有长达数十年的领先优势,因此拥有更大的人才库。根据Pollfish于2021年9月对IT和OT安全专业人士进行的一项全球调查,90%的受访者表示他们希望招聘更多的工业网络安全专业人士,而大约相同比例(88%)的受访者表示很难找到足够的候选人具备正确管理OT网络网络安全所需的技能和经验。没有简单的解决方案来缩小OT网络安全人才缺口,但这里有一些想法可以帮助您入门:1.交叉培训IT安全人员。如果您在招聘OT网络安全职位时遇到挑战,请为您的一些IT员工提供实践培训,以便他们可以花时间跟随OT工程师和操作员。OT系统确实有非常不同的规格,但由于它们的生命周期很长,它们中的大多数都已经过时了。因此,经验丰富的IT人员应该惊喜地发现他们熟悉许多底层技术。从那里开始,IT需要掌握这些系统和网络的不同要求,没有比实践更好的方法了。这包括了解如何为可编程逻辑控制器(PLC)打补丁、如何实施维护窗口以及如何规划在更新和维护OT系统和网络时需要采取的所有安全措施。这种方法的好处是IT人员已经熟悉公司及其流程,并且可能知道到哪里寻找所需的知识。当您遇到招聘挑战时,这可能是一种更省时且更具成本效益的方式来启动您的OT安全计划。更不用说它提供了在IT和OT团队之间架起桥梁的额外好处,这将在未来带来回报。2.与教育机构合作。查看各种教育机构提供的新OT网络安全计划。目前还没有足够的项目,但许多已经开始跨学院和大学创建。例如,在美国,爱达荷州立大学提供两年制课程,毕业生获得工业网络安全工程技术AAS。威尔明顿大学提供监督控制和数据采集(SCADA)网络安全方面的研究生证书。其他学校提供个人OT安全课程是网络安全学位的一部分。为课程做出贡献、建立奖学金计划和提供实习机会是学生毕业时吸引人才的好方法。这一点也可以为我国工控OT人才培养提供借鉴。3.考虑政府举措的作用。在政府层面,新加坡可以作为榜样,最近在应对这一挑战方面取得了长足进步。2021年10月,新加坡网络安全局(CSA)在私营部门实体的支持下成立,运营技术网络安全能力框架(OTCCF)为该国的OT网络吸引和培养人才奠定了基础安全部门。虽然CSA多年来一直提供OT网络安全课程,但IT和OT系统之间日益增加的连接性正在推动对需要IT和OT能力的工作角色的更大需求,因此OT工程师需要更深入的技术培训。OTCCF不仅描绘了所需的工作角色、技术技能和核心能力,还捕捉了可能的职业道路,展示了纵向和横向发展的选择。由于网络安全和基础设施安全局(CISA)和白宫高度关注OT系统及其在地缘政治紧张局势中的重要性,美国联邦政府的一项类似举措将有助于促进这一相当新的领域。虽然CISA确实提供了一些培训,但鼓励公私伙伴关系的更广泛方法不仅会促进需求方,还会促进供应方,因为它可以为教育工作者和培训师提供急需的最佳实践和整体发展要求。OT网络安全教育计划。在我国,工信部是主要监管部门,也在不遗余力地培养适合我国的OT人才。4、依靠技术助力。工业环境中的资产难以检测、难以管理,甚至更难保护——尤其是在我们不断扩大的互联设备世界中。技术在解释OT网络的奥秘方面迈出了一大步,一直到扩展物联网(XIoT),其中包括您的OT环境、工业物联网设备(IIoT)、医疗物联网(IoMT)和企业物联网。专为资产可见性构建的无代理解决方案有助于识别XIoT中的漏洞和可疑行为,并为持续威胁监控提供基础,以检测和跟踪跨IT/OT边界的威胁。此类解决方案可以快速实施,与OT和IT系统及工作流无缝集成,并允许IT和OT团队一起查看OT环境。通过使用同一组信息,这些团队可以采取具体步骤,在数周而不是数月内开始最大限度地降低风险并加强安全性。必须跨多个领域(学术界、政府和组织内部)解决OT网络安全漏洞。将我们的专业知识和机构知识与技术进步相结合,可以加快保护威胁行为者现在瞄准的关键OT环境的过程,同时建立一支日益强大的OT网络安全队伍。
