网络安全人才短缺没有任何缓解的迹象。根据该研究公司的研究,95%的受访者表示网络安全技能短缺及其相关影响在过去几年没有改善,44%的人表示情况只会变得更糟。此外,超过一半的受访者(57%)表示,由于工作量增加(62%)、未完成的空缺职位申请(38%)和员工高度倦怠(38%),技??能短缺正在对他们现有的劳动力产生不利影响及其他相关问题。虽然网络技能短缺给IT安全领导者和他们想要保护的企业带来了各种各样的问题,但对网络安全专家的需求为安全专业人员提供了巨大的机会。以下是安全行业专业人士列出的技术和软技能,这些技能对于建立成功的职业生涯和使您的企业处于保持高效的最佳位置最为重要。推进企业网络安全事业所需的顶级技术技能(1)应用程序安全开发。企业需要精通DevSecOps概念并能与软件开发工程团队密切合作的安全人员。沟通技巧在这里很重要,因为工程部门通常专注于将产品推向市场或产品的功能和安全性。因此,对这一领域感兴趣的人将需要更灵活的技能,因为应用程序安全开发通常属于安全团队直接控制之外的业务部门。此外,安全专业人员通常主要关注将坏人拒之门外,而不是从一开始就将安全性构建到产品中。提高和磨练应用程序安全开发技能需要适应新的安全思维和文化。(2)云安全。随着越来越多的企业寻求云计算基础设施来存储数据和运行应用程序,他们需要了解底层基础设施以及如何连接身份管理和身份验证以安全运行基本SaaS应用程序的人员。许多云漏洞的发生是因为在凭据被盗的地方设置了虚假页面。组织需要熟悉这些策略并能够管理监控和识别此类场景的云安全工具的人员。随着企业采用多云战略,他们还需要了解如何使用旨在跨多个公共云平台工作的新工具的人员。在业务方面,组织还需要了解他们与提供这些云服务的供应商签订的协议的合同条款的人员;云安全专家尤其需要了解供应商责任共担协议中公司对安全的责任。具有管理AWS、MicrosoftAzure和GoogleCloudPlatform等大型平台经验的人才需求量很大。(3)威胁情报分析。市场上的威胁情报工具很多,但缺乏能够正确使用它们并结合分析安全威胁趋势的人。公司往往很难找到具有这种才能的人,培养他们更是难上加难。这项工作需要强大的分析能力、好奇心和处理高风险压力的能力。威胁情报专家专注于分析数字取证。他们通常具有一定的编程技能,尤其是Python。对该领域感兴趣的安全专业人员可以在事件响应团队中获得工作经验,其中许多技能也可以发挥作用。该领域也越来越需要了解影响机器学习和人工智能环境的威胁的人。(4)渗透测试/红队。具有渗透测试/红队技能的人是网络攻击安全类型方面的专家,他们可以告诉企业什么是坏的以及如何修复它。做好这项工作需要专业知识和经验,这就是为什么企业很难找到这些人。优秀的渗透测试人员相信他们可以破解任何东西。这需要很大的信心,但也需要在课堂、实践研讨会和工作中获得很多技能。此外,企业对蓝队球员或后卫的需求也在增加。(5)网络安全。网络安全技能是安全领域每个人都应该具备的基本技能。一些优秀的安全人员来自网络安全背景,正是因为安全的基础来自对网络工作原理的理解:如果你不了解路由器的工作原理、防火墙日志的含义以及入侵检测和预防的基础知识,那么网络就无法保证安全。许多人会争辩说,安全专业人员的最佳职业轨道是从计算机支持开始,担任网络管理员,并以此为基础培养您的安全技能。(6)身份和访问管理。绝大多数泄露(80%+)是由数据泄露、弱密码和重复使用的密码引起的。沟通技巧同样重要。企业需要能够向人们解释威胁并教他们如何在日常工作中使用Authy或其他无密码工具(指纹、面部ID、视网膜扫描)改进密码实践的安全专业人员。企业还需要能够管理身份和访问管理工具并知道如何设置网络权限并正确管理它们的人员,以便企业对入侵者保持警惕。该领域的专家必须能够定义对某些数据集的访问级别,并根据员工角色和职责设置权限。(7)风险与合规审计。这一领域所需的技能部分取决于行业或业务的一部分。专注于电子商务的企业需要了解如何遵守PCIDSS法规的人员;另一方面,所有类型的企业都必须处理敏感医疗数据的HIPAA合规性。企业还需要熟悉各种数据隐私法规的人,无论是基于欧盟的GDPR还是加州消费者隐私法案。企业需要能够评估违规风险并了解要提交哪些文书工作以及要实施哪些安全协议以符合法规的人。(8)移动远程计算。许多人可能会争辩说,这项技能应该在列表中排在更高的位置。当然,在2020年COVID-19大流行期间,企业安全团队将大部分时间用于部署VPN或管理远程桌面协议(RDP)服务器,以便员工在家中工作时可以访问企业应用程序。即使越来越多的人接种疫苗并且办公室逐渐恢复,企业仍然在很大程度上支持混合工作。许多企业发现在家工作对他们来说效果很好,因此安全团队继续需要了解如何管理VPN和RDP服务器以及分段家庭网络以提高安全性的人员。(9)沟通/领导。安全培训领域的专家表示,安全业务严重缺乏软沟通和领导能力。当然,这在技术领域一直是个问题,但它在当今的商业中变得更加重要,因为安全专业人员必须培养以商业人士理解的方式解释技术概念的能力。如果不向业务领导者解释基本的安全概念,有才华的威胁猎手或红队成员就不会在他或她的职业生涯中取得进步。这意味着避免深入分析数据泄露企图或安全事件对KPI的影响,并且可以直截了当的方式进行:向公司管理层解释数据泄露对企业的销售、利润和声誉构成的风险.(10)创造力。创造力是一种无形的东西,可以推动人们在网络安全职业生涯中走上巅峰。富有创造力的安全专业人员能够像黑客一样思考,处理许多假设场景,并致力于比网络犯罪分子领先一步。有时,这项工作就像一场精心设计的棋局。黑客可以潜入企业网络数月之久,而安全团队只能等待他们在发现之前采取行动。无论黑客的犯罪动机是什么,安全专业人员都致力于将他们拒之门外。他们通过阅读最新的网络小说、了解时事和社交媒体趋势、演奏乐器、设计视频游戏、学习计算机动画基础知识或指导运动队或参与社区活动来激发创造力。在解释日志和分析图表的同时,编码和发展核心红队技能无疑为企业在网络安全方面打开了大门,具有创造力和好奇心的人才将使企业走得更远。
