稀缺的安全技能列表越来越长。安全技能需求增长的背后是什么?听听专家怎么说。JimmySanders手上有堆积如山的工作,他想要一个可以完成所有工作的安全团队:从推进公司的零信任安全战略,到保护公司的云部署,再到部署机器学习解决方案。团队成员必须是极其高效的多面手,必须能够随着业务需求的变化、技术发展的进步和安全风险的变化,快速调整工作方式和学习新技能。事实上,桑德斯将“适应变化”列为2021年最受欢迎的技能之一,此外还有内在动力和自主工作的能力。毫无疑问,公司需要的技能很多。Netflix的DVD安全主管兼信息系统安全协会(ISSA)旧金山分会主席桑德说:“全能人才非常稀缺。”事实上,网络安全人才一直供不应求。2020年7月,ISSA和EnterpriseStrategyGroup(ESG)发布联合报告指出,70%的ISSA成员认为全球网络安全人才短缺已经影响了他们的组织。与此同时,2020(ISC)2网络安全劳动力市场研究发现,64%的受访安全专业人员感受到了公司人才短缺的影响。然而,此类统计数据只说明了部分问题。安全主管表示,不仅缺乏合格的安全人员,而且在现有的安全人才库中也很难找到所需的技能。鉴于当今需求的技能种类繁多,这种惊叹并不奇怪。事实上,安全人员需要获得不止一种认证,或者拥有不止一种主要工具的使用经验。随着安全越来越成为跨越不同学科的复合功能,安全人员越来越需要安全技能与技术、业务和人员技能的正确组合。劳动力市场分析公司BurningGlassTechnologies发布了2019年职能组合报告,其董事总经理WillMarkow表示:“只会做好一件事的安全人员不再受到青睐。系统面临的威胁太多,机会太多被黑客入侵。”高,如果你没有广博的知识,你就做不了保安。”2021年顶级安全人才榜单反映了这一趋势,安全高管表示,他们需要能够结合各种专业技能以适应新兴趋势的安全专业人员。满足整体业务需求的安全和威胁环境。未来一年,以下10个领域的人才需求量很大:1.风险识别与管理JorgeRey是专业服务公司KaufmanRossin的首席信息安全官。注意你所在部门的人员流失率。他说,年长的员工可以带来他需要的商业洞察力。而一旦这种洞察力与技术敏锐度和网络安全经验相结合,就可以帮助识别公司面临的最大威胁,让公司的安全部门能够合理分配有限的资源,实现最佳的安全防护。“减轻威胁的最佳方法是了解风险。因此,我们需要精通治理和战略的人才,以便我们能够确定最佳解决方案,找到合适的技术或合适的外部供应商,或者适当地构建我们自己的处理能力。”其他机构也将风险管理列为2021年理想技能清单的首位,而BurningGlass将其列为未来五年需求增长最快的安全技能之一,也是能够为保安人员带来超过10,000美元的年终奖金。Markow补充说:“CISO需要能够采取基于风险的方法来构建安全数字基础设施的人才。”2.技术能力具有综合技术能力的人才也是CISO的目标。不了解数字世界的风险和制定安全计划。技术公司Syntax的首席信息安全官MatthewRogers说:“编程技能、系统管理技能和网络技能都是必需的,因为没有基本知识,安全技能毫无价值。”敏锐度被视为安全人员的一个重要特征,将“数字构建块”的知识列为有效安全计划所需的三个关键专业知识领域(数字技能、商业敏锐度和社交技能)。因此,普华永道网络与隐私创新研究所所长JoeNocera表示,安全主管希望员工除了具有特定业务和安全解决方案的相关专业知识外,还了解架构和登录、监控、身份管理和身份。核实。JackO'Meara是一名高级CISO,目前担任技术咨询和外包公司Guidehouse网络安全解决方案团队的主管。他回应了JoeNocera的观点,他说:“我想确保我的员工具备适当的专业知识来弄清楚我将要部署的具体技术。他们需要了解它是如何工作的,因为如果他们不这样做,他们永远弄不明白。”攻击者如何使用这些技术。3.数据管理与分析安全部门是企业最大的数据生产者。并且由于需要利用信息来驱动更有效的保护策略,在很多企业中,安全部门也开始成为最大的数据消费者。技术研究根据该公司的Gartner安全和风险管理领导合伙人BrandonS.Dunlap的说法,“安全组织希望从他们拥有的大量数据中获得最大收益,而这些工具的作用仅此而已。更多4.DevSecOps公司正在从开发和运营转向DevSecOps,寻求将安全考虑融入应用程序设计和开发周期,以确保更安全的应用程序。这需要安全人员拥有开发和运营方面的相关知识和经验。人力资源公司RobertHalfTechnology的执行董事JeffreyWeber说:“在过去的几年里,我们已经认识到应用程序本身存在安全风险。”所以我们的软件开发需要从一开始就纳入安全考虑。”BurningGlass将应用开发安全列为他是增长最快的技术之一,预计未来五年的需求将增长164%。5.云的大规模采用,尤其是多云战略的兴起,增加了对安全的需求此类安全人员需要能够将云部署经验融入企业安全策略中。例如,Rey想招聘熟悉一种或多种公有云平台(AWS、Azure、GCP)和私有云架构的安全人员,他说:“要做好云安全,需要了解一点6.AutomationESG在其2020年《网络安全人员的生活与时光》报告中指出,企业可以利用自动化来解决网络安全人才短缺问题。专家们一致认为,将重复性任务自动化可以产生效率和提高有效性,同时,它将宝贵的员工时间转移到只有人类才能完成的复杂工作上。但是,自动化安全功能需要安全员工具备实际实施自动化解决方案的技能和能力。Rey认为自动化可以帮助填补人才短缺,自动化技能应该成为IT或安全人员的内化技能。他想要能够识别的安全人才化可以自动化的任务,并使用Python、PowerShell和其他脚本语言自行自动化这些任务。7.威胁狩猎威胁狩猎是一种新兴的安全领域正在受到关注的策略。根据安全解决方案制造商DomainTools2020年的一项调查,93%的组织认为威胁搜寻应该是顶级安全项目,以便提供早期检测并降低风险。随着威胁狩猎实践越来越受欢迎和实施,对具有适当技能的人才的需求也在增加。BurningGlass将威胁追踪列为需求增长第四快的技能。安全技术公司VMwareCarbonBlack的首席网络安全策略师RickMcElroy表示,威胁搜寻需要数据分析技能、MITREATT&CK和其他此类框架的知识、各种企业技术堆栈的知识(以检测“异常”)以及探索问题的好奇心.“威胁猎手需要像攻击者一样思考并问自己‘攻击者将如何绕过我的防御措施?’”McElroy说。8.PeopleSkills网络安全能力随着数字经济的兴起只会越来越重要,网络安全人员也越来越受到重视,安全人员越来越频繁地出现在高管、董事会成员和业务人员面前。因此,他们必须能够与各种利益相关者协作、沟通和商议,强调人们对技能的需求。能源公司PNMResources的网络安全副总监加里·托德(GaryTodd)表示:“这就像一种推销技巧,能够向公司的所有不同级别灌输他们需要做些什么来确保公司安全。”9.商业头脑JoannaMcDanielBurkey,首席信息安全官,惠普我们希望招聘了解业务、可以用业务术语进行交流并将自己视为业务人员和技术人员的结合体的人员。她认为网络安全专业人员需要这样的技能来帮助管理风险,这是现代安全团队的主要目标。安全专家帮助组织平衡安全与成本、市场需求和其他业务指标。“我称之为管理两极和权衡,”她说。“我们需要看待问题的两面,换位思考,这样我们才能与利益相关者和谐相处。”10.Agility2020(ISC)2根据在线劳动力市场调查,30%的受访者表示,由于新冠肺炎疫情,他们的公司仅在一天之内就转为远程办公模式,另有47%的受访者表示公司在几天到一周内完成。(只有16%的受访者花费了一周以上的时间。)专家预测,这种快速的劳动力转型不会成为常态,但他们确实相信技术和业务转型的步伐将继续加快。安全需要跟上快速。E.J.美国密歇根州奥克兰县首席技术官Widun表示:“COVID-19带来了新的诈骗和攻击,以及新的工作方式。COVID-19向我们表明,我们需要能够适应并快速适应的人。》本文转载自公众号《数界咨询》(ID:dwconcn)。
