美国特朗普总统于5月2日签署了一项行政命令,以培养和加强联邦网络安全队伍。白宫表示,美国有超过300,000个网络安全职位空缺,填补这些职位空缺对国家经济和安全至关重要。该行政命令概述了一项轮换计划,允许政府雇员临时分配到其他机构。它还鼓励采用国家网络安全教育倡议(NICE)网络安全劳动力框架,这有助于招聘、保留和提高人才能力。特朗普政府还希望通过激励和竞争来提升网络安全人才。在评论新的行政命令时,网络安全行业的一些人表示这是朝着正确方向迈出的一步,而其他人则指出这可能不会有太大帮助,或者需要做更多的工作。以下是他们的评论...1.Capsule8产品战略副总裁KellyShortridge:我不确定新标准将如何帮助从业者缩小技能差距,因为已经有证明候选人能力的认证和在线课程和对网络安全的热情。太多的工作要求求职者有多年的工作经验,这不是知识差距的问题,而是如何通过雇佣顶尖人才来帮助商业组织开发强大的安全计划。此外,有很多来自弱势背景的人获得了认证/培训,但仍然没有找到工作。就联邦政府而言,鉴于支付给私营部门网络安全专业人员的高薪,由于联邦政府缺乏具有竞争力的薪酬,许多职位空缺。轮岗计划和CTF可能会鼓励联邦工作人员进入网络安全领域,但不太可能有效吸引那些选择私营部门的人。2.CybeReady联合创始人兼战略官MikePolatsek:听到行政命令将鼓励采用国家网络安全教育计划(NICE)网络安全劳动力框架,我感到非常鼓舞。我希望这一举措将有助于企业招聘和留住人才,这对于与私营部门竞争人才的政府机构尤为重要。安全教育的一大挑战是缩短从“新手”到专家的旅程;网络空间正在发展,网络安全成为一项复杂的任务。这将要求我们使用灵活的工具、科学的方法、逼真的模拟和持续的演练来建立一支专业的网络安全队伍,以应对当今的网络威胁并跟上其快速发展的步伐。3.Synopsys高级顾问AndrewvanderStock:这项针对美国网络安全劳动力的行政命令传达了一个非常好的信息,因为它为培养更多信息安全人才提供了一条途径——这正是美国迫切需要的。通过要求联邦机构实施NIST国家网络安全教育倡议(NICE)学习框架,要求军方制定激励措施和奖品,并要求社会制定激励措施和竞赛——将其纳入公共教育体系——所有这些措施都将解决技能短缺在这个问题中扮演了重要角色。我对NICE的一个担忧是它忽视了美国在构建不安全软件方面的主导作用,因为它专注于通过法律取证的安全实践。虽然NICE并不完美,但随着网络威胁形势的发展,总会有改进的余地。至关重要的是,这项行政命令不是关于NICE本身,而是关于实施NICE,这是向前迈出的重要一步。4.TrustwaveSpiderLabs总监MarkWhitehead:行政命令是政府用来快速制定重要国家举措的重要工具。我们高兴地看到,各方都在努力应对网络威胁,这些威胁变得更加复杂和肆无忌惮。我们也很高兴看到更多的跨部门协作,这将节省机构的时间、金钱和资源。该行政命令似乎经过深思熟虑,具有框架、问责制、激励措施以及里程碑和时间表。其中包含的培训计划和活动应该为联邦雇员创造巨大的机会。与私营部门一样,联邦政府正在努力解决网络安全劳动力短缺问题。该命令还应有助于改善联邦和商业实体之间的知识共享。共享网络情报对于政府了解民族国家正在创造的威胁和技术至关重要。国防部高层对问责制的持续承诺将更好地保护我们的联邦和员工免受网络犯罪分子和国家支持的团体的物理和远程控制。5.SecurityMetor安全官DanLohrmann:我不断从全球公共和私营部门听说我们面临的挑战是寻找并留住创新的技术人才。填补网络安全职位空缺是科技行业中最困难的职位之一,预计2020年代将有数百万个网络职位空缺。该行政命令将注意力集中在我们今天面临的网络挑战——我们的网络安全劳动力上。这些步骤对于加强联邦政府的竞争力非常重要,同时也为网络安全人才提供了填补高薪和尖端职位的途径,保护我们的政府和企业免受网络威胁。这仅仅是开始,还有更多的工作要做。尽管如此,这些竞赛在各个层面都有效——从提供网络爱国者等课程的K-12学校,到高校的国家网络防御竞赛,再到联邦政府机构的竞赛。使用NICE作为框架也是一个不错的选择。总而言之,总统在迈出这一步方面做得很好——政府和私营部门需要做更多的工作来提供帮助。6.Fortinet信息安全官PhilQuade:美国政府发布了一项行政命令,旨在解决政府部门和机构人员网络安全技能参差不齐的问题。该法令名为“美国网络安全劳动力”,在政府内部制定了一项政策,鼓励网络安全劳动力跨部门流动。该法规值得深入分析,因为它承认任何组织,无论大小,都必须对其弱点和优势有客观的了解。总之,网络安全需要被视为一门科学,而不是一门艺术。如果没有更严格的网络安全战略规划和执行以及对优化网络安全所必需的基础知识的理解,任何好事都不会发生。恕我直言,他们的使命是保护国家,如果认为他们会与威胁我们、试图渗透政府系统或监控的民族国家正面交锋,那就大错特错了并根据自己的错误应对复杂的网络威胁。为了缩小网络技能差距,每个人——无论是在公共部门还是私营部门——都必须围绕网络安全制定完善的人才计划,创建一个可以为许多人服务的人才库。我们需要建立一支技能水平多样化、准入门槛低、持续改进的员工队伍,以应对当今日益集中的安全挑战。这应该包括学徒、熟练工、新手到专家,他们都具有高级网络安全技能和经验。7.Venafi安全战略和威胁情报副总裁KevinBocek:总的来说,白宫正在采取积极措施,将重点放在我们国家基础设施的网络安全风险上。这对我们国家来说是一个至关重要的问题,87%的网络安全专家认为我们已经在打一场网络战争。然而,要使该指令取得成功,政府官员要做的不仅仅是承认解决网络安全威胁的困难和紧迫性。尤其是,这项新指令重点关注联邦政府在吸引和留住人才方面缺乏竞争力。如果政府要招聘网络安全领域的人才,就必须确保我们的工具和技术是好的,并通过在关键政策问题上与行业合作来展示政府成功的信心。例如,如果本届政府真的不只是发表政策声明,他们可以听取数十位行业专家的建议,决定我们不会将加密后门引入消费技术,因为这只会削弱我们的防御能力并帮助我们对手。8.DaveWeinstein,Claroty威胁研究副总裁:我很欣赏白宫在解决我们国家最关键的劳动力问题时采取的前瞻性方法。网络安全既是技术问题,也是人的问题。让我们面对现实吧,与工业相比,联邦政府在这方面工作的动机——财政或其他方面——相形见绌。与此同时,联邦政府还有一个方面是私营部门无法与之抗衡的:使命。该行政命令为面向任务的网络安全人员提供了合法的行业选择,即使这意味着减薪。在网络安全方面,行业和政府之间应该有一扇旋转门。轮岗计划是确保我们的网络安全人才为经济增长和国家安全做出贡献的好方法。执行将是关键,但这个命令来得有点晚,但确实带来了进展。9.LaurieMercer,HackerOne安全工程师:任何在过去12个月内尝试招聘网络安全人才的公司都知道,具备安全技能的人才严重短缺。这对有技能的人来说是个好消息,因为美国政府愿意做更多的工作来为有技能的人提供有竞争力的工资。然而,供需问题导致许多有远见的组织求助于黑客社区,以帮助他们加强安全防御。这些组织已经意识到,要找到在线系统中的漏洞,他们需要更多的人。这些安全团队不再需要一两个人每年一次或两次寻找漏洞,而是可以让数以万计具有不同技能的人全年运行安全评估。事实上,许多联邦机构已经通过漏洞赏金计划和竞赛有效地做到了这一点,激励聪明而热情的黑客帮助他们找到系统中的任何漏洞。支持这个蓬勃发展的社区,让他们有机会在这种竞争激烈的时尚中磨练自己的安全技能,为未来的人才库奠定基础,因为今天的年轻黑客将成为明天的CISO。10.CipherCloud创始人兼首席执行官PravinKothari:这已经拖得太久了。以美国为目标的黑客对国家安全构成巨大威胁,他们以我们的企业、我们的基础设施为目标,窃取商业机密,干涉我们的选举,并挑??战我们的民主和自由。这是一项保护美国的防御措施,通过教育和准备解决网络安全中的一个关键问题——劳动力。这是朝着正确方向迈出的一步,但还需要做更多的工作,在我们看到结果之前,需要持续五到十年的大量资本和投资,可能涉及多个政府部门。虽然这项行政命令是朝着正确方向迈出的一步,并进一步确认网络安全是一个普遍存在的问题,涉及到每个人和每个行业,但这只是保护我们国家网络基础设施的开始。总统令原文地址:https://www.whitehouse.gov/presidential-actions/executive-order-americas-cybersecurity-workforce/id:gooann-sectv)获取授权】点此阅读更多好文由这位作者
