2021年對網(wǎng)絡(luò )安全技能需求較大的10個(gè)領(lǐng)域

Sanders認為“適應變化”是2021年最需要的網(wǎng)絡(luò )安全技能之一，這與內在動(dòng)力和自我指導工作的能力并駕齊驅。網(wǎng)絡(luò )安全人才對于企業(yè)來(lái)說(shuō)供不應求。以下是未來(lái)一年最需要網(wǎng)絡(luò )安全技能的10個(gè)領(lǐng)域以及原因

組織需要的安全技能有很多，而且還在不斷增加。專(zhuān)家表示，的發(fā)展正在推動(dòng)安全技能的需求。

Netflix公司DVD業(yè)務(wù)安全負責人、美國信息系統安全協(xié)會(huì )(ISSA)舊金山分會(huì )會(huì )長(cháng)Jimmy Sanders表示，該公司在方面有很多的工作要做，因此他希望帶領(lǐng)的安全團隊可以處理未來(lái)的許多任務(wù)，從推進(jìn)企業(yè)的零信任安全策略到保護其云服務(wù)部署，再到部署機器學(xué)習解決方案。

安全團隊成員必須能夠完成所有這些工作，并能夠隨著(zhù)業(yè)務(wù)需求的變化、技術(shù)的發(fā)展和安全風(fēng)險的變化，快速地進(jìn)行調整和升級技能。

實(shí)際上，Sanders認為“適應變化”是2021年最需要的網(wǎng)絡(luò )安全技能之一，這與內在動(dòng)力和自我指導工作的能力并駕齊驅。網(wǎng)絡(luò )安全人才對于企業(yè)來(lái)說(shuō)供不應求。

美國信息系統安全協(xié)會(huì )(ISSA)和Enterprise Strategy Group(ESG)于2020年7月發(fā)布的一份調查報告發(fā)現，70%的ISSA成員認為，全球網(wǎng)絡(luò )安全技能短缺已對其組織帶來(lái)不利影響，而《2020(ISC)²網(wǎng)絡(luò )安全勞動(dòng)力研究》報告發(fā)現，64%的響應安全專(zhuān)業(yè)人士在自己的組織中遇到了技能短缺的問(wèn)題。但是，這樣的統計數字只能說(shuō)明其中的一部分情況。

一些網(wǎng)絡(luò )安全部門(mén)的領(lǐng)導者表示，不僅在該領(lǐng)域工作的合格人員數量短缺，而且在現有的安全專(zhuān)業(yè)人員隊伍中找到所需的技能也具有挑戰性?？紤]到目前所需的所需技能，這種情況不足為奇。

實(shí)際上，安全專(zhuān)業(yè)人員不僅需要認證ssl/' target='_blank'>證書(shū)，還需要使用一些關(guān)鍵工具的知識和經(jīng)驗。隨著(zhù)安全工作演變成跨越不同學(xué)科的混合角色，他們越來(lái)越需要將多種安全技能與技術(shù)、業(yè)務(wù)和人際交往能力正確地結合在一起。

勞動(dòng)力市場(chǎng)分析機構Burning Glass 科技公司總經(jīng)理Will Markow說(shuō)，“安全人員的技能需要轉變。網(wǎng)絡(luò )系統構成的威脅太多，機會(huì )太多，如果沒(méi)有廣泛的知識基礎，就不可能成為一名合格的安全專(zhuān)業(yè)人員。”該公司在2019年發(fā)表了一份關(guān)于職位角色混合的調查報告。

安全負責人表示，2021年最需要的安全技能反映了這一趨勢，他們需要能夠匯集各領(lǐng)域專(zhuān)業(yè)知識的人員，以滿(mǎn)足新興的安全和威脅環(huán)境以及總體業(yè)務(wù)需求。

以下是未來(lái)一年最需要網(wǎng)絡(luò )安全技能的10個(gè)領(lǐng)域以及原因：

1. 風(fēng)險識別與管理

專(zhuān)業(yè)服務(wù)商Kaufman Rossin公司首席信息安全官Jorge Rey表示，希望安全人員了解企業(yè)及其行業(yè)，這就是他重視安全部門(mén)離職率的原因。他說(shuō)，資深員工帶來(lái)了他所需的業(yè)務(wù)見(jiàn)解。而且，這種洞察力與技術(shù)敏銳度和網(wǎng)絡(luò )安全經(jīng)驗相結合，可以幫助他們確定哪些威脅構成了最大的風(fēng)險，因此他們可以有效地分配有限的資源來(lái)提供最佳保護。

他說(shuō)：“減輕威脅的最佳方法是了解風(fēng)險，因此企業(yè)需要精通治理和戰略的人員，他們可以確定最佳安全解決方案，可以采用合適的技術(shù)或找到合適的外部提供商，或者在內部構建合適的解決方案。”

其他組織也將風(fēng)險管理放在了2021年所需技能的首位，Burning Glass公司將風(fēng)險管理列為未來(lái)五年需求增長(cháng)最快的安全技能之一。

Markow補充說(shuō)：“首席信息安全官需要能夠采取基于風(fēng)險的方法來(lái)構建安全的數字基礎設施的人員。”

2. 技術(shù)敏銳性

首席信息安全官也在尋求具有全面技能的人員，他們指出，如果不了解構成基礎設施的IT組件，他們將無(wú)法理解風(fēng)險，并且無(wú)法為數字世界制定安全計劃。

科技廠(chǎng)商Syntax公司的首席信息安全官Matthew Rogers表示：“編程技能、系統管理技能和網(wǎng)絡(luò )技能都是必不可少的技術(shù)，因為如果沒(méi)有基礎知識，安全技能就一文不值。”

普華永道咨詢(xún)公司也將技術(shù)敏銳性視為對安全專(zhuān)業(yè)人員至關(guān)重要的技術(shù)，將“數字構建塊”的知識列為有效安全計劃所需的三個(gè)關(guān)鍵專(zhuān)業(yè)知識領(lǐng)域(數字技能、業(yè)務(wù)敏銳度和社交技能)之一。

因此，普華永道公司網(wǎng)絡(luò )與隱私創(chuàng )新研究所的負責人Joe Nocera表示，安全主管希望員工除了了解特定業(yè)務(wù)和安全解決方案的專(zhuān)業(yè)知識之外，還需要了解架構、日志、監控、身份管理和身份驗證。

技術(shù)咨詢(xún)和外包商Guidehouse公司網(wǎng)絡(luò )安全解決方案團隊資深主管Jack O’Meara是一名資深的首席信息安全官。他說(shuō)，“我想確保員工對正在部署的特定技術(shù)有實(shí)際經(jīng)驗。他們必須了解技術(shù)是如何工作的，因為如果他們不了解這些技術(shù)，他們就永遠不會(huì )了解網(wǎng)絡(luò )攻擊者如何利用它。”

3. 數據管理與分析

安全部門(mén)是企業(yè)中最大的數據生成器之一，在許多企業(yè)中，安全部門(mén)也正成為最大的數據使用方之一，因為它試圖利用信息來(lái)推動(dòng)更有效的保護策略。

技術(shù)研究機構Gartner公司負責安全和風(fēng)險管理的合伙人Brandon S. Dunlap說(shuō)：“很多企業(yè)正在尋找能夠理解和分析其擁有的大量數據的工具，而到目前為止，這些工具并不理想。”他補充說(shuō)，現在越來(lái)越多的首席信息安全官雇傭數據科學(xué)家、數據工程師和數據官員。

4. 開(kāi)發(fā)安全

越來(lái)越多的企業(yè)從DevOps轉移到DevSecOps，尋求在應用程序設計和開(kāi)發(fā)階段添加安全性，以確保應用程序更安全。這需要具有開(kāi)發(fā)和運營(yíng)知識和經(jīng)驗的安全人員。

IT人員配置商Robert Half Technology公司總經(jīng)理Jeffrey Weber說(shuō)：“我們在過(guò)去幾年中了解到，安全風(fēng)險真正存在的地方在于應用程序本身，因此我們需要從一開(kāi)始就將安全性集成到軟件開(kāi)發(fā)中。”

Burning Glass公司將應用程序開(kāi)發(fā)安全列為增長(cháng)最快的技能，預計未來(lái)五年需求將增長(cháng)164%。

5. 云計算

云計算的廣泛采用，尤其是企業(yè)對多云戰略的日益接納，增加了對在云部署中具有豐富經(jīng)驗并且與企業(yè)安全戰略相結合的安全工作者的需求。Rey表示，希望團隊成員在一個(gè)或多個(gè)公共云平臺(AWS、Azure、谷歌)以及私有云架構方面具有專(zhuān)業(yè)知識。他說(shuō)，“當我想到云計算安全性時(shí)，團隊成員需要對云計算的特性有一些了解;這是關(guān)于在云計算環(huán)境中開(kāi)發(fā)安全的網(wǎng)絡(luò )。”

6. 自動(dòng)化

ESG公司在其2020年發(fā)布的名為《網(wǎng)絡(luò )安全專(zhuān)業(yè)人員的生活和時(shí)代》調查報告中表示，企業(yè)安全可以使用自動(dòng)化來(lái)解決網(wǎng)絡(luò )安全技能短缺的問(wèn)題。專(zhuān)家一致認為，自動(dòng)化重復性任務(wù)可以提高效率，同時(shí)將員工的精力和時(shí)間轉移到復雜工作上。然而，實(shí)現安全功能的自動(dòng)化需要在實(shí)現自動(dòng)化解決方案方面具有技能的網(wǎng)絡(luò )安全人員。

Rey表示，首席信息安全官相信自動(dòng)化可以幫助縮小技能差距，他說(shuō)，“自動(dòng)化技能應該嵌入到IT或安全領(lǐng)域的任何人身上。”他表示，希望網(wǎng)絡(luò )安全人員能夠使用Python、PowerShell和其他腳本語(yǔ)言來(lái)確定可以實(shí)現自動(dòng)化的任務(wù)。

7. 威脅搜尋

威脅搜尋是一種相對較新的安全策略，正在得到廣泛的關(guān)注。根據安全解決方案制造商DomainTools公司在2020年進(jìn)行的一項調查，93%的受訪(fǎng)者表示，威脅搜尋應該是一項首要的安全計劃，旨在提供早期發(fā)現，并降低風(fēng)險。隨著(zhù)對威脅搜尋實(shí)踐的關(guān)注與實(shí)施的日益增長(cháng)，正推動(dòng)企業(yè)對完成這項工作所需技能組合的需求。Burning Glas公司將這一技能列為需求增長(cháng)最快的第四名。

安全技術(shù)服務(wù)商VMware Carbon Black公司首席網(wǎng)絡(luò )安全策略師Rick McElroy表示，這需要網(wǎng)絡(luò )安全人員具有分析技能，對MITER ATT&CK框架或其他此類(lèi)方法的理解、對企業(yè)技術(shù)堆棧的了解，并且對于尋求問(wèn)題答案有著(zhù)強烈的好奇心。McElroy說(shuō)，“他們必須像網(wǎng)絡(luò )攻擊者一樣思考;他們必須想，‘網(wǎng)絡(luò )攻擊者將如何繞過(guò)我們的防御?’”

8. 人際交往技能

隨著(zhù)數字經(jīng)濟的興起，網(wǎng)絡(luò )安全的作用越來(lái)越重要，也越來(lái)越突出。這使得安全專(zhuān)業(yè)人員以更高的頻率出現在企業(yè)高管、董事會(huì )成員和員工面前。因此，他們必須能夠與這些不同的利益相關(guān)者合作、溝通和協(xié)商，使這些技能和其他人際交往技能成為熱門(mén)商品。能源開(kāi)發(fā)商PNM Resources公司網(wǎng)絡(luò )安全副總監Gary Todd表示：“這幾乎是一項銷(xiāo)售技能，能夠向企業(yè)的所有不同級別的人員展示他們需要做什么進(jìn)行保護。”

9. 商業(yè)頭腦

惠普公司首席信息安全官Joanna McDaniel Burke表示，希望網(wǎng)絡(luò )安全員工能夠了解業(yè)務(wù)，以業(yè)務(wù)術(shù)語(yǔ)進(jìn)行交流，并將自己視為商人和技術(shù)專(zhuān)家。她表示，安全專(zhuān)業(yè)人員需要這樣的技能，以便他們可以幫助管理風(fēng)險，這是現代安全團隊的主要目標。

安全專(zhuān)業(yè)人員必須幫助他們的組織平衡安全與成本、市場(chǎng)需求和其他業(yè)務(wù)指標。她說(shuō)：“我將其稱(chēng)為‘管理的兩極分化’與權衡取舍。我們需要看到問(wèn)題的兩個(gè)方面，需要設身處地為他們著(zhù)想，這樣才能與利益相關(guān)者共同創(chuàng )造良好的環(huán)境。”

10. 敏捷性

根據2020年(ISC)²勞動(dòng)力研究的調查報告，由于發(fā)生冠狀病毒疫情，只有30%的受訪(fǎng)者表示在一天之內將其工程轉換到遠程工作;另外47%的受訪(fǎng)者表示，在幾天到一周的時(shí)間做出轉換，只有16%的受訪(fǎng)者表示這種轉換花費了一周以上的時(shí)間。專(zhuān)家們并不期望這種快速的工作場(chǎng)所變革會(huì )成為常態(tài)，但他們確實(shí)希望技術(shù)和業(yè)務(wù)變革的步伐會(huì )繼續加快。

密歇根州奧克蘭縣首席技術(shù)官E.J.Widun說(shuō)，“冠狀病毒疫情帶來(lái)了全新的騙局、網(wǎng)絡(luò )攻擊和工作方式。疫情表明，我們需要具有快速適應能力的網(wǎng)絡(luò )安全人員。”