稀缺安全技能的列表越來(lái)越長(zhǎng)。安全技能需求增長(zhǎng)背后的原因是什么？聽(tīng)聽(tīng)專(zhuān)家怎么說(shuō)。

　　Jimmy Sanders手頭的工作堆積如山，他想要一支能夠搞定許多任務(wù)的安全團(tuán)隊(duì)：從推進(jìn)公司的零信任安全策略，到保護(hù)公司的云部署，再到部署機(jī)器學(xué)習(xí)解決方案。

　　團(tuán)隊(duì)成員必須是效率極高的多面手，還得能夠隨業(yè)務(wù)需求轉(zhuǎn)變、技術(shù)發(fā)展進(jìn)步和安全風(fēng)險(xiǎn)變化快速調(diào)整工作方法和學(xué)習(xí)新技能。

　　事實(shí)上，Sanders將“適應(yīng)變化”列為2021年最受歡迎的技能之一，其他搶手技能還包括內(nèi)在動(dòng)力和自主工作的能力。

　　毫無(wú)疑問(wèn)，公司需要的技能很多。

　　作為Netflix DVD安全主管和美國(guó)信息系統(tǒng)安全協(xié)會(huì)（ISSA）舊金山分會(huì)主席，Sander表示：“全能型人才極其稀缺?！?/p>

　　實(shí)際上，網(wǎng)絡(luò)安全人才一直供不應(yīng)求。

　　2020年7月，ISSA和企業(yè)戰(zhàn)略集團(tuán)（ESG）發(fā)布聯(lián)合報(bào)告，指出70%的ISSA會(huì)員認(rèn)為全球網(wǎng)絡(luò)安全人才短缺已經(jīng)影響到了所在組織。同時(shí)，2020年 （ISC）2 網(wǎng)絡(luò)安全勞動(dòng)力市場(chǎng)研究發(fā)現(xiàn)，64%的受訪安全人士感受到了所在公司人才短缺的影響。

　　然而，此類(lèi)統(tǒng)計(jì)數(shù)據(jù)反映的還只是問(wèn)題的一部分。

　　安全主管們表示，不僅合格的安全工作者短缺，現(xiàn)有安全人才庫(kù)中也難以找到所需的技能。

　　考慮到當(dāng)今需要的超多技能，發(fā)出這種感嘆毫不令人意外。

　　事實(shí)上，安全人員需通過(guò)不止一個(gè)認(rèn)證，或具有多種主要工具的使用經(jīng)驗(yàn)。隨著安全工作逐漸轉(zhuǎn)型為橫跨不同學(xué)科的復(fù)合職能，安全人員越來(lái)越需要正確組合多種安全技能與技術(shù)、業(yè)務(wù)和人際交往能力了。

　　勞動(dòng)市場(chǎng)分析公司Burning Glass Technologies發(fā)布了2019年職能混合報(bào)告，其常務(wù)董事Will Markow稱(chēng)：“只能做好一件事的安全人員不再受青睞。系統(tǒng)面臨的威脅太多，被黑的幾率太高，如果沒(méi)有廣博的知識(shí)，你就無(wú)法勝任安全人員的工作?！?/p>

　　2021最緊俏安全人才反映了這一趨勢(shì)，安全主管們表示，他們需要的安全人才要能夠綜合利用各種專(zhuān)業(yè)技能以適應(yīng)新興安全與威脅環(huán)境，滿足總體業(yè)務(wù)要求。

　　未來(lái)一年，以下10個(gè)領(lǐng)域的人才將備受青睞：

　　1、風(fēng)險(xiǎn)識(shí)別與管理

　　Jorge Rey是專(zhuān)業(yè)服務(wù)公司Kaufman Rossin的首席信息安全官，他想要熟悉公司及其所屬行業(yè)的安全員工，所以相當(dāng)看重自己部門(mén)的人員離職率。他表示，老員工能帶來(lái)他需要的業(yè)務(wù)洞察。而這種洞察一旦與技術(shù)敏銳度和網(wǎng)絡(luò)安全經(jīng)驗(yàn)相結(jié)合，就能幫助識(shí)別出公司面臨的最大威脅，讓公司安全部門(mén)能夠合理分配有限的資源，達(dá)成最佳安全防護(hù)。

　　“緩解威脅的最佳辦法就是了解風(fēng)險(xiǎn)。所以我們需要精通治理和策略人才，這樣才能確定最佳解決方案，找出正確的技術(shù)或合適的外部提供商，或者合理構(gòu)建自己的處理能力?！?/p>

　　其他機(jī)構(gòu)也將風(fēng)險(xiǎn)管理置于2021理想技能列表頂端，Burning Glass就將之列為未來(lái)五年需求增長(zhǎng)最快的安全技能之一，也是能夠給安全人員帶來(lái)1萬(wàn)多美元年終獎(jiǎng)的技能之一。

　　Markow補(bǔ)充道：“CISO需要能夠采取基于風(fēng)險(xiǎn)的方法構(gòu)建安全數(shù)字基礎(chǔ)設(shè)施的人才?！?/p>

　　2、技術(shù)功底

　　具備全面技術(shù)能力的人才也是CISO的延攬對(duì)象，畢竟如果不懂構(gòu)成基礎(chǔ)設(shè)施的IT組件，也就無(wú)法理解數(shù)字世界風(fēng)險(xiǎn)和制定安全計(jì)劃。

　　科技公司Syntax首席信息安全官M(fèi)atthew Rogers稱(chēng)：“編程技能、系統(tǒng)管理技能和網(wǎng)絡(luò)技能都是必要的，因?yàn)槿绻狈A(chǔ)知識(shí)支撐，安全技能就毫無(wú)價(jià)值?！?/p>

　　咨詢公司普華永道同樣將技術(shù)敏銳度看作安全人員的重要特質(zhì)，將“數(shù)字構(gòu)件塊”知識(shí)列入有效安全項(xiàng)目所需的三大關(guān)鍵專(zhuān)業(yè)技能領(lǐng)域（數(shù)字技術(shù)、業(yè)務(wù)敏銳度和社交技能）。

　　因此，普華永道網(wǎng)絡(luò)與隱私創(chuàng)新研究院院長(zhǎng)Joe Nocera表示，安全主管想要的員工除了具備特定業(yè)務(wù)和安全解決方案的相關(guān)專(zhuān)業(yè)知識(shí)，還要了解架構(gòu)和登錄、監(jiān)視、身份管理及身份驗(yàn)證。

　　Jack O'Meara是資深CISO，目前出任技術(shù)咨詢和外包公司Guidehouse的網(wǎng)絡(luò)安全解決方案團(tuán)隊(duì)總監(jiān)。他贊同Joe Nocera的看法，并表示：“我想確保手下員工具備現(xiàn)成的專(zhuān)業(yè)技能，能夠搞定我要部署的特定技術(shù)。他們得了解技術(shù)的運(yùn)行機(jī)制，因?yàn)槿绻欢?，他們就永遠(yuǎn)無(wú)法摸清攻擊者會(huì)怎么利用這些技術(shù)。”

　　3、數(shù)據(jù)管理與分析

　　安全部門(mén)是企業(yè)中最大的數(shù)據(jù)生成器。而由于要利用信息驅(qū)動(dòng)更有效的防護(hù)策略，在很多企業(yè)中，安全部門(mén)也開(kāi)始變成最大的數(shù)據(jù)消費(fèi)者了。

　　技術(shù)研究公司Gartner安全與風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)力合作伙伴Brandon S. Dunlap表示：“安全部門(mén)想要充分發(fā)揮手中大量數(shù)據(jù)的效用，而工具的作用不過(guò)如此。越來(lái)越多的CISO紛紛招聘數(shù)據(jù)科學(xué)家、數(shù)據(jù)工程師和數(shù)據(jù)官?！?/p>

　　4、DevSecOps

　　公司企業(yè)正從開(kāi)發(fā)運(yùn)維轉(zhuǎn)向DevSecOps，尋求將安全考慮融入應(yīng)用設(shè)計(jì)與開(kāi)發(fā)周期，確保產(chǎn)出更加安全的應(yīng)用。這就要求安全人員具備開(kāi)發(fā)和運(yùn)營(yíng)的相關(guān)知識(shí)與經(jīng)驗(yàn)了。

　　IT 人力資源公司Robert Half Technology執(zhí)行董事Jeffrey Weber稱(chēng)：“過(guò)去幾年來(lái)，我們已經(jīng)認(rèn)識(shí)到安全風(fēng)險(xiǎn)存在于應(yīng)用本身。所以我們的軟件開(kāi)發(fā)需要從一開(kāi)始就融入安全考慮?！?/p>

　　Burning Glass將應(yīng)用開(kāi)發(fā)安全列為增長(zhǎng)最快的頭號(hào)技術(shù)，未來(lái)五年預(yù)期需求將增長(zhǎng)164%。

　　5、云

　　云的大規(guī)模采納，尤其是多云策略的崛起，增加了對(duì)具備云部署經(jīng)驗(yàn)的安全人員的需求，此類(lèi)安全人員需能將云部署經(jīng)驗(yàn)融入企業(yè)安全策略。比如說(shuō)，Rey就想將熟悉一個(gè)或多個(gè)公有云平臺(tái)（AWS、Azure、GCP）和私有云架構(gòu)的安全人才收入麾下。他說(shuō)：“要做好云安全工作，需要各方面知識(shí)都懂一點(diǎn)，這其實(shí)是在云環(huán)境中開(kāi)發(fā)安全網(wǎng)絡(luò)?！?/p>

　　6、自動(dòng)化

　　ESG在2020年《網(wǎng)絡(luò)安全人員的生活與時(shí)光》報(bào)告中稱(chēng)，企業(yè)可采用自動(dòng)化技術(shù)解決網(wǎng)絡(luò)安全人才短缺問(wèn)題。專(zhuān)家對(duì)此表示贊同，并解釋稱(chēng)，自動(dòng)化重復(fù)性任務(wù)可產(chǎn)出效率和提升有效性，同時(shí)將員工寶貴的時(shí)間轉(zhuǎn)移到只有人類(lèi)能完成的復(fù)雜工作上。

　　然而，自動(dòng)化安全功能要求安全員工具備實(shí)際實(shí)現(xiàn)自動(dòng)化解決方案的技術(shù)和能力。

　　Rey認(rèn)為，自動(dòng)化可幫助彌補(bǔ)人才短缺，自動(dòng)化技能應(yīng)成為IT或安全員工的內(nèi)化技能。他想要的安全人才應(yīng)能夠鑒別可以自動(dòng)化的任務(wù)，并能運(yùn)用Python、PowerShell及其他腳本語(yǔ)言自己搞定自動(dòng)化。

　　7、威脅追捕

　　威脅追捕是日漸受到關(guān)注的新興安全策略。根據(jù)安全解決方案生產(chǎn)商DomainTools 2020年的一項(xiàng)調(diào)查，93%的公司企業(yè)認(rèn)為威脅追捕應(yīng)成為首要安全項(xiàng)目，以便提供早期檢測(cè)和降低風(fēng)險(xiǎn)。威脅追捕實(shí)踐越來(lái)越受人青睞，其實(shí)現(xiàn)也越來(lái)越多，具備相應(yīng)技能組合的人才需求也水漲船高。Burning Glass將威脅追捕列為第四號(hào)需求增長(zhǎng)最快的技能。

　　安全技術(shù)公司VMware Carbon Black首席網(wǎng)絡(luò)安全策略師Rick McElroy稱(chēng)，威脅追捕需要數(shù)據(jù)分析技能，要了解MITRE ATT&CK及其他此類(lèi)框架，懂得各種企業(yè)技術(shù)棧（這樣才能發(fā)覺(jué)“異常情況”），還要有探索問(wèn)題的好奇心。McElroy表示：“威脅追捕人員得像攻擊者那樣思考，要自問(wèn)‘攻擊者會(huì)怎樣繞過(guò)我的防御？’”

　　8、人際交往技能

　　隨著數(shù)字經(jīng)濟(jì)的崛起，網(wǎng)絡(luò)安全功能只會(huì)越來(lái)越重要，網(wǎng)絡(luò)安全人員也越來(lái)越受重視，安全人員出現(xiàn)在高管、董事會(huì)成員和業(yè)務(wù)人員面前的頻率越來(lái)越高。因此，他們須能與各類(lèi)利益相關(guān)者協(xié)作、溝通和商討，凸顯出人際交往技能是多么搶手。能源公司PNM Resources網(wǎng)絡(luò)安全副總監(jiān)Gary Todd表示：“銷(xiāo)售似的，要能向公司所有不同層級(jí)灌輸他們?cè)诒Ｗo(hù)公司安全方面需要做些什么?！?/p>

　　9、業(yè)務(wù)敏銳度

　　惠普首席信息安全官Joanna McDaniel Burkey希望招募到了解業(yè)務(wù)、能以業(yè)務(wù)用語(yǔ)交流，并將自己視為商業(yè)人士與技術(shù)人員復(fù)合體的人才。她認(rèn)為，網(wǎng)絡(luò)安全人員需要此類(lèi)技能來(lái)幫助管理風(fēng)險(xiǎn)，風(fēng)險(xiǎn)管理才是現(xiàn)代安全團(tuán)隊(duì)的主要目標(biāo)。

　　安全人員需幫助公司企業(yè)在安全與成本、市場(chǎng)需求及其他業(yè)務(wù)指標(biāo)之間取得平衡。她表示：“我將之稱(chēng)為管理的兩極與取舍。我們需要照顧到問(wèn)題的兩面，站在對(duì)方的角度思考，這樣才能與利益相關(guān)者和諧共創(chuàng)?！?/p>

　　10、敏捷性

　　2020年 （ISC）2 網(wǎng)絡(luò)勞動(dòng)力市場(chǎng)研究表明，30%的受訪者表示，由于新冠肺炎疫情，自家企業(yè)僅一天之內(nèi)就切換到了遠(yuǎn)程辦公模式，另有47%的受訪企業(yè)在僅僅數(shù)天到一周時(shí)間內(nèi)完成了工作模式遷移（只有16%的受訪者耗費(fèi)了超過(guò)一周的時(shí)間。）專(zhuān)家預(yù)測(cè)，這種快速勞動(dòng)力轉(zhuǎn)型不會(huì)成為常態(tài)，但他們確實(shí)認(rèn)為技術(shù)和業(yè)務(wù)轉(zhuǎn)型速度會(huì)繼續(xù)加快。

　　安全需快速跟上。美國(guó)密歇根州奧克蘭郡首席技術(shù)官E.J. Widun稱(chēng)：“新冠肺炎疫情帶來(lái)了全新的詐騙與攻擊手法，以及新型工作方式。新冠肺炎疫情向我們表明，我們需要能夠適應(yīng)，而且是快速適應(yīng)的人才?！?/p>