招募人才時(shí)關(guān)注以下安全技能，安全團(tuán)隊(duì)就將能夠預(yù)防、保護(hù)和緩解網(wǎng)絡(luò)安全攻擊的傷害，并能加速修復(fù)過(guò)程。

[[206496]]

隨著黑客變得更加高端，攻擊更加頻繁，公司淪為網(wǎng)絡(luò)攻擊受害者已經(jīng)不是會(huì)不會(huì)，而是什么時(shí)候會(huì)的問(wèn)題了。殘酷的現(xiàn)實(shí)，讓很多公司都開(kāi)始重新評(píng)估自身安全工作方法，重新審視將有限資源高效分配到威脅緩解上的最佳實(shí)踐。

很多客戶已經(jīng)開(kāi)始認(rèn)識(shí)到，在期待最好情況的時(shí)候，卻不得不為最壞情況做好準(zhǔn)備。此時(shí)，擁有正確的安全技術(shù)組合就成了關(guān)鍵。

以下10個(gè)安全技術(shù)能力，就是公司企業(yè)在補(bǔ)充或升級(jí)自身安全團(tuán)隊(duì)的時(shí)候，應(yīng)該重點(diǎn)關(guān)注的地方。

1. 安全工具專業(yè)知識(shí)

或許都不用說(shuō)出來(lái)，但有效安全絕對(duì)從知曉工具開(kāi)始。然而不幸的是，很多公司采取了“設(shè)置然后拋諸腦后”的方法，因?yàn)樗麄儔焊鶝](méi)配備安全工具指導(dǎo)手冊(cè)。

以SIEM為例，這類工具可以給出網(wǎng)絡(luò)和基礎(chǔ)設(shè)施情況的全局視圖，還能細(xì)粒度地觀察事件，定位發(fā)生問(wèn)題的范圍。諸如，大多數(shù)事件都是終端用戶的問(wèn)題?云服務(wù)里有可供利用的漏洞嗎?如何怎樣讓用戶停止打開(kāi)郵件附件?如何確保敏感數(shù)據(jù)沒(méi)保存在防護(hù)薄弱的地方?”

不幸的是，大多數(shù)此類工具，往往被置于默認(rèn)設(shè)置，因?yàn)樗鼈儍H僅是為合規(guī)而安裝。這正是為什么要以熟悉工具的專家充實(shí)安全團(tuán)隊(duì)的原因所在。特定產(chǎn)品的專業(yè)知識(shí)，在確?？梢猿浞掷盟x工具上非常重要。

CIO應(yīng)投入廣泛深入的培訓(xùn)，甚至升級(jí)擴(kuò)展安全員工的技能，以確保他們知道自家武器庫(kù)中所有安全工具的優(yōu)勢(shì)和弱點(diǎn)，否則這些工具不過(guò)是些安慰劑而已。

2. 安全分析

工具很重要，但理解工具如何適應(yīng)自家整體安全策略，同樣重要。在你找出需要哪款工具以及怎樣使用它們之前，你需要幾個(gè)理解安全業(yè)務(wù)的人。你的業(yè)務(wù)如何進(jìn)行?其特別功能、市場(chǎng)、客戶、基礎(chǔ)設(shè)施、行業(yè)等等都是什么?所有這些方面都對(duì)安全策略有所影響，每項(xiàng)業(yè)務(wù)都有不同的問(wèn)題。

安全分析可以識(shí)別出可導(dǎo)致攻擊更易發(fā)生的那些情況，幫助最小化這些攻擊界面。

3. 項(xiàng)目管理

IT項(xiàng)目管理技術(shù)總是供不應(yīng)求，但專精管理安全項(xiàng)目的項(xiàng)目經(jīng)理是其中越來(lái)越有價(jià)值的一類。曾經(jīng)屬于普通系統(tǒng)管理員或網(wǎng)絡(luò)管理員分類的那些人，如今已進(jìn)化成了更為專業(yè)化的職業(yè)角色。

曾經(jīng)，可以安裝幾個(gè)殺毒軟件、垃圾郵件過(guò)濾器，甚或某些邊界防御工具，就可以安心地丟在那兒不管了。但現(xiàn)在，必須將這些安全解決方案當(dāng)成為期數(shù)周或幾個(gè)月的項(xiàng)目來(lái)考慮，找到將之與現(xiàn)有其他系統(tǒng)融合的方法，添加培訓(xùn)、維護(hù)、升級(jí)策略——專注安全的項(xiàng)目管理技術(shù)是非常重要的。

4. 事件響應(yīng)

涉及保護(hù)IT系統(tǒng)安全，事件響應(yīng)是另一個(gè)至關(guān)重要的領(lǐng)域。此處，Splunk是最為著名的工具之一，大部分原因在于其在政府IT系統(tǒng)中的廣泛流行。事件響應(yīng)可幫你快速識(shí)別威脅，對(duì)Splunk技術(shù)專業(yè)人才的需求大大增加了。

很多時(shí)候，公司保持不住所需的員工人數(shù)，即便可以保持，也有負(fù)擔(dān)水平的問(wèn)題。因此，很多公司采取了外包安全分析的做法，然后培訓(xùn)公司現(xiàn)有人員掌握所需知識(shí)。員工培訓(xùn)和自動(dòng)化檢測(cè)及緩解工具強(qiáng)化也包含在內(nèi)。

5. 自動(dòng)化/開(kāi)發(fā)運(yùn)維

網(wǎng)絡(luò)安全威脅和工具一直在進(jìn)化，很難跟上它們的腳步。傳統(tǒng)上，公司企業(yè)會(huì)讓安全團(tuán)隊(duì)人工監(jiān)視和修復(fù)漏洞，但時(shí)至今日，這已經(jīng)不是一個(gè)可行的解決方案了。

公司企業(yè)現(xiàn)在利用開(kāi)發(fā)運(yùn)維和自動(dòng)化，來(lái)達(dá)到應(yīng)對(duì)威脅態(tài)勢(shì)的目的。我們?cè)撛鯓又ぎ惓?，然后隔離異常進(jìn)行分析呢?我們正的處理的是什么威脅?威脅來(lái)自何方，該怎樣封鎖威脅訪問(wèn)?我們的弱點(diǎn)在哪里?該怎樣防范此類事件再次重演?這些都是相當(dāng)重要的問(wèn)題，但太多公司企業(yè)都沒(méi)有員工可以馬上解決這些問(wèn)題。

自動(dòng)化，可以在威脅和攻擊淹沒(méi)公司之前，就將其識(shí)別并封鎖，然后IT人員就可以入場(chǎng)，進(jìn)行更復(fù)雜的、上下文敏感的安全工作。安全人員要做的，是問(wèn)題解決和故障排除;根據(jù)工具給出的信息和自身見(jiàn)解，判定指導(dǎo)調(diào)查的方向。然而，不幸的是，這不是一種可以隨隨便便就找到的技能集，是一種需要長(zhǎng)期從業(yè)才能累積出來(lái)的經(jīng)驗(yàn)。

6. 數(shù)據(jù)科學(xué)和數(shù)據(jù)分析

公司企業(yè)收集到的大量數(shù)據(jù)，可以用于追蹤黑客、識(shí)別潛在攻擊、監(jiān)測(cè)防御措施有效性，但數(shù)據(jù)收集需要分析技術(shù)和經(jīng)驗(yàn)才能完成。

網(wǎng)絡(luò)安全領(lǐng)域需要具備分析工具使用經(jīng)驗(yàn)和知識(shí)的人來(lái)處理所有這些數(shù)據(jù)，梳理這些數(shù)字并分析報(bào)告以得出結(jié)果。這里的分析工具包含機(jī)器學(xué)習(xí)、算法，甚至人工智能。

公司企業(yè)需要通用數(shù)據(jù)科學(xué)家，但最好專精安全數(shù)據(jù)，以及電子商務(wù)之類領(lǐng)域，特別是這兩類領(lǐng)域重合部分。

數(shù)據(jù)科學(xué)和分析的作用，再怎么強(qiáng)調(diào)都不為過(guò)。對(duì)大公司而言，可能有成千上萬(wàn)的數(shù)據(jù)流在持續(xù)饋送數(shù)百萬(wàn)事件到工具中，比如饋送進(jìn)Splunk里，再加上金融交易、網(wǎng)絡(luò)流日志、安全警報(bào)、DNS流量信息——所有這些離散數(shù)據(jù)不斷流入單一存儲(chǔ)倉(cāng)庫(kù)。這就構(gòu)成了大多數(shù)安全人員難以想象的數(shù)據(jù)怪物了。數(shù)據(jù)科學(xué)家可以輔助甄別噪音中的信號(hào)，讓安全團(tuán)隊(duì)可以更好地專注響應(yīng)事件。

7. 腳本

有這么多不同活動(dòng)部分的情況下，腳本技術(shù)就是讓所有這些元素協(xié)同工作的必備要求了。

Python、Perl或其他腳本語(yǔ)言都可以。你需要腳本工具來(lái)與Slack之類的消息系統(tǒng)、儀表板和監(jiān)測(cè)系統(tǒng)及事件管理工具交互。

8. 軟技能

安全競(jìng)技場(chǎng)上，軟技能有著略為不同的含義。溝通、協(xié)作和團(tuán)隊(duì)合作能力很重要，但這里面還有辯證思維甚至心理學(xué)的元素牽涉其中。

你得會(huì)用“壞人”的思維考慮問(wèn)題——你需要知道社會(huì)工程誘騙方法，這樣才能識(shí)別出網(wǎng)絡(luò)釣魚(yú)攻擊、魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)和其他惡意活動(dòng)，才能知道該怎樣緩解它們。你得知道公司員工和客戶會(huì)怎樣反應(yīng)，哪些方法可以讓他們放松警惕，然后找出相應(yīng)的強(qiáng)化防御措施。

安全人員還需要能適應(yīng)壓力，在攻擊發(fā)生時(shí)能夠快速分類，合理排序處理動(dòng)作以減少傷害，或者知道該怎么進(jìn)行事后剖析。

掌握所有這些信息，收到這么多警報(bào)，知道有事件正在發(fā)生，或許正有人在攻擊公司網(wǎng)絡(luò)，而安全人員必須盡快阻止事件蔓延。此時(shí)，知道怎樣快速排序事件并精準(zhǔn)響應(yīng)，就十分關(guān)鍵了。

必須承認(rèn)，這其中有部分能力要?dú)w結(jié)到對(duì)公司特定漏洞、優(yōu)勢(shì)和已部署解決方案的熟知，而這只能藉由時(shí)間來(lái)積累。

這也正是為什么公司企業(yè)不能僅僅外聘安全專家，還得留住他們的關(guān)鍵所在。

9. 事后深度取證

安全人才還必須知道怎樣進(jìn)行事后取證調(diào)查。很多大企業(yè)都讓自己的安全團(tuán)隊(duì)進(jìn)行廣泛深入的取證培訓(xùn)，提升他們的事件響應(yīng)能力。

威脅響應(yīng)、惡意軟件分析和事后取證培訓(xùn)課程的注冊(cè)的人數(shù)在逐年上升，公司企業(yè)逐漸認(rèn)識(shí)到這些已有和新興威脅，希望對(duì)自身應(yīng)對(duì)能力加以改善。

10. 激情

最后，優(yōu)秀的安全人才對(duì)自身工作保持激情，并有分享知識(shí)的欲望。這一點(diǎn)可以不同方式展現(xiàn)出來(lái)，從學(xué)習(xí)新的編程語(yǔ)言，到參加培訓(xùn)課程，到在公司或社區(qū)聚會(huì)上主動(dòng)分享知識(shí)。

優(yōu)秀的安全人員具備終身分享、學(xué)習(xí)和增長(zhǎng)知識(shí)的飽滿激情。這幾乎可以說(shuō)是最重要的能力了，因?yàn)榧で檫@種東西無(wú)法向技術(shù)一樣教授或培訓(xùn)。如果遇到要求參加安全會(huì)議、參加課程培訓(xùn)、喜歡與業(yè)內(nèi)其他人互動(dòng)的人，趕緊簽下為妙。

如果已經(jīng)雇有此類人員，盡全力鼓勵(lì)并支持他們好了。團(tuán)隊(duì)拓展訓(xùn)練、知識(shí)分享會(huì)、聯(lián)歡會(huì)、編程馬拉松、新產(chǎn)品或解決方案展示、漏洞獎(jiǎng)勵(lì)——任何可以維持他們的參與度并給他們的激情添柴加薪的方法都可以。