在一個安全與技術(shù)世界受到?jīng)_擊的時代，即使面對技能短缺，網(wǎng)絡(luò)安全專業(yè)人士也不能安于現(xiàn)狀。

[[262278]]

一、自動化及編排

兩大趨勢正在推動企業(yè)實(shí)現(xiàn)全面安全自動化。首先，自動化已經(jīng)被當(dāng)做一種方法來量化事件響應(yīng)和安全分析來應(yīng)對不斷增加的威脅。其次，隨著DevOps和軟件的持續(xù)交付在很多組織機(jī)構(gòu)中變得越來越重要，IT自動化面臨的風(fēng)險大大增加。這要求安全團(tuán)隊(duì)將安全控制直接建立在這些自動化流水線中，跟上自動化的速度，以免把工作搞砸。

Dimension Research最近代表Tripwire進(jìn)行的一項(xiàng)調(diào)查顯示，63%的組織機(jī)構(gòu)最近在安全任務(wù)自動化方面進(jìn)行了投資，88%的組織機(jī)構(gòu)表示他們還沒有相關(guān)計劃。這意味著安全專業(yè)人員將需要及時了解編排所有這些自動化系統(tǒng)的細(xì)節(jié)，以進(jìn)行全面控制，并提高安全操作的效率。

二、數(shù)據(jù)科學(xué)

網(wǎng)絡(luò)安全數(shù)據(jù)科學(xué)家這一職位，在求職網(wǎng)站的搜索中激增。隨著組織機(jī)構(gòu)越來越嚴(yán)格地使用威脅情報、威脅建模和風(fēng)險指標(biāo)來指導(dǎo)其安全實(shí)踐，數(shù)據(jù)科學(xué)家不僅能夠幫助企業(yè)，也能夠幫助安全供應(yīng)商采用數(shù)據(jù)驅(qū)動的安全方法。盡管在很多情況下，他們都是正在學(xué)習(xí)安全知識的專業(yè)數(shù)據(jù)科學(xué)家。那些正在開始打磨自己的數(shù)據(jù)科學(xué)技能，并具備扎實(shí)專業(yè)基礎(chǔ)的安全專業(yè)人士，已經(jīng)給自己配備了IT行業(yè)中兩個最熱門的技能。

數(shù)據(jù)軟件公司Hortonworks的數(shù)據(jù)科學(xué)家和網(wǎng)絡(luò)安全產(chǎn)品經(jīng)理Simon Elliston Ball表示：

三、編程

安全大佬們更多地開始尋找具有編程能力的安全人員，甚至是那些可以對其進(jìn)行安全基礎(chǔ)方面培訓(xùn)的程序員。首先，這對DevSecOps環(huán)境中的應(yīng)用程序安全性至關(guān)重要，因?yàn)閷?shí)現(xiàn)前者需要對安全性和開發(fā)功能進(jìn)行協(xié)調(diào)。

Comcast公司 DevSecOps轉(zhuǎn)型高級主管Larry Maccherone表示：

但最重要的是，很多組織機(jī)構(gòu)需要具有編程專業(yè)知識的安全專家，他們可以幫助企業(yè)順利整合并構(gòu)建支持安全自動化的定制工具。隨著組織機(jī)構(gòu)轉(zhuǎn)向架構(gòu)即代碼的方式來管理系統(tǒng)，安全工作需要保持同步。

四、隱私專家

ISSA調(diào)查的網(wǎng)絡(luò)安全專業(yè)人士中，近四分之一的人表示，他們認(rèn)為自己沒有接受過合適的數(shù)據(jù)隱私培訓(xùn)。隨著GDPR法規(guī)在全球范圍內(nèi)實(shí)施，無論這些企業(yè)的總部在哪里，保護(hù)其客戶、員工和合作伙伴的隱私對董事會和高管層越來越重要。這需要安全專業(yè)人員比以往任何時候都更緊密地與法律、審計人員和人力資源部門合作。這也意味著，許多專業(yè)人士需要加倍努力，確保他們了解可能影響日常工作的所有隱私和合規(guī)層面的內(nèi)容。

五、安全云管理

Gartner專家表示，在企業(yè)大規(guī)模轉(zhuǎn)向云計算之際，提升云安全能力是2019年安全與風(fēng)險管理的七大趨勢之一。Gartner表示，隨著企業(yè)不斷進(jìn)行實(shí)驗(yàn)云和邊緣云部署，安全團(tuán)隊(duì)的壓力也越來越大。這意味著組織機(jī)構(gòu)和安全專業(yè)人員需要盡快開始培養(yǎng)云安全技能。

Gartner研究副總裁Peter Firstbrook表示：

六、理解業(yè)務(wù)

根據(jù)ISACA的研究，網(wǎng)絡(luò)安全團(tuán)隊(duì)中最寶貴的員工是，技術(shù)熟練，并了解企業(yè)運(yùn)營以及知道網(wǎng)絡(luò)安全如何滿足企業(yè)更大需求的人。

調(diào)查顯示，49%的安全大佬認(rèn)為現(xiàn)在網(wǎng)絡(luò)安全專業(yè)人士身上最缺乏的能力是——理解業(yè)務(wù)的能力。

這是最難培養(yǎng)的技能之一。這需要建立聯(lián)盟、深入了解業(yè)務(wù)運(yùn)作及其垂直領(lǐng)域——例如，如果企業(yè)上市了，花時間研究公司的年度報告，積極傾聽利益相關(guān)者和高層管理人員的意見，了解他們的策略和痛點(diǎn)。努力做這些工作將會得到非常大的回報。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文