稀缺安全技能的列表越來越長。安全技能需求增長背后的原因是什么?聽聽專家怎么說。

Jimmy Sanders手頭的工作堆積如山，他想要一支能夠搞定許多任務的安全團隊：從推進公司的零信任安全策略，到保護公司的云部署，再到部署機器學習解決方案。

[[374691]]

團隊成員必須是效率極高的多面手，還得能夠隨業(yè)務需求轉變、技術發(fā)展進步和安全風險變化快速調整工作方法和學習新技能。

事實上，Sanders將“適應變化”列為2021年最受歡迎的技能之一，其他搶手技能還包括內在動力和自主工作的能力。

毫無疑問，公司需要的技能很多。

作為Netflix DVD安全主管和美國信息系統(tǒng)安全協(xié)會(ISSA)舊金山分會主席，Sander表示：“全能型人才極其稀缺。”

實際上，網絡安全人才一直供不應求。

2020年7月，ISSA和企業(yè)戰(zhàn)略集團(ESG)發(fā)布聯合報告，指出70%的ISSA會員認為全球網絡安全人才短缺已經影響到了所在組織。同時，2020年 (ISC)2 網絡安全勞動力市場研究發(fā)現，64%的受訪安全人士感受到了所在公司人才短缺的影響。

然而，此類統(tǒng)計數據反映的還只是問題的一部分。

安全主管們表示，不僅合格的安全工作者短缺，現有安全人才庫中也難以找到所需的技能。

考慮到當今需要的超多技能，發(fā)出這種感嘆毫不令人意外。

事實上，安全人員需通過不止一個認證，或具有多種主要工具的使用經驗。隨著安全工作逐漸轉型為橫跨不同學科的復合職能，安全人員越來越需要正確組合多種安全技能與技術、業(yè)務和人際交往能力了。

勞動市場分析公司Burning Glass Technologies發(fā)布了2019年職能混合報告，其常務董事Will Markow稱：“只能做好一件事的安全人員不再受青睞。系統(tǒng)面臨的威脅太多，被黑的幾率太高，如果沒有廣博的知識，你就無法勝任安全人員的工作。”

2021最緊俏安全人才反映了這一趨勢，安全主管們表示，他們需要的安全人才要能夠綜合利用各種專業(yè)技能以適應新興安全與威脅環(huán)境，滿足總體業(yè)務要求。

未來一年，以下10個領域的人才將備受青睞：

1. 風險識別與管理

Jorge Rey是專業(yè)服務公司Kaufman Rossin的首席信息安全官，他想要熟悉公司及其所屬行業(yè)的安全員工，所以相當看重自己部門的人員離職率。他表示，老員工能帶來他需要的業(yè)務洞察。而這種洞察一旦與技術敏銳度和網絡安全經驗相結合，就能幫助識別出公司面臨的最大威脅，讓公司安全部門能夠合理分配有限的資源，達成最佳安全防護。

“緩解威脅的最佳辦法就是了解風險。所以我們需要精通治理和策略人才，這樣才能確定最佳解決方案，找出正確的技術或合適的外部提供商，或者合理構建自己的處理能力。”

其他機構也將風險管理置于2021理想技能列表頂端，Burning Glass就將之列為未來五年需求增長最快的安全技能之一，也是能夠給安全人員帶來1萬多美元年終獎的技能之一。

Markow補充道：“CISO需要能夠采取基于風險的方法構建安全數字基礎設施的人才。”

2. 技術功底

具備全面技術能力的人才也是CISO的延攬對象，畢竟如果不懂構成基礎設施的IT組件，也就無法理解數字世界風險和制定安全計劃。

科技公司Syntax首席信息安全官Matthew Rogers稱：“編程技能、系統(tǒng)管理技能和網絡技能都是必要的，因為如果缺乏基礎知識支撐，安全技能就毫無價值。

”咨詢公司普華永道同樣將技術敏銳度看作安全人員的重要特質，將“數字構件塊”知識列入有效安全項目所需的三大關鍵專業(yè)技能領域(數字技術、業(yè)務敏銳度和社交技能)。

因此，普華永道網絡與隱私創(chuàng)新研究院院長Joe Nocera表示，安全主管想要的員工除了具備特定業(yè)務和安全解決方案的相關專業(yè)知識，還要了解架構和登錄、監(jiān)視、身份管理及身份驗證。

Jack O’Meara是資深CISO，目前出任技術咨詢和外包公司Guidehouse的網絡安全解決方案團隊總監(jiān)。他贊同Joe Nocera的看法，并表示：“我想確保手下員工具備現成的專業(yè)技能，能夠搞定我要部署的特定技術。他們得了解技術的運行機制，因為如果不懂，他們就永遠無法摸清攻擊者會怎么利用這些技術。”

3. 數據管理與分析

安全部門是企業(yè)中最大的數據生成器。而由于要利用信息驅動更有效的防護策略，在很多企業(yè)中，安全部門也開始變成最大的數據消費者了。

技術研究公司Gartner安全與風險管理領導力合作伙伴Brandon S. Dunlap表示：“安全部門想要充分發(fā)揮手中大量數據的效用，而工具的作用不過如此。越來越多的CISO紛紛招聘數據科學家、數據工程師和數據官。”

4. DevSecOps

公司企業(yè)正從開發(fā)運維轉向DevSecOps，尋求將安全考慮融入應用設計與開發(fā)周期，確保產出更加安全的應用。這就要求安全人員具備開發(fā)和運營的相關知識與經驗了。

IT 人力資源公司Robert Half Technology執(zhí)行董事Jeffrey Weber稱：“過去幾年來，我們已經認識到安全風險存在于應用本身。所以我們的軟件開發(fā)需要從一開始就融入安全考慮。”

Burning Glass將應用開發(fā)安全列為增長最快的頭號技術，未來五年預期需求將增長164%。

5. 云

云的大規(guī)模采納，尤其是多云策略的崛起，增加了對具備云部署經驗的安全人員的需求，此類安全人員需能將云部署經驗融入企業(yè)安全策略。比如說，Rey就想將熟悉一個或多個公有云平臺(AWS、Azure、GCP)和私有云架構的安全人才收入麾下。他說：“要做好云安全工作，需要各方面知識都懂一點，這其實是在云環(huán)境中開發(fā)安全網絡。”

6. 自動化

ESG在2020年《網絡安全人員的生活與時光》報告中稱，企業(yè)可采用自動化技術解決網絡安全人才短缺問題。專家對此表示贊同，并解釋稱，自動化重復性任務可產出效率和提升有效性，同時將員工寶貴的時間轉移到只有人類能完成的復雜工作上。

然而，自動化安全功能要求安全員工具備實際實現自動化解決方案的技術和能力。

Rey認為，自動化可幫助彌補人才短缺，自動化技能應成為IT或安全員工的內化技能。他想要的安全人才應能夠鑒別可以自動化的任務，并能運用Python、PowerShell及其他腳本語言自己搞定自動化。

7. 威脅追捕

威脅追捕是日漸受到關注的新興安全策略。根據安全解決方案生產商DomainTools 2020年的一項調查，93%的公司企業(yè)認為威脅追捕應成為首要安全項目，以便提供早期檢測和降低風險。威脅追捕實踐越來越受人青睞，其實現也越來越多，具備相應技能組合的人才需求也水漲船高。Burning Glass將威脅追捕列為第四號需求增長最快的技能。

安全技術公司VMware Carbon Black首席網絡安全策略師Rick McElroy稱，威脅追捕需要數據分析技能，要了解MITRE ATT&CK及其他此類框架，懂得各種企業(yè)技術棧(這樣才能發(fā)覺“異常情況”)，還要有探索問題的好奇心。McElroy表示：“威脅追捕人員得像攻擊者那樣思考，要自問‘攻擊者會怎樣繞過我的防御?’”

8. 人際交往技能

隨著數字經濟的崛起，網絡安全功能只會越來越重要，網絡安全人員也越來越受重視，安全人員出現在高管、董事會成員和業(yè)務人員面前的頻率越來越高。因此，他們須能與各類利益相關者協(xié)作、溝通和商討，凸顯出人際交往技能是多么搶手。能源公司PNM Resources網絡安全副總監(jiān)Gary Todd表示：“銷售似的，要能向公司所有不同層級灌輸他們在保護公司安全方面需要做些什么。”

9. 業(yè)務敏銳度

惠普首席信息安全官Joanna McDaniel Burkey希望招募到了解業(yè)務、能以業(yè)務用語交流，并將自己視為商業(yè)人士與技術人員復合體的人才。她認為，網絡安全人員需要此類技能來幫助管理風險，風險管理才是現代安全團隊的主要目標。

安全人員需幫助公司企業(yè)在安全與成本、市場需求及其他業(yè)務指標之間取得平衡。她表示：“我將之稱為管理的兩極與取舍。我們需要照顧到問題的兩面，站在對方的角度思考，這樣才能與利益相關者和諧共創(chuàng)。”

10. 敏捷性

2020年 (ISC)2 網絡勞動力市場研究表明，30%的受訪者表示，由于新冠肺炎疫情，自家企業(yè)僅一天之內就切換到了遠程辦公模式，另有47%的受訪企業(yè)在僅僅數天到一周時間內完成了工作模式遷移(只有16%的受訪者耗費了超過一周的時間。)專家預測，這種快速勞動力轉型不會成為常態(tài)，但他們確實認為技術和業(yè)務轉型速度會繼續(xù)加快。

安全需快速跟上。美國密歇根州奧克蘭郡首席技術官E.J. Widun稱：“新冠肺炎疫情帶來了全新的詐騙與攻擊手法，以及新型工作方式。新冠肺炎疫情向我們表明，我們需要能夠適應，而且是快速適應的人才。”

本文轉載自公眾號“數世咨詢”(ID：dwconcn)。