張如旭

組織需要的安全技能有很多，而且還在不斷增加，專家表示，網(wǎng)絡(luò)攻擊的發(fā)展正在推動安全技能的需求。

Netflix公司DVD業(yè)務(wù)安全負(fù)責(zé)人、美國信息系統(tǒng)安全協(xié)會（ISSA）舊金山分會會長Jimmy Sanders表示，該公司在網(wǎng)絡(luò)安全方面有很多的工作要做，因此他希望帶領(lǐng)的安全團(tuán)隊(duì)可以處理未來的許多任務(wù)，從推進(jìn)企業(yè)的零信任安全策略到保護(hù)云服務(wù)部署，再到部署機(jī)器學(xué)習(xí)解決方案。安全團(tuán)隊(duì)成員必須完成所有這些工作，并能夠隨著業(yè)務(wù)需求的變化、技術(shù)的發(fā)展和安全風(fēng)險的變化，快速地進(jìn)行調(diào)整和升級技能。

Sanders認(rèn)為“適應(yīng)變化”是2021年最需要的網(wǎng)絡(luò)安全技能之一，這與內(nèi)在動力和自我指導(dǎo)工作的能力并駕齊驅(qū)。網(wǎng)絡(luò)安全人才對于企業(yè)來說供不應(yīng)求。

ISSA和Enterprise Strategy Group（ESG）于2020年7月發(fā)布的一份調(diào)查報(bào)告發(fā)現(xiàn)，70 %的ISSA成員認(rèn)為，全球網(wǎng)絡(luò)安全技能短缺已對組織帶來不利影響，而《2020（ISC）2網(wǎng)絡(luò)安全勞動力研究》報(bào)告發(fā)現(xiàn)，64 %的響應(yīng)安全專業(yè)人士在自己的組織中遇到了技能短缺的問題。但是，這樣的統(tǒng)計(jì)數(shù)字只能說明其中的一部分情況。

一些網(wǎng)絡(luò)安全部門的領(lǐng)導(dǎo)者表示，不僅在該領(lǐng)域工作的合格人員數(shù)量短缺，而且在現(xiàn)有的安全專業(yè)人員隊(duì)伍中找到所需的技能也具有挑戰(zhàn)性?？紤]到目前所需的技能，這種情況不足為奇，實(shí)際上，安全專業(yè)人員不僅需要認(rèn)證證書，還需要使用一些關(guān)鍵工具的知識和經(jīng)驗(yàn)。隨著安全工作演變成跨越不同學(xué)科的混合角色，他們越來越需要將多種安全技能與技術(shù)、業(yè)務(wù)和人際交往能力正確地結(jié)合在一起。

勞動力市場分析機(jī)構(gòu)Burning Glass科技公司總經(jīng)理Will Markow說：“安全人員的技能需要轉(zhuǎn)變，網(wǎng)絡(luò)系統(tǒng)構(gòu)成的威脅太多，機(jī)會太多，如果沒有廣泛的知識基礎(chǔ)，就不可能成為一名合格的安全專業(yè)人員?！痹摴驹?019年發(fā)表了一份關(guān)于職位角色混合的調(diào)查報(bào)告。

安全負(fù)責(zé)人表示，2021年最需要的安全技能反映了這一趨勢，他們需要能夠匯集各領(lǐng)域?qū)I(yè)知識的人員，以滿足新興的安全和威脅環(huán)境以及總體業(yè)務(wù)需求。

以下是未來一年最需要網(wǎng)絡(luò)安全技能的十個領(lǐng)域及其原因：

風(fēng)險識別與管理

專業(yè)服務(wù)商Kaufman Rossin公司首席信息安全官Jorge Rey表示，希望安全人員了解企業(yè)及其行業(yè)，這就是他重視安全部門離職率的原因。他說，資深員工帶來了他所需的業(yè)務(wù)見解，而且，這種洞察力與技術(shù)敏銳度和網(wǎng)絡(luò)安全經(jīng)驗(yàn)相結(jié)合，可以幫助他們確定哪些威脅構(gòu)成了最大的風(fēng)險，因此他們可以有效分配有限的資源來提供最佳保護(hù)。

他說：“減輕威脅的最佳方法是了解風(fēng)險，因此企業(yè)需要精通治理和戰(zhàn)略的人員，他們可以確定最佳安全解決方案，可采用合適的技術(shù)或找到合適的外部提供商，或者在內(nèi)部構(gòu)建合適的解決方案?！?/p>

其他組織也將風(fēng)險管理放在了2021年所需技能的首位，Burning Glass公司將風(fēng)險管理列為未來5年需求增長最快的安全技能之一。

Markow補(bǔ)充說：“首席信息安全官需要能夠采取基于風(fēng)險的方法來構(gòu)建安全的數(shù)字基礎(chǔ)設(shè)施的人員?！?/p>

技術(shù)敏銳性

首席信息安全官也在尋求具有全面技能的人員，他們指出，如果不了解構(gòu)成基礎(chǔ)設(shè)施的IT組件，將無法理解風(fēng)險，并且無法為數(shù)字世界制定安全計(jì)劃。

科技廠商Syntax公司的首席信息安全官M(fèi)atthew Rogers表示：“編程技能、系統(tǒng)管理技能和網(wǎng)絡(luò)技能都是必不可少的技術(shù)，如果沒有基礎(chǔ)知識，安全技能就一文不值?！?/p>

普華永道咨詢公司也將技術(shù)敏銳性視為對安全專業(yè)人員至關(guān)重要的技術(shù)，將“數(shù)字構(gòu)建塊”的知識列為有效安全計(jì)劃所需的3個關(guān)鍵專業(yè)知識領(lǐng)域（數(shù)字技能、業(yè)務(wù)敏銳度和社交技能）之一。

因此，普華永道公司網(wǎng)絡(luò)與隱私創(chuàng)新研究所的負(fù)責(zé)人Joe Nocera表示，安全主管希望員工除了了解特定業(yè)務(wù)和安全解決方案的專業(yè)知識之外，還需要了解架構(gòu)、日志、監(jiān)控、身份管理和身份驗(yàn)證。

技術(shù)咨詢和外包商Guidehouse公司網(wǎng)絡(luò)安全解決方案團(tuán)隊(duì)資深主管Jack OMeara是一名資深的首席信息安全官。他說：“我想確保員工對正在部署的特定技術(shù)有實(shí)際經(jīng)驗(yàn)。他們必須了解技術(shù)是如何工作的，因?yàn)槿绻麄儾涣私膺@些技術(shù)，就不會了解網(wǎng)絡(luò)攻擊者如何利用它?！?p>

數(shù)據(jù)管理與分析

安全部門是企業(yè)最大的數(shù)據(jù)生成器之一，在許多企業(yè)中，安全部門也正成為最大的數(shù)據(jù)使用方之一，因?yàn)樗噲D利用信息來推動更有效的保護(hù)策略。

技術(shù)研究機(jī)構(gòu)Gartner公司負(fù)責(zé)安全和風(fēng)險管理的合伙人Brandon S. Dunlap說：“很多企業(yè)正在尋找能夠理解和分析其擁有的大量數(shù)據(jù)工具，而到目前為止，這些工具并不理想。”他補(bǔ)充說，現(xiàn)在越來越多的首席信息安全官雇傭數(shù)據(jù)科學(xué)家、數(shù)據(jù)工程師和數(shù)據(jù)官員。

開發(fā)安全

越來越多的企業(yè)從DevOps轉(zhuǎn)移到DevSecOps，尋求在應(yīng)用程序設(shè)計(jì)和開發(fā)階段添加安全性，以確保應(yīng)用程序更安全。這需要具有開發(fā)和運(yùn)營知識、經(jīng)驗(yàn)的安全人員。

IT人員配置商Robert Half Technology公司總經(jīng)理Jeffrey Weber說：“我們在過去幾年了解到，安全風(fēng)險真正存在于應(yīng)用程序本身，因此我們需要從一開始就將安全性集成到軟件開發(fā)中?！?/p>

Burning Glass公司將應(yīng)用程序開發(fā)安全列為增長最快的技能，預(yù)計(jì)未來5年需求將增長164 %。

云計(jì)算

云計(jì)算的廣泛采用，尤其是企業(yè)對多云戰(zhàn)略的日益接納，增加了對在云部署中具有豐富經(jīng)驗(yàn)并且與企業(yè)安全戰(zhàn)略相結(jié)合的安全工作者需求。Rey表示，希望團(tuán)隊(duì)成員在一個或多個公共云平臺（AWS、Azure、谷歌）以及私有云架構(gòu)方面具有專業(yè)知識。他說：“當(dāng)我想到云計(jì)算安全性時，團(tuán)隊(duì)成員需要對云計(jì)算的特性有一些了解，這是關(guān)于在云計(jì)算環(huán)境中開發(fā)安全的網(wǎng)絡(luò)?！?/p>

自動化

ESG公司在2020年發(fā)布的《網(wǎng)絡(luò)安全專業(yè)人員的生活和時代》調(diào)查報(bào)告中表示，企業(yè)安全可以使用自動化來解決網(wǎng)絡(luò)安全技能短缺的問題。專家一致認(rèn)為，自動化重復(fù)性任務(wù)可以提高效率，同時將員工的精力和時間轉(zhuǎn)移到復(fù)雜工作上。然而，實(shí)現(xiàn)安全功能的自動化需要在實(shí)現(xiàn)自動化解決方案方面具有技能的網(wǎng)絡(luò)安全人員。

Rey表示，首席信息安全官相信自動化可以幫助縮小技能差距，他說，“自動化技能應(yīng)該嵌入到IT或安全領(lǐng)域的任何人身上?！彼硎荆ＭW(wǎng)絡(luò)安全人員能夠使用Python、Power Shell和其他腳本語言來確定可以實(shí)現(xiàn)自動化的任務(wù)。

威脅搜尋

威脅搜尋是一種相對較新的安全策略，正在得到廣泛的關(guān)注。根據(jù)安全解決方案制造商DomainTools公司在2020年進(jìn)行的一項(xiàng)調(diào)查，93 %的受訪者表示，威脅搜尋應(yīng)該是一項(xiàng)首要的安全計(jì)劃，旨在提供早期發(fā)現(xiàn)并降低風(fēng)險。隨著對威脅搜尋實(shí)踐的關(guān)注與實(shí)施日益增長，正推動企業(yè)對完成這項(xiàng)工作所需技能組合的需求。Burning Glas公司將這一技能列為需求增長最快的第4名。

安全技術(shù)服務(wù)商VMware Carbon Black公司首席網(wǎng)絡(luò)安全策略師Rick McElroy表示，這需要網(wǎng)絡(luò)安全人員具有分析技能，對MITER ATT&CK框架或其他此類方法的理解、對企業(yè)技術(shù)堆棧的了解，并且對于尋求問題答案有著強(qiáng)烈的好奇心。McElroy說：“他們必須像網(wǎng)絡(luò)攻擊者一樣思考，想象他們將如何繞過我們的防御？”

人際交往技能

隨著數(shù)字經(jīng)濟(jì)的興起，網(wǎng)絡(luò)安全的作用越來越重要，也越來越突出，得安全專業(yè)人員以更高的頻率出現(xiàn)在企業(yè)高管、董事會成員和員工面前。因此，他們必須能夠與這些不同的利益相關(guān)者合作、溝通和協(xié)商，使這些技能和其他人際交往技能成為熱門商品。能源開發(fā)商PNM Resources公司網(wǎng)絡(luò)安全副總監(jiān)Gary Todd表示：“這幾乎是一項(xiàng)銷售技能，能夠向企業(yè)的所有不同級別人員展示他們需要做什么?！?/p>

商業(yè)頭腦

惠普公司首席信息安全官Joanna McDaniel Burke表示，希望網(wǎng)絡(luò)安全員工能夠了解業(yè)務(wù)，以業(yè)務(wù)術(shù)語進(jìn)行交流，并將自己視為商人和技術(shù)專家。她表示，安全專業(yè)人員需要這樣的技能，以便幫助管理風(fēng)險，這是現(xiàn)代安全團(tuán)隊(duì)的主要目標(biāo)。

安全專業(yè)人員必須幫助他們的組織平衡安全與成本、市場需求和其他業(yè)務(wù)指標(biāo)。她說：“我將其稱為管理的兩極分化與權(quán)衡取舍，我們需要看到問題的2個方面，需要設(shè)身處地為他們著想，這樣才能與利益相關(guān)者共同創(chuàng)造良好的環(huán)境?！?/p>

敏捷性

根據(jù)2020年（ISC）2勞動力研究的調(diào)查報(bào)告，由于發(fā)生了新型冠狀病毒疫情，只有30 %的受訪者表示在一天之內(nèi)將其工程轉(zhuǎn)換到遠(yuǎn)程工作；47 %的受訪者表示，在幾天到一周的時間做出轉(zhuǎn)換；只有16 %的受訪者表示這種轉(zhuǎn)換花費(fèi)了一周以上的時間。專家們并不期望這種快速的工作場所變革會成為常態(tài)，但他們確實(shí)希望技術(shù)和業(yè)務(wù)變革的步伐會繼續(xù)加快。

密歇根州奧克蘭縣首席技術(shù)官E.J.Widun說：“新型冠狀病毒疫情帶來全新的騙局、網(wǎng)絡(luò)攻擊和工作方式，疫情表明，我們需要具有快速適應(yīng)能力的網(wǎng)絡(luò)安全人員?！?/p>