讨论网络安全人才短缺问题、为什么很难找到这个行业的入门级工作,以及我们应该如何推动行业发展。
过去一年,有关网络安全人才短缺的讨论似乎愈演愈烈。根据CyberSeek的数据,仅在美国就有超过66万个网络安全领域的职位空缺,而这还不包括已在该行业就业的近113万人。对网络安全专业人员的总需求估计表明,将近180万人或美国劳动力的1.1%可能从事我们这个行业(相比之下,美国只有100万医生、130万律师和140万会计师)。这些数字令人震惊。
我们不是在谈论需要让更多的人从事安全工作;我们正在缓慢但坚决地开始采取行动。网络安全训练营如雨后春笋般涌现,他们承诺在几周到几个月内对任何人进行再培训,只需少量投资,据他们的营销部门称,毕业后就能找到一份六位数的工作。大专院校也不甘落后:越来越多的院校推出了网络安全、合规和风险管理方面的教育项目,让那些对安全充满热情的人能够获得安全相关学科的文凭、学士学位,以及越来越多的研究生学位。最近,几所大学的研究生院开始开设国土安全和网络防御专业的博士(PhD)课程。在线教育提供商提供的网络安全课程数量也在不断增加,Cybrary等公司围绕网络安全教育建立了快速增长的业务。
专业协会也在不断增加入门级网络安全认证的数量。2022 年,全球最大的非营利性网络安全专业认证协会 (ISC)² 推出了入门级网络安全认证℠。国际灾难恢复协会(DRI)现在提供网络恢复能力协理专业人员(ACRP)认证,而汇集商业分析师的国际商业分析协会(IIBA®)则提供网络安全分析证书(IIBA®- CCA)认证。值得注意的是,这些只是最近在已经很长的安全认证列表中新增的一些例子。
与此同时,美国政府最近宣布了国家网络劳动力和教育战略(NCWES),“旨在解决当前和长期的网络劳动力需求”。看来,我们在培训下一代安全从业人员方面做得很好,很快我们就能缩小所谓的人才缺口。
如果我们看一下众多的教育项目、奖学金、认证和学位选择,就会发现只要对网络安全有些兴趣的人都可以从事这一行业。但深入了解一下现实情况,就会发现情况并非如此。
在网络安全领域找工作是出了名的难。有几十甚至上百个网站、导师计划、资源小组和 YouTube频道,都是围绕着帮助人们进入网络安全行业并找到第一份工作而建立的。甚至还有一大类社交媒体有影响力的人,他们通过在LinkedIn、Twitter和现在的TikTok上针对那些试图转行到安全领域的人,获得了大量粉丝。
我花了几个小时试图搞清楚初级安全从业人员有多少职位空缺,结果令人大失所望。很少有公司愿意招收没有3-5年从业经验的人。正如有人在Reddit上解释的那样:“没有入门级职位。如果有入门级职位,那么就会有人愿意承担降低核心团队能力的风险来指导这个人,并希望他们理解所有概念,成为团队的成功成员。”
在某一时刻,我开始思考:仅在美国,我们就缺近70万名安全从业人员,有如此多的机构在努力缩小差距,培养一支技术过硬的人才队伍,但真正招聘初级职位的公司却寥寥无几,这怎么可能呢?
我对这个问题进行了大量思考,得出的结论是,关于网络安全人才短缺的讨论缺乏批判性反思,因此会产生一些误导性建议。在详细论述之前,请允许我阐述一个有争议的观点:我认为,除了少数例外情况,要想在网络安全领域找到工作,人们必须了解他们将要保护的东西:
有意从事产品安全的人应该了解产品是如何构建的
想专门从事云安全的人应该具备云基础设施方面的经验
希望从事IT基础架构安全工作的人需要了解IT是如何调配、配置等的
与大多数领域不同,网络安全教育是建立在人们已有的基础之上的。一个人不可能保障他所不了解的东西的安全;如果不知道如何阅读和/或编写代码,学习应用程序安全的最佳实践也不会有多大用处。当然,在某些安全领域,没有经验的人比其他人更容易掌握,但无论如何,想进入这个行业的人都需要首先学习底层技术的工作原理,然后学习如何利用这些技术,最后才是如何确保这些技术的安全。
进入安全行业很难,但原因并不是故意“排外”,而是入门级人才供过于求,高级人才供不应求。
不断变化的IT基础设施
网络安全的重要性与日俱增,这是有充分理由的:安全事件的数量在增加,保险费在上涨,攻击(尤其是勒索软件)的威胁和规模难以估量。与此同时,客户环境的日益复杂、SaaS的兴起、云技术的采用以及远程办公的出现,都大大增加了有效保护企业数据的难度。再加上来自监管机构的压力、诉讼的威胁和安全从业人员的高度倦怠,安全团队显然会从额外的帮助中受益匪浅。
大家挤破头想进入网络安全行业却举步维艰,其原因与如此多的安全团队被他们所能处理的更多工作所淹没的原因如出一辙。网络安全人才短缺不仅是量的问题,也是质的问题。
在过去的十年中,IT基础设施发生了翻天覆地的变化,虽然许多IT的硬件组件已经被抽象化,但它们并没有消失。数据库、数据中心和网络的交付方式发生了变化,需要确保它们安全的方式也发生了变化。例如,云的兴起就带来了一个难题:一方面,如今很少有人了解传统数据中心的组成部分是什么,以及它们是如何协同工作的。另一方面,公共云变得如此复杂,同样很少有人了解应该如何安全配置。
现在,一切都在大规模化。公司在全球各地设有办事处,与数以万计的供应商合作,并从数千家技术公司购买软件。员工从家里访问公司信息,通常是从个人工作站登录。由于 SaaS 工具数量众多,任何企业都无法全面了解所有可以访问其数据的应用程序。此外,由于技术现在已被视为业务开展的核心差异化因素,每家公司都已成为一家技术公司。
为什么我们可能不需要培训/聘用70万名网络安全专业人员?
当我们面临大规模管理系统、流程和技术控制的需求时,很明显,增加人手并不能使安全问题消失。要满足组织当前的安全需求,不能简单地利用我们以前依赖的技能、工具、系统和流程。我们也不能寄希望于供应商为我们提供所有答案:虽然安全产品发挥着重要作用,但公司购买的每种工具都需要配置、微调和定制,以适应独特的客户环境,为此,我们需要安全从业人员。
面对这些挑战,我们看到越来越多的网络安全问题正在通过采用工程方法来解决。我们看到,过去需要一级安全分析师花费大量时间工作的许多人工流程,正在由安全工程师实现自动化,这些工程师既了解安全问题,又能设计和构建自己的解决方案。
随着安全与软件工程越来越相似,我明显感觉到,需要在全球范围内雇佣数百万安全从业人员的想法是建立在这样一种假设之上的,即我们将继续按照50年前的方式来做安全工作:雇佣数十人监控、分流和分析安全工具产生的不断增长的警报流。今天不同的是,我们拥有了更多的工具,十年前甚至五年前都没有的工具。为什么我们不在安全团队中配备检测工程师,使检测逻辑与组织相匹配,从而减少误报的数量?我们为什么不配备自动化工程师来创建流程手册并实现人工流程自动化?我们为什么不让安全工程师根据组织的需要,组建并在必要时构建一个完全量身定制的安全堆栈?
鉴于最近人工智能和机器学习的进步让安全从业人员的工作变得更加轻松,所有这些都显得尤为重要。随着时间的推移,我相信人工智能在编写威胁检测规则方面会越来越好,从而更容易在客户环境中发现威胁并定制检测逻辑。如果两名工程师和两名事件响应者可以完成二十名分析师的工作,那么我们最好聘用能够为组织问题制定解决方案的工程师和事件响应者。与其让70万人接受使用工具的安全培训,我们还不如让更少的人精通基本原理,并在自己的岗位上高效工作。
让更多工程师参与网络安全工作
我以前曾讨论过为什么我们需要寻找让软件工程师从事网络安全工作的方法。“由于安全领域的一切都在向代码化发展,软件工程可能是很少被讨论的网络安全人才渠道之一。有些人认为,向工程师传授安全知识可能比向安全专业人员传授软件工程知识更容易。虽然我不是判断这种说法正确与否的合适人选,但我已经看到了足够多的软件工程师转型为安全从业人员,因此我知道这条道路是真实存在的。
挑战在于让软件工程专业的毕业生知道网络安全是一条可行的职业道路,为他们提供正确的培训(在计算机科学课程中增加深层次的网络安全课程),并为他们设计有意义的职业道路,让他们在网络安全领域找到自己的方向。这就提出了一个新毕业生能得到的许多入门级网络安全工作的报酬问题:如果一个人在软件行业得到的第一份工作的报酬比他们在安全行业得到的任何工作的报酬都高出20-40%(如果他们能得到面试机会的话),那么让软件工程师从事安全工作的整个想法就会破灭”。
聘请软件工程师担任安全职位的一个有力论据是,他们几乎可以立即开始增值。很少有公司愿意聘用初级安全从业人员,其原因与同样很少有公司愿意冒险聘用初级产品经理的原因类似,他们的决策会带来风险,而且需要在入职培训上占用时间。产品管理和安全都是影响巨大的工作,反馈周期很长:公司可能要过好几年才会意识到产品经理(或安全从业人员)做出了错误的决定,而那时为时已晚。雇用在该领域没有良好业绩记录的人是有风险的,因此公司都在想办法降低这种风险。另一个起作用的因素是,培训一名新的安全从业人员需要花费很长的时间和精力;团队需要知道他们要放慢脚步,而且新人在一开始不会带来太多(或任何)价值,愿意将其他计划放在次要位置。虽然软件工程师可能缺乏安全技能,但他们几乎可以立即开始增加价值,帮助安全团队实现流程自动化、开发集成,甚至构建自己的内部工具来满足组织的独特需求。
提高现有网络安全人员的技能
我们今天在安全领域遇到的问题,不能仅靠招聘更多的入门级人才或让工程师将他们的职业转向安全领域来解决。虽然我们确实需要为新人才在行业中找到自己的位置开辟一条道路,但作为一个行业,我们的首要目标应该是提高已经在网络安全领域工作的人员的技能。
我们面临的挑战之一是,虽然有许多人受雇于该行业,但并非所有人都具备成功保护其组织的技能。安全是复杂的,要应对这种复杂性,我们需要了解安全学科基本原理的人,需要具备工程思维的人,需要了解技术是如何运作的,以及技术是如何被颠覆去做它本不应该做的事情的人。仅仅查看供应商制作的仪表盘和分流几乎没有背景的警报是不够的。当事件被触发时,人们需要全面了解环境中发生了什么、攻击者是如何侵入的,以及如何控制漏洞并从中恢复。
网络安全供应商提供了安全从业人员可以利用的工具,但仅靠工具并不能拯救我们。我们对合规性的关注也是如此:合规性是实施基本安全控制的强大动力,但它还远远不够。如果没有了解自身环境并掌握欺骗、威胁猎取、检测工程、事件响应、安全工程等技能的成熟安全专业人员,我们就无法真正加强组织的安全态势。
问题的一部分在于高质量的安全教育费用昂贵。最好的实用培训提供商之一SANS Institute 每门课程的收费接近10,000美元,很少有安全从业人员能自掏腰包支付这笔费用。公司为员工拨出充足的预算,让他们跟上行业的变化是合情合理的,但这种情况似乎并没有发生。我听说,很多企业要么从来没有,要么最近削减了专业发展方面的开支。
紧跟趋势并学习新技能的安全专业人士可能会发现,Black Hat和Defcon以及BSides、ACoD、Blue Team Con和其他以从业人员为中心的活动中的培训和活动都非常有意义。实用的夺旗(CTF)活动也很不错。此外,如果不夸夸Antisyphon Training(提供经济实惠(包括按需付费)的培训)、Recon Infosec及其极具教育意义的每周四防御网络广播,那就太说不过去了。
推动安全供应商做得更好
在解决安全人才短缺的问题上,安全厂商可以发挥重要作用。
首先,它们需要能够大规模管理其工具。目前,很少有产品能够以代码的形式更新配置、在数百个租户之间同步设置,或将工具与CI/CD管道集成。越来越多的产品采用API优先的构建方式,但即使在这一方向上也有发展空间:供应商仍在对其API访问进行把关,或看到其 API与网络应用程序中的功能相比落后。
安全厂商帮助解决安全人才短缺问题的另一个途径是,让那些不在大型企业工作的从业人员也能使用他们的工具。由于需要通过资格审查、达到最低消费额以及其他限制,许多业内人士无法尝试不同的产品。正如我之前所解释的,安全从业人员实际上被剥夺了学习使用他们工作所需的工具的机会,如端点检测和响应、身份管理、资产管理、安全自动化、协调以及其他已在整个行业普及的工具。这就造成了一个恶性循环:除非你有使用X产品的经验,否则你就无法被录用,而除非你已经在这个行业,否则你就无法获得使用该工具的经验。作为供应商,我们可以做得更好。
网络安全人才短缺是真实存在的,尽管我们需要的解决方案比让应届大学毕业生进入网络安全行业要细致得多。需要做的事情有很多,包括接受工程思维,提高目前在该行业就业的人员的技能,使他们能够应对该领域日益增加的复杂性。我甚至还没有谈到需要增加多样性和雇佣来自不同行业的人员。
尽管一些调查显示,软件开发技能对于安全从业人员来说并不那么重要,但我认为这不对:除非从事这项工作的人员对技术的基本运作原理有扎实的了解,否则我们怎么能设计出有效的安全措施呢?如果负责安全工作的人不了解代码,我们如何确保一切代码的安全?如果安全从业人员不了解模型是如何工作的,我们如何确保人工智能工作负载的安全?(我们当然不能让他们从社交媒体“网红”那里学习)。我们需要有管理IT基础设施经验的人来确保IT安全,需要懂得如何构建产品的人来确保软件产品的安全。
此外,我们需要实现安全操作的自动化,而自动化不是买来的,而是需要自己去做的。如果没有扎实的代码编写技能,各种无代码和低代码解决方案所能达到的效果将始终有限。此外,选择解决问题的最佳方案并不总是与选择软件供应商同义:有时,利用开源项目或在内部构建工具更有意义,但要考虑这些方案,安全团队需要掌握正确的技能。
当考虑如何保护未来时,我们要牢记,我们的对手具有不同水平的技能、动机和经验。所谓的“脚本小子”就像只依赖工具的安全团队,很可能开箱即用的产品就能阻止他们。但是,经验丰富、动机强烈的攻击者就需要由同样或更熟练的防御者来对付了。
原文链接:
https://ventureinsecurity.net/p/cybersecurity-talent-shortage-not
往期回顾
点击阅读原文,体验网安最强搜索引擎
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...