怕失业？这 5 项新型未来网络安全技能和职业机会，你了解吗？

网络安全的未来是什么样的？

事实上，无论我们说什么，这个问题都没有答案。一些所谓的 "预测 "纯粹是为了自己的利益，另一些则过于乐观（或悲观，取决于你读到了什么），即使没有任何隐藏的目的。

对于未来，我并不比任何人都有更多的答案，但我认为有一些关键的差距需要以某种方式加以解决。其中的一些差距需要当今不易获得的技能。

在本文中，我将讨论未来网络安全的五种技能和潜在职业发展方向。这并不是要预测未来，而是要讨论缺少什么，如何弥补这些差距，弥补这些差距需要哪些技能，以及人们如何才能获得这些技能。

未来网络安全的 5 项技能和潜在职业道路

网络心理学或安全行为心理学

网络安全最关键的方面之一是找到将其无缝融入人们生活和工作方式的方法，而不影响他们的工作效率和有效工作的能力，也不要求他们改变工作方式。

我发现一个有趣的现象，几十年过去了，业界仍然认为编写几十页甚至几百页的政策并强迫人们 "遵守 "这些政策是建立安全文化的正确途径。尽管决策科学和行为心理学等知识领域已经告诉我们，要实现持久的行为改变，我们需要了解人们的思维方式，并利用这种了解来制定他们可能接受的系统和流程。

要想实现行业发展，我们就必须改变对安全的看法。实际上，这意味着：

培养下一代安全从业人员的学校应该开设网络心理学或安全行为心理学课程。安全认证提供商也应该这样做，认识到仅有技术技能不足以保障组织的安全。
安全领导者和从业人员应努力提高自己在行为心理学方面的技能。Daniel Kahneman、Robert Cialdini、Dan Ariely 和 Daniel H. Pink 等人的著作应列入他们的阅读清单。从事安全工作的每个人都应该了解锚定、光环效应、波段效应、确认偏差等概念。
我们需要学术界有更多的研究人员专注于研究网络心理学这一课题，并了解我们作为一个行业可以改进安全习惯的方法。

在过去，安全手段的实施往往会增加摩擦和流程，给大部分人的工作带来不便。这反过来又鼓励人们寻求变通办法以便更有效地完成工作。有了对人类运作方式的了解，我们就必须推动行业发展，让安全变得无摩擦。

好消息是，我们正在取得良好进展。像 Jason Chan 这样的人一直在倡导为软件工程师构建安全默认设置的理念(参考 guardrails and paved roads 这一条视频)。如果以安全的方式完成任务中所产生的摩擦将大大少于非安全方式，那么仅这一点就能比任何培训更有效地促进安全行为。

以下是一些供对网络心理学感兴趣的人使用的资源：

Mary Aiken,教授的作品，包括她的著作《The Cyber Effect: An Expert in Cyberpsychology Explains How Technology Is Shaping Our Children, Our Behavior, and Our Values--and What We Can Do About It》
Daniel Kahneman的《Thinking Fast and Slow》
Nudge：Richard H. Thaler 和 Cass R. Sunstein 合著的《Nudge: Improving Decisions About Health, Wealth, and Happiness》
Robert Cialdini的《Influence》
Dan Ariely的《Payoff: The Hidden Logic That Shapes Our Motivations》
Daniel H. Pink的《Drive: The Surprising Truth About What Motivates Us》
Tali Sharot的《The Optimism Bias: A Tour of the Irrationally Positive Brain》

网络安全用户体验

虽然深入了解人类的心理和行为至关重要，但这还不够。我们必须找到一种方法，利用这种理解来塑造网络安全解决方案的工作方式，以及它们如何融入人们的日常生活。

有几个方面：

对于终端用户来说，安全应该是无形的。我们应该尽可能地寻找方法，将复杂的安全问题从人们的日常生活中分离出来。与其培训人们如何避免犯错，不如设法提供设计安全的预置工具（库、配置等）。安全从业人员忽视用户体验是错误的，我们需要（与用户）进行更广泛的交流，才能摆脱这种状况。我们总是可以通过策略来执行安全手段，然而我们应该做的是通过良好的用户体验来构建安全系统。
对于企业领导者来说，安全问题应该通俗易懂。我认为，我们无法以人们能够理解的方式传达安全问题，这既是一个沟通问题，也是一个用户体验问题。安全领导者忽视用户体验也同样是错误的，更多的沟通和交流是必要的。

Source: Elad Erez

对于安全从业人员来说，安全应该易于配置和维护。从本质上讲，安全工具必须非常深入，而深入通常意味着复杂。几十年来，安全解决方案的购买者不得不阅读厚厚的用户手册，并寻求专业顾问的帮助，以便使用他们购买的工具。随着时间的推移，随着厂商推出越来越多的新功能，客户的使用体验和效益会迅速变差，因为没有人有时间去手动翻阅 50 多种工具，探索其用户界面中的新功能。安全厂商都有忽视用户体验的问题，我们需要再次进行更广泛的讨论，以克服这一问题。

在厂商方面，尽管有很多例子表明网络安全在很大程度上与出色的用户体验有关，但用户体验在很长一段时间内都被忽视了。例如：

Duo Security 通过消除 MFA 实施过程中的摩擦和不便，建立了数十亿美元的业务。
Thinkst Canary 通过在用户体验上下功夫，并使其解决方案易于部署，成功实现了约 2,000 万美元的年收入。
Wiz 成为云安全领域的行业领导者，很大程度上是因为其良好的用户体验和快速实现价值的能力。

安全领域的初创企业逐渐意识到，不仅消费类产品要注重良好的用户体验，B2B 解决方案也应如此。良好的用户体验价值不菲。

对从业人员而言，他们对 “用户体验是关键” 这一点的认识要慢得多，但我相信这是不可避免的。我们还有很大的改进空间。这一次，我认为我们缺乏发现用户的技能。大多数安全从业人员都认为自己看待世界的方式才是正确的，他们不去了解他人的工作方式和需求，而是专注于构建自己认为需要的东西。这种现象也将继续改变。正如有人在我的 LinkedIn 帖子上评论的那样："是时候将 "安全意识 "转变为 "安全行为和用户体验 "了。我觉得这说得再好不过了。

以下是为对网络安全用户体验感兴趣的人提供的一些资源：

“The Design of Everyday Things” by Don Norman
UX Daily: The World’s Largest Free Online Resource on UX Design
“Customer love: a recipe for building winning cybersecurity startups” from Venture in Security
UX and Usability articles from Nielsen and Norman Group
IDEO: Shopping Cart Design Process

网络安全产品管理

我喜欢引用 Netflix 前产品副总裁吉布森-比德尔（Gibson Biddle）的话，他说，产品经理的工作就是以难以复制、提高利润率的方式取悦客户。换句话说，就是要考虑到数以百计的投入，决定需要做什么，在所有看起来必要的事情中划分优先次序，并在管理股东预期和团队团结一致的同时把事情做成。

产品经理在当今技术世界中的作用怎么估计都不为过。每一个成功的技术产品背后都有一个由产品负责人领导的团队（虽然他们的头衔可能各不相同，但在大多数组织中，产品负责人的角色性质是相似的）。据我观察，网络安全行业尚未充分认识到产品管理的重要性，无论是对安全团队还是对安全厂商来说都是如此。

两年多前，我写过一篇题为"为什么安全团队应该开始招聘产品经理"的文章，在我看来，这篇文章的时效性非常好。我认为："我们需要一种这样的人才，他们能够将日益复杂的网络安全技术与正在和将要受到安全影响的人们的问题、习惯和需求联系起来。我们需要了解业务目标、目的以及网络安全的人才，以便对技术团队正在开展的工作进行优先排序，并将重点放在真正重要的事情上。我们需要在与用户交谈时不使用专业术语或缩写的人，需要用简单易懂的使用案例进行交谈的人，需要提出有力的问题而不是空谈的人。我们需要的是具有同理心和好奇心的安全专业人员，而不是只会引用政策和程序的专家。我们需要的是能够成为“持续发现”专家的人才，就像是Teresa Torre的《Continuous Discovery Habits: Discover Products that Create Customer Value and Business Value》著作在安全行业和领域的一种实践。我们需要将自己的工作视为合作伙伴而非评判者的安全行业从业者，也需要将自己的工作视为业务推动者而非“业务斗争“的安全人员。在软件开发中，产品经理是业务与技术之间的翻译官。我不知道他们在网络安全领域会被称为什么--安全冠军、安全所有者，或者其他任何适合的称呼。我们需要这样的人。我们需要的人才，专注于洞察全局，识别正确的利益相关者，让他们携手合作，并使技术与业务保持一致。以前是这样，今天依然如此——BISO（业务信息安全官）的角色与 PM 非常相似，这一想法在安全领域逐渐变成现实。

不仅安全团队将受益于团队中的项目经理，而且我认为我们也将开始看到更多的安全厂商聘用专业的产品负责人。安全领域严重缺乏既了解安全又有其他行业工作经验的产品经理。我们在厂商方面没有足够的可靠的产品人员，原因很简单：大多数初创公司很早就被收购了，远在他们能够建立强大的产品功能之前，而大多数大公司行动太慢，无法成为创新的温床。Vanta、Data、Wiz、Abnormal 等快速成长的成功公司很可能就是产品管理的未来。

以下是为对网络安全产品管理感兴趣的人提供的一些资源：

“Why security teams should start recruiting product managers” from Venture in Security
“Challenges of building products in cybersecurity, useful metrics, and ways to focus on what matters” from Venture in Security
“Solving problems when nobody will admit they have one: practical advice for building products in cybersecurity” from Venture in Security
“Continuous Discovery Habits: Discover Products that Create Customer Value and Business Value” by Teresa Torres
“The Mom Test: How to talk to customers & learn if your business is a good idea when everyone is lying to you” by Rob Fitzpatrick
“Inspired: How to Create Tech Products Customers Love” by Marty Cagan

网络安全智能

我认为，未来安全领域最热门的工作之一将是网络安全与数据科学/机器学习/人工智能的交叉领域。很多安全问题都是分析大量数据的问题，而很少有安全从业人员具备处理数据的技能。虽然安全分析师、安全工程师和检测工程师等可以使用安全工具搜索数据，但能对数据进行大规模分析的人却相对较少。

另一方面，精通数据的人通常不了解网络安全。数据科学家可能擅长从大型数据集中提取见解，但他们对这些见解的安全含义却知之甚少。为了让他们有效地将数据模式转化为有意义的安全情报，他们需要学习网络安全的基本知识。

无论人工智能能否神奇地解决所有问题，安全领域显然将继续利用数据科学、机器学习和人工智能。在这个世界上，安全的重要性与日俱增，而我们所知的许多安全问题正在变成数据问题，因此，在这些领域的交叉点上拥有专业知识的人将会得到丰厚的回报。

以下是为对网络安全与智能感兴趣的人提供的一些资源：

The Role of Machine Learning in Cybersecurity
“Why AI and machine learning are cybersecurity problems — and solutions” by EY
来自传统教育机构和在线教育机构的大量课程

网络安全经济学

当我们谈论网络安全的重要性时，往往会觉得它之所以重要，更多的是为了 "做正确的事"，而不是为了实现某个具体目标。现实情况是，安全存在于更广泛的经济背景中，因此它必须能够传达其经济价值。

从根本上说，经济学是一门研究选择的学科，它分析并优化稀缺资源的分配，使投资回报最大化。在我看来，没有什么比经济学更能为不确定情况下的决策提供理论基础了。尤其是网络保险，它将对未来的安全产生越来越大的影响，因为它是唯一一个与安全相邻的激励机制完全一致的领域：保险公司对减少漏洞非常感兴趣，因为这可以减少他们必须支付的索赔金额。

如果没有能够理解安全经济学的人才，我无法想象网络安全的未来。高压、高效决策、博弈论、统计学和其他经济学方面的知识将为行业的发展提供信息，因此我们需要能够从经济学角度阐述安全问题的人才。

以下是为对网络安全经济学感兴趣的人提供的一些资源：

“Cyber Security Economics” - open online course by TUDelft
“The Economics of Cybersecurity: A Practical Framework for Cybersecurity Investment” by the AFCEA International Cyber Committee

未来不会自己来临，而是被人们创造

我认为，大多数关于未来的预测之所以会出错，首要原因是预测者假定未来将基于某种趋势，有时甚至是一种必然。事实是，未来不会到来，未来是创造出来的。要想让明天的安全与今天的安全有所不同，我们需要倡导新方法的人，也需要引领实施这些新方法的人。

在这篇文章中，我的目的是描述一下我认为未来网络安全需要的技能。这些技能是否都能对应一种职业？时间会证明一切。即使这些技能与某种职业得到了对应，也并不意味着这些领域会有大量的工作机会。例如，安全工程（已经存在，但在行业中分布不均）和隐私工程（卡内基梅隆大学的硕士课程正在为 Google、Meta 和其他几家公司的工作做准备，因为这一职位尚未被广泛出现）。

在我看来，安全显然别无选择，只能利用其他学科的知识体系，例如决策科学、行为心理学、以用户为中心的设计、产品管理、经济学、软件工程和数据科学等等。如果我们做不到这一点，我们只能继续试图重新开始，绕着圈子解决其他行业几十年前就已经解决的问题。我当然希望这种情况不会发生。

原文链接：

https://ventureinsecurity.net/p/5-skills-and-potential-career-paths

关注「安全喵喵站」，后台回复关键词【报告】，即可获取网安行业研究报告精彩内容合集：

《网安供应链厂商成分分析及国产化替代指南》，《网安新兴赛道厂商速查指南》，《2023中国威胁情报订阅市场分析报告》，《网安初创天使投资态势报告》，《全球网络安全创业加速器调研报告》，《网安创业生态图》，《網安新興賽道廠商速查指南·港澳版》，《台湾资安市场地图》，《全球网络安全全景图》，《全球独角兽俱乐部行业全景图》，《全球网络安全创业生态图》

话题讨论，内容投稿，报告沟通，商务合作等，请联系喵喵 [email protected]。