在一个安全与技术世界受到冲击的时代,即使面对技能短缺,网络安全专业人士也不能安于现状。
一、自动化及编排
两大趋势正在推动企业实现全面安全自动化。首先,自动化已经被当做一种方法来量化事件响应和安全分析来应对不断增加的威胁。其次,随着DevOps和软件的持续交付在很多组织机构中变得越来越重要,IT自动化面临的风险大大增加。这要求安全团队将安全控制直接建立在这些自动化流水线中,跟上自动化的速度,以免把工作搞砸。
Dimension Research最近代表Tripwire进行的一项调查显示,63%的组织机构最近在安全任务自动化方面进行了投资,88%的组织机构表示他们还没有相关计划。这意味着安全专业人员将需要及时了解编排所有这些自动化系统的细节,以进行全面控制,并提高安全操作的效率。
二、数据科学
网络安全数据科学家这一职位,在求职网站的搜索中激增。随着组织机构越来越严格地使用威胁情报、威胁建模和风险指标来指导其安全实践,数据科学家不仅能够帮助企业,也能够帮助安全供应商采用数据驱动的安全方法。尽管在很多情况下,他们都是正在学习安全知识的专业数据科学家。那些正在开始打磨自己的数据科学技能,并具备扎实专业基础的安全专业人士,已经给自己配备了IT行业中两个最热门的技能。
数据软件公司Hortonworks的数据科学家和网络安全产品经理Simon Elliston Ball表示:
数据科学是一种方法和途径,一种可以通过训练机器来学习专家,帮助安全从业人员量化和自动化他们行为的思维模式,和一种增加这些专家的手段。 |
三、编程
安全大佬们更多地开始寻找具有编程能力的安全人员,甚至是那些可以对其进行安全基础方面培训的程序员。首先,这对DevSecOps环境中的应用程序安全性至关重要,因为实现前者需要对安全性和开发功能进行协调。
Comcast公司 DevSecOps转型高级主管Larry Maccherone表示:
我只聘用开发人员,我不会以他们具备某些安全资质和背景作为聘用条件。我可以在短时间内教会他们安全方面的知识,但我无法轻松教会他们如何以能够获得安全团队与开发人员 “信任” 的方式与开发人员交流。 |
但最重要的是,很多组织机构需要具有编程专业知识的安全专家,他们可以帮助企业顺利整合并构建支持安全自动化的定制工具。随着组织机构转向架构即代码的方式来管理系统,安全工作需要保持同步。
四、隐私专家
ISSA调查的网络安全专业人士中,近四分之一的人表示,他们认为自己没有接受过合适的数据隐私培训。随着GDPR法规在全球范围内实施,无论这些企业的总部在哪里,保护其客户、员工和合作伙伴的隐私对董事会和高管层越来越重要。这需要安全专业人员比以往任何时候都更紧密地与法律、审计人员和人力资源部门合作。这也意味着,许多专业人士需要加倍努力,确保他们了解可能影响日常工作的所有隐私和合规层面的内容。
五、安全云管理
Gartner专家表示,在企业大规模转向云计算之际,提升云安全能力是2019年安全与风险管理的七大趋势之一。Gartner表示,随着企业不断进行实验云和边缘云部署,安全团队的压力也越来越大。这意味着组织机构和安全专业人员需要尽快开始培养云安全技能。
Gartner研究副总裁Peter Firstbrook表示:
企业必须投资安全技能和管理工具,建立知识储备,以跟上云开发和云创新的步伐。 |
六、理解业务
根据ISACA的研究,网络安全团队中最宝贵的员工是,技术熟练,并了解企业运营以及知道网络安全如何满足企业更大需求的人。
调查显示,49%的安全大佬认为现在网络安全专业人士身上最缺乏的能力是——理解业务的能力。
这是最难培养的技能之一。这需要建立联盟、深入了解业务运作及其垂直领域——例如,如果企业上市了,花时间研究公司的年度报告,积极倾听利益相关者和高层管理人员的意见,了解他们的策略和痛点。努力做这些工作将会得到非常大的回报。
一个人如果能够成功地运用他或她的网络安全技术知识,有效地提升业务目标,并且能够将这种联系清晰运用到组织机构的不同层面,那么他或她在该领域将拥有光明的未来。 |
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】