35岁刚刚进入职业上升期,薪酬年年涨……吸引 IT 人才进入信息安全市场的,不仅仅是超过足球运动员的职业寿命预期和持续成长的刺激挑战,还包括类似极限运动的 “酷劲”。
2020 年全球企业面临的安全威胁呈现组织化、复杂化、武器化、智能化、常态化趋势,而企业则面临缺规划、缺预算、缺人才、缺运营的四个 “大坑”,其中又以人才短缺问题最为严重。
未来几年信息安全是 IT 市场为数不多的能保持 20% 以上高增长的,35 岁也不裁员的 “潜力股”,对资本和各领域优秀人才都有着极强的吸引力。
但是,信息安全人才市场的人才荒还在延续,同时,这个行业的人才流失问题也相当严重。这两个问题的叠加使得信息安全人才短缺的问题更加严重,同时也说明很多信息安全企业的人力资源部门对新兴安全技术人才的职业特点、职业满意度和诉求缺乏理解,对安全人才的职业规划和发展也缺乏有效引导和激励。
此外,对于网络安全行业从业者或有志进入这个行业的优秀人才来说,选择什么样的安全职场发展路径也是一件颇为头疼的事情,如果你翻出 NIST 网络安全人才发展框架,一定会被里面的数十种安全岗位和 500+ 的技能库绕晕。
我们不妨跳出短期人生小目标的困扰、不谈薪酬待遇的一城一池,从安全细分市场/岗位的成长性以及岗位满意度两个纬度来标定或规划我们的职业发展方向。
热点趋势方面,可以参考安全牛的《2020年十大网络安全趋势》一文。
安全岗位满意度方面,我们可以参考下面这个Exabeam的安全行业岗位满意度调查结果(调查样本来自481位安全从业人士)。
搞安全不是请客吃饭,安全从业人员对安全职业很满意(很看重)的要素:
安全岗位的满意度指数:冰火两重天
很酷的网络安全岗位TOP20
虽然安全市场规模高速增长,人才炙手可热,但职场规划也要未雨绸缪,提前布局。安全职场是一个高速旋转的摩天轮,如果你不懂得及早离开舒适区,挑战 “酷职业”,最后可能 “哭” 的机会都没有。
基于市场 “钱景” 与成长性、职业吸引力和岗位满意度三大纬度,我们大致可以锁定一些值得留意的,市场、雇主和员工都青睐的 “酷岗位”。以下安全牛根据多份安全职场调查报告,以及SANS研究所推荐名单,为大家推荐下面这个安全行业 “酷岗位” TOP20 名单:
“酷岗位”TOP20
- 威胁猎手
- 系统、网络和/或 Web 渗透测试员
- 网络/终端取证分析师
- 事件响应员
- 网络和安全架构师
- 恶意软件分析师
- 软件测试工程师
- 网络安全分析师/工程师
- 媒体搜证分析师/司法计算机犯罪调查员
- CISO/ISO 或安全总监
- 安全运营中心分析师
- 漏洞研究员/漏洞利用程序开发者
- 安全审计和风险管理专家
- 安全软件开发者
- 移动安全经理
- 应用程序渗透测试员
- 灾难恢复/业务连续性分析师/经理
- 技术总监和副CISO
- 入侵分析师
- 物联网/关键基础设施安全总监
以下我们挑选部分岗位进行介绍和点评:
威胁猎手
每天都能感受狩猎的刺激!每个案例都是如此独特!
工作职责描述
分析攻击者如何渗透基础设施,识别已经被入侵的系统/网络。调查复杂攻击留下的痕迹需要取证专家不仅精通最新取证、响应和逆向工程技术,还要熟悉最新的漏洞利用方法。
酷点
“事件响应与威胁捕捉团队,是识别和观察恶意软件指标与行为模式的关键,可以产生准确的威胁情报,用以检测当前和未来的入侵。”
价值亮点
威胁捕手在公司与黑客/恶意软件之间增加了一个重要的安全防御维度。
过去两年间,在安全运营中引入了威胁追捕职能的公司企业,入侵到检测的耗时从数月缩短到了数周。成功捕捉威胁的关键在于终端&网络分析技术与威胁情报的融合。
系统、网络和/或 Web 渗透测试员
在安全防御实战化的今天,企业内部的 “白帽子” 渗透测试专业人士是企业培养 “攻击性思维” 和主动式防御的关键环节。
工作职责描述
找出目标系统、网络和应用程序中的安全漏洞,帮助企业巩固安全。通过识别出哪些漏洞可被利用而导致业务风险,渗透测试员能提供最紧迫问题的重要洞见,并对如何排序安全资源给出合理建议。
酷点
“通过像坏人一样思考和行动来帮助巩固安全。”
“没有什么比突破那些 ‘万无一失的安全防线’ 更有成就感了。凭借你的技术和创造性解决问题的能力,闯入并找到漏洞,抢在亡羊之前补牢。”
价值亮点
“你才是那个企业网络安全与否的终极确认者。你需要用过人的智商、毅力和创造力来突破企业网络安全的每一道防线,找出可利用漏洞的位置,以便能够在坏人染指之前自补。道德黑客/渗透测试人员是当下炙手可热的顶级网络安全人才。”
CISO/ISO 或安全总监
领导安全运营仍然是信息安全领域中最重要、最酷的工作。
工作职责描述
当今首席信息安全官的职责不再与以往相同。尽管仍然是技术人员,今天的 CISO/ISO 必须拥有商业洞察力、沟通技巧和面向过程的思维方式。他们需将法律、监管和企业自身要求与风险承受、预算限制和技术采纳结合起来。
酷点
“官大一级压死人。”
这些人决定在哪里修建 “瞭望塔”,园区设置多少巡查员,哪里可以安全生火野炊,以及要遵从哪些交战规则。
价值亮点
“你可以极富创意地影响公司的整体安全,为提升公司安全做出直接贡献。你是企业安全的顶级玩家,CEO 唯一信任的人。”
“这一职位通常向高层报告,能够看到并影响大局。你的工作伙伴包括实体安全部门、IT 部门、业务部门,甚至国家安全和相关司法机构。”
“你就是大老板,可以决定谁做什么、谁得到什么,激励你的手下,然后与他们分享成果。你每天都在产生切实的影响。”
安全软件开发者
很酷的头衔,目前还属于极为珍稀的 “物种”,如果说 DevOps 和敏捷化是少数头部企业才能玩转的法拉利赛车,那么优秀的 DevSecOps 安全开发者就意味着你需要给法拉利装上防弹钢板和全新引擎,不降低其圈速,而且把引擎的寿命从 400 公里提高到 40 万公里,难度可想而知。
工作职责描述
注重安全的软件开发者,在安全软件开发方面超越所有开发人员,实现不含逻辑设计漏洞和技术实现缺陷的安全编程技术。此类专家最终负责确保客户软件没有可被攻击者利用的漏洞。
酷点
“你得确保东西能够有效运行,而且在压力下不会崩溃。”
“需要高超的编程造诣,堪称真正的高级开发者。”
价值亮点
再好的安全架构或策略都 “遭不住” 编写糟糕、满是漏洞的不安全软件。如果在最初开发的时候就注重产品的安全,又何须事后返回去添加安全措施。
代码级安全是应用安全的根本所在。这些人是撑起当今软件世界的中流砥柱。