信息化觀察網(wǎng)

據(jù)估計(jì)，目前美國(guó)有50萬(wàn)個(gè)網(wǎng)絡(luò)安全的職位空缺，其中包括了16.6萬(wàn)個(gè)信息安全分析師職位--這也是該行業(yè)中最常見(jiàn)的職稱(chēng)。

并且這些數(shù)字可能還在增加當(dāng)中。

根據(jù)普華永道的全球數(shù)字信任洞察報(bào)告，51%的受訪高管表示，他們計(jì)劃在未來(lái)一年增加全職的安保人員，其中有22%的人計(jì)劃增加5%或更多的人員。

企業(yè)團(tuán)隊(duì)仍然需要安全分析師、安全工程師和滲透測(cè)試人員--所有這些角色在許多安全部門(mén)都是必不可少的。然而，現(xiàn)如今，組織也正在尋求用其他職位來(lái)擴(kuò)大他們的安全級(jí)別，開(kāi)拓新的角色，并增加新的頭銜。

在這里，專(zhuān)家們提出了他們對(duì)2021年IT安全的八個(gè)關(guān)鍵角色的看法。

身份和訪問(wèn)管理工程師

企業(yè)安全領(lǐng)導(dǎo)者越發(fā)地開(kāi)始注重開(kāi)發(fā)強(qiáng)大的身份和訪問(wèn)管理(IAM)實(shí)踐了，這一重點(diǎn)是由持續(xù)的高水平遠(yuǎn)程訪問(wèn)、隨時(shí)隨地的工作需求和不斷擴(kuò)展的多通道環(huán)境所推動(dòng)的。

事實(shí)上，來(lái)自云安全聯(lián)盟的《2020年云身份安全狀況報(bào)告》發(fā)現(xiàn)，94%的受訪企業(yè)領(lǐng)導(dǎo)人將人類(lèi)身份的特權(quán)和權(quán)限管理列為了高優(yōu)先級(jí)或極高優(yōu)先級(jí)，77%將機(jī)器身份的特權(quán)和權(quán)限管理列為了高優(yōu)先級(jí)或極高優(yōu)先級(jí)。

正因?yàn)槿绱?，安全領(lǐng)導(dǎo)們正在尋找合適的角色，并賦予了他們諸如IAM工程師或IAM分析師之類(lèi)的頭銜。

人力資源公司Robert Half Technology的執(zhí)行董事Jeff Weber預(yù)計(jì)，對(duì)這些專(zhuān)家的需求將繼續(xù)增長(zhǎng)。

“在未來(lái)的幾個(gè)月里，其需求將被應(yīng)用生命周期中的安全需求所驅(qū)動(dòng)，”他說(shuō)，并補(bǔ)充到，他的公司正在看到CISO們提高了員工的技能，這些員工表現(xiàn)出了堅(jiān)實(shí)的問(wèn)題解決和分析技能，具備了擔(dān)任這些角色所需的技術(shù)經(jīng)驗(yàn)。

第三方風(fēng)險(xiǎn)經(jīng)理

CISO們已經(jīng)注意到威脅會(huì)通過(guò)合作伙伴和供應(yīng)商進(jìn)入他們的業(yè)務(wù)，這也促使他們需要更加關(guān)注與第三方相關(guān)的風(fēng)險(xiǎn)。根據(jù)安全領(lǐng)導(dǎo)、招聘人員和執(zhí)行顧問(wèn)的說(shuō)法，這反過(guò)來(lái)又產(chǎn)生了純粹專(zhuān)注于這個(gè)問(wèn)題的角色。

例如，Benoit-Kurtz的團(tuán)隊(duì)中有一名信息系統(tǒng)分析師，同時(shí)專(zhuān)注于內(nèi)部風(fēng)險(xiǎn)和管理第三方風(fēng)險(xiǎn)，因?yàn)閮烧咚璧募寄軒缀跸嗤?。然而，隨著工作需求和復(fù)雜性的增加，她預(yù)計(jì)需要有人來(lái)全職管理第三方風(fēng)險(xiǎn)了。

這些角色的頭銜各不相同，無(wú)論是全職職位還是安全團(tuán)隊(duì)中現(xiàn)有職位的新職責(zé)。但最終，專(zhuān)家們表示，對(duì)這一角色的關(guān)注是一致的：審查第三方的安全政策和程序，并執(zhí)行根據(jù)合同所設(shè)定的標(biāo)準(zhǔn)。

“你必須確保自己正在管理這種風(fēng)險(xiǎn)，并且你作為一個(gè)安全團(tuán)隊(duì)能夠理解提供商的責(zé)任，”IT服務(wù)管理公司Involta的CISO Annalea Ilg說(shuō)。

DevSecOps安全工程師

“應(yīng)用程序仍然是防止違規(guī)的最薄弱環(huán)節(jié)，”總部位于倫敦的技術(shù)和安全專(zhuān)業(yè)招聘公司Bestman Solutions的主管Owanate Bestman說(shuō)。“DevSecOps是當(dāng)今用來(lái)解決這個(gè)問(wèn)題的最受歡迎的方法。有DevSecOps經(jīng)驗(yàn)的申請(qǐng)人是有需求的。”

他說(shuō)，安全主管希望應(yīng)用安全工程師對(duì)DevOps方法有很好的理解，了解DevOps管道工具，有能力與開(kāi)發(fā)團(tuán)隊(duì)合作(或有這樣做的實(shí)際經(jīng)驗(yàn))，對(duì)網(wǎng)絡(luò)應(yīng)用風(fēng)險(xiǎn)有很好的了解，當(dāng)然還有安全資格。

NTT數(shù)據(jù)服務(wù)公司的副總裁兼安全產(chǎn)品負(fù)責(zé)人、美國(guó)國(guó)際審計(jì)與鑒證準(zhǔn)則理事會(huì)大華盛頓分會(huì)理事Sushila Nair說(shuō)，考慮到這些要求，需求超過(guò)供應(yīng)也就不足為奇了。

“DevSecOps并不新鮮，但是很難找到能夠嵌入到Scrum團(tuán)隊(duì)中的應(yīng)用程序安全工程師，”Nair表示，并補(bǔ)充說(shuō)，目前的挑戰(zhàn)是能否找到具有安全知識(shí)和應(yīng)用程序開(kāi)發(fā)經(jīng)驗(yàn)的人才。

威脅搜尋

當(dāng)今組織所面臨的威脅的復(fù)雜性使得信息安全專(zhuān)家們不得不尋找新的角色來(lái)識(shí)別和應(yīng)對(duì)這些威脅。

“我們需要人們能夠像一個(gè)安全分析威脅管理者一樣，查看所有的威脅分析工具、來(lái)自防火墻的日志以及其他監(jiān)控工具;了解威脅是什么并能將其反饋給相關(guān)的人員，”Southard說(shuō)。“他們應(yīng)該能夠查看日志和警報(bào)，檢測(cè)可疑的東西，檢測(cè)不正常的行為模式，知道這是假陽(yáng)性還是令人擔(dān)憂的事件，以及這是否表明了存在緊急情況或是輕微風(fēng)險(xiǎn)。”

Nair同樣將威脅搜尋列為了關(guān)鍵角色，他說(shuō)：“我們需要實(shí)用的分析師技能。SolarWinds和其他高級(jí)攻擊已經(jīng)進(jìn)一步加深了我們需要追捕攻擊者的認(rèn)識(shí)。對(duì)于無(wú)聲的、持續(xù)的攻擊，工具通常無(wú)法提醒我們，因此我們需要知道如何在網(wǎng)絡(luò)上尋找入侵者。”

漏洞風(fēng)險(xiǎn)分析師

同樣，Southard也認(rèn)為需要能夠跟蹤和管理企業(yè)內(nèi)部漏洞的人員。“這樣才能腳踏實(shí)地地修復(fù)任何漏洞。”

她說(shuō)，她認(rèn)為在2020年中期就需要這個(gè)角色了，因?yàn)閺母鞣N設(shè)備對(duì)公司系統(tǒng)的持續(xù)遠(yuǎn)程訪問(wèn)、需要解決的不斷變化的漏洞以及組織所面臨的越來(lái)越多的威脅都已經(jīng)匯集在了一起。

Southard承認(rèn)，大多數(shù)安全團(tuán)隊(duì)，包括她自己的團(tuán)隊(duì)，都已經(jīng)有工作人員在處理漏洞。但是，她也表示，這項(xiàng)工作有時(shí)會(huì)被排在其他優(yōu)先事項(xiàng)之后。

因此，她在2021年初創(chuàng)建了一個(gè)新職位，以更好地保證對(duì)漏洞管理的關(guān)注，并將這一增加視為一個(gè)最佳步驟，讓某人有時(shí)間和權(quán)力來(lái)將這項(xiàng)工作作為其優(yōu)先事項(xiàng)，甚至是與供應(yīng)商進(jìn)行合作，以根據(jù)她的組織所設(shè)置的標(biāo)準(zhǔn)來(lái)修復(fù)問(wèn)題。

“這確保了我們可以?xún)?yōu)先解決漏洞，并向監(jiān)管機(jī)構(gòu)等其他人表明，我們對(duì)修復(fù)這些漏洞是認(rèn)真的，”她補(bǔ)充道。

云安全架構(gòu)師

根據(jù)安全主管、招聘人員和顧問(wèn)的說(shuō)法，這是最受歡迎的角色之一。

“所尋求的許多技能都是出于監(jiān)管的目的：確保企業(yè)在利用云平臺(tái)好處的同時(shí)降低監(jiān)管和合規(guī)性的風(fēng)險(xiǎn)，”Bestman說(shuō)。

他表示，招聘的經(jīng)理是需要有云平臺(tái)工作經(jīng)驗(yàn)的人，最好是受過(guò)特定平臺(tái)培訓(xùn)或認(rèn)證的人。他們還需要對(duì)安全協(xié)議有深刻理解的人。

“他有能力為云架構(gòu)開(kāi)發(fā)安全藍(lán)圖，知道你需要什么樣的安全工具來(lái)保護(hù)你的云資產(chǎn)，”Nair說(shuō)，并補(bǔ)充到，這些職位上的最佳人員可以考慮為其選擇的財(cái)務(wù)影響和安全影響來(lái)評(píng)估工具。

這要求很高，但Bestman表示，他已經(jīng)看到了擁有云經(jīng)驗(yàn)的安全架構(gòu)師的增加，而越來(lái)越多的人也正在通過(guò)云認(rèn)證來(lái)增加他們的市場(chǎng)價(jià)值。

事故響應(yīng)經(jīng)理

2020年，Southard在她的部門(mén)增加了一名事故響應(yīng)經(jīng)理。她說(shuō)，安全小組，包括她自己的小組，至少需要一名工作人員，來(lái)負(fù)責(zé)跟上該如何更好地處理各種事件，并做好準(zhǔn)備，如果有什么事情發(fā)生的話。

她的新事故響應(yīng)經(jīng)理--有時(shí)被稱(chēng)為事故響應(yīng)分析師--在過(guò)去的17年里一直在類(lèi)似的職位上工作。這種經(jīng)歷對(duì)Southard來(lái)說(shuō)很重要。“我們需要一個(gè)經(jīng)歷過(guò)事故的人，”她說(shuō)。

Southard說(shuō)，她創(chuàng)建這個(gè)職位是為了確保安全部門(mén)能夠盡快地做出反應(yīng)，并協(xié)調(diào)好所有可能發(fā)揮作用的各種任務(wù)。

“這給了我們一個(gè)聯(lián)系點(diǎn)來(lái)進(jìn)行分類(lèi)，把人們聚在一起，并找出事件的類(lèi)型，”她解釋說(shuō)，并補(bǔ)充到，這些管理人員應(yīng)該知道該如何處理從電話系統(tǒng)中斷到泄露個(gè)人身份信息的漏洞等各種事件，以及此類(lèi)事件所需要的不同程度的關(guān)注級(jí)別。

CISO

CISO的職位并不新鮮，但也不是一個(gè)普遍的角色。

IDG的2020年安全優(yōu)先級(jí)研究發(fā)現(xiàn)，只有42%的中小型企業(yè)擁有CISO、CSO或是其他的高級(jí)安全主管，而在所有企業(yè)組織中的這一比例為80%。甚至是一些最大的組織仍然沒(méi)有高管級(jí)的網(wǎng)絡(luò)安全職位。例如，安全供應(yīng)商Bitglass的一項(xiàng)研究發(fā)現(xiàn)，2019年財(cái)富500強(qiáng)企業(yè)中，38%的企業(yè)沒(méi)有CISO，其中只有16%的企業(yè)有另一位高管(如安全副總裁)來(lái)負(fù)責(zé)網(wǎng)絡(luò)安全戰(zhàn)略。

這是個(gè)錯(cuò)誤，專(zhuān)家們表示。

即使是一個(gè)組織想要致力于安全，擁有一個(gè)CISO的角色對(duì)于“跨部門(mén)管理并在高層定下基調(diào)”也是至關(guān)重要的。對(duì)于一個(gè)組織來(lái)說(shuō)，能夠真正獲得防御戰(zhàn)略的深度是至關(guān)重要的，”Stephenie Southard說(shuō)，他是位于伊利諾斯州弗農(nóng)希爾斯的一家信用合作社BCU的首席信息官。

作為一名高管，CISO能夠在戰(zhàn)略上與高管們合作，因此更有可能成功地定義和實(shí)施一個(gè)能夠與組織風(fēng)險(xiǎn)相一致的安全態(tài)勢(shì)。而且，擁有高管頭銜的CISO也更有能力讓其他人遵守安全要求。

“如果在你的組織中沒(méi)有一個(gè)CISO，即使它只是一個(gè)虛擬的兼職CISO，也是定下了錯(cuò)誤的基調(diào)，”Stephanie Benoit-Kurtz補(bǔ)充道，她是Station Casinos的網(wǎng)絡(luò)安全主管(一個(gè)向CISO報(bào)告的職位)，也是菲尼克斯大學(xué)網(wǎng)絡(luò)安全項(xiàng)目的首席教師。