信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

根據(jù)ISC2最新發(fā)布的2024年網(wǎng)絡安全人才研究報告，盡管全球約90%的企業(yè)網(wǎng)絡安全團隊存在職位空缺或技能不足，但網(wǎng)絡安全招聘職位數(shù)量六年來首次停止增長。報告顯示，全球網(wǎng)絡安全人才職位數(shù)量同比僅微增0.1%，維持在550萬人左右，這一增幅遠低于2023年的8.7%。

缺錢：預算成最大瓶頸

隨著企業(yè)整體支出縮減，網(wǎng)絡安全預算在IT支出中的占比雖有維持，但實際金額卻因削減而顯著減少。根據(jù)ISC2網(wǎng)絡安全人才報告，預算不足是2024年網(wǎng)絡安全人才短缺的首要原因，67%的受訪者表示預算不足是導致其網(wǎng)絡安全團隊空缺難以填補的主要原因，而這一問題在2023年的報告中被主要歸因于“缺乏合格人才”。

不同行業(yè)的網(wǎng)絡安全預算消減程度不同。根據(jù)ISC2的報告，托管/云服務（43%）、房地產(chǎn)（43%）、汽車（42%）、工程（40%）、建筑（40%）、娛樂/媒體（40%）、安全軟件（39%）和電信（39%）預計未來12個月網(wǎng)絡安全支出將進一步減少。公共部門行業(yè)，包括軍隊（16%）、政府（24%）和公用事業(yè)（25%），預計未來網(wǎng)絡安全支出減少速度會降低，總體趨于平穩(wěn)。

2024年預算消減和裁員對不同行業(yè)安全人才的影響來源：ISC2

惡化：人手短缺、技能不足、滿意度下降

許多企業(yè)不得不在有限的預算下優(yōu)先投入日常業(yè)務運營，而網(wǎng)絡安全，尤其是人才擴充和技能培訓，逐漸被視作“可以暫緩”的支出。這使得企業(yè)難以為團隊提供足夠的技能培訓和專業(yè)發(fā)展機會，導致現(xiàn)有員工技能更新速度減緩，進一步加劇了團隊的整體技能缺口。

缺乏時間是造成技能差距的第二個原因。網(wǎng)絡安全專業(yè)人員正在盡最大努力滿足工作要求。在理想情況下，員工會學習新技能以跟上市場步伐，但超過一半的受訪者表示，他們沒有足夠的時間學習新技能。

74%的受訪者表示當前的網(wǎng)絡威脅環(huán)境是過去五年中最具挑戰(zhàn)性的。然而，經(jīng)濟壓力導致網(wǎng)絡安全投資下降，預算削減和裁員使團隊承受著更大的壓力。這不僅影響到員工滿意度（從2022年的74%下降到2024年的66%），還導致企業(yè)安全態(tài)勢的惡化。事實上，技能不足和人手短缺已成為企業(yè)面臨的首要難題，預計在未來兩年內(nèi)，這一問題仍將困擾網(wǎng)絡安全行業(yè)。

ISC2代理CEO兼CFO黛布拉·泰勒（Debra Taylor）表示：“當前的經(jīng)濟狀況對網(wǎng)絡安全團隊投資造成沖擊，許多企業(yè)將網(wǎng)絡安全團隊置于巨大壓力之下，導致員工倦怠與流失。”數(shù)據(jù)顯示，58%的受訪者認為技能短缺給組織帶來重大風險，59%則坦言這一缺口已經(jīng)影響了企業(yè)的安全能力。數(shù)據(jù)顯示，存在顯著技能差距的企業(yè)出現(xiàn)重大數(shù)據(jù)泄露事件的風險是技能健全企業(yè)的兩倍。

熱點：大企業(yè)安全團隊增長迅猛

在網(wǎng)絡安全人才市場整體遇冷的背景下，一些大企業(yè)卻在網(wǎng)絡安全團隊建設上逆勢擴張，成為“寒冬中的一把火”。據(jù)Wavestone的《2024年網(wǎng)絡安全基準報告》顯示，年收入超過10億美元的大型企業(yè)今年都大幅擴充了網(wǎng)絡安全團隊，平均每1086名員工配備一位網(wǎng)絡安全專業(yè)人員，比2023年提高了15%（當時每1285名員工才配備一位）。金融行業(yè)在這一趨勢中尤為突出，平均每267名員工中就有一位網(wǎng)絡安全專家；相比之下，工業(yè)行業(yè)則相對滯后，平均每1390名員工才有一位網(wǎng)絡安全專業(yè)人員。

Wavestone合伙人杰爾蒙·比約瓦（Germone Billois）指出，這一變化反映了大型企業(yè)對網(wǎng)絡安全人才需求的高度重視，越來越多的企業(yè)啟動了人才保留計劃，以增強網(wǎng)絡防御。報告還指出，受訪組織的總體網(wǎng)絡安全成熟度達到53%，部分企業(yè)更是達到了80%-90%的高水平。各行業(yè)的網(wǎng)絡安全預算穩(wěn)定在IT預算的6.6%左右，云安全和數(shù)據(jù)安全的成熟度相比2023年分別提升了5%和4%。

盡管大型企業(yè)在網(wǎng)絡安全投入上取得了一定進展，但第三方安全和工業(yè)系統(tǒng)安全（ICS）是兩大短板，二者平均成熟度分別僅為48.9%和39.9%。

解藥：AI能否拯救網(wǎng)絡安全人才危機

盡管面臨技能短缺的困境，報告指出生成式AI（GenAI）有望在未來成為網(wǎng)絡安全領域的“救星”。68%的受訪者預計，在未來兩年內(nèi)他們能夠有效將生成式AI納入工作中；80%認為網(wǎng)絡安全技能在AI驅(qū)動的環(huán)境中將更為重要。黛布拉·泰勒表示，AI被視為“增強組織安全性和提升團隊效率”的關鍵工具，而管理AI帶來的風險也將成為員工職業(yè)發(fā)展的新機遇。

在接受調(diào)查的網(wǎng)絡安全團隊中，已有45%的團隊在使用AI網(wǎng)絡安全工具，主要應用場景包括：

• 輔助日常操作任務（56%）
• 加速報告生成與事件報告（49%）
• 簡化威脅情報分析（47%）
• 加速威脅搜尋（43%）
• 改善策略模擬（41%）

不過，45%的受訪者表示缺乏清晰的生成式AI戰(zhàn)略仍然是AI在企業(yè)內(nèi)部普及的障礙。此外，AI將如何影響未來網(wǎng)絡安全崗位的技能結(jié)構(gòu)尚不明朗。專家指出，AI將帶來兩大關鍵轉(zhuǎn)變：首先，AI可能取代部分網(wǎng)絡安全技術(shù)技能；其次，由于尚不確定AI將如何全面融入網(wǎng)絡安全領域，雇主在招聘時更傾向于選擇具備跨領域解決問題能力的員工，而非技術(shù)專才。

破局：網(wǎng)絡安全行業(yè)面臨技能重塑和升級

隨著AI逐步融入網(wǎng)絡安全，報告建議企業(yè)重視具備非技術(shù)性技能的人才，以應對未來技能需求的不確定性。同時，雖然AI可能在技術(shù)層面提供支持，但網(wǎng)絡安全行業(yè)仍需加強對技能不足的員工進行技能提升。約52%的受訪者表示，希望通過成為企業(yè)的戰(zhàn)略貢獻者從而穩(wěn)固職位，48%希望掌握更多AI相關技能，以適應AI技術(shù)在網(wǎng)絡安全領域的應用。

結(jié)語

2024年網(wǎng)絡安全行業(yè)面臨技能短缺和經(jīng)濟壓力的雙重挑戰(zhàn)，這導致企業(yè)安全人才短缺和技能不足的問題進一步惡化。AI也許將是企業(yè)網(wǎng)絡安全人才危機的一劑解藥，生成式AI為解決網(wǎng)絡安全技能不足問題提供了潛在的解決方案，但要在確保網(wǎng)絡安全團隊高效運作的同時合理引入AI，還需對未來新型網(wǎng)絡安全人才和技能升級需求的準確預判和規(guī)劃。

參考鏈接：

• https://www.isc2.org/Insights/2024/10/ISC2-2024-Cybersecurity-Workforce-Study
• https://www.wavestone.com/en/insight/cyber-benchmark-2024-progress-in-cyber-maturity-continues-yet-pace-is-slow/