在一個(gè)安全與技術(shù)世界受到?jīng)_擊的時(shí)代��,即使面對(duì)技能短缺�,網(wǎng)絡(luò)安全專業(yè)人士也不能安于現(xiàn)狀�。
一����、自動(dòng)化及編排
兩大趨勢(shì)正在推動(dòng)企業(yè)實(shí)現(xiàn)全面安全自動(dòng)化�����。首先���,自動(dòng)化已經(jīng)被當(dāng)做一種方法來量化事件響應(yīng)和安全分析來應(yīng)對(duì)不斷增加的威脅�。其次��,隨著DevOps和軟件的持續(xù)交付在很多組織機(jī)構(gòu)中變得越來越重要�,IT自動(dòng)化面臨的風(fēng)險(xiǎn)大大增加。這要求安全團(tuán)隊(duì)將安全控制直接建立在這些自動(dòng)化流水線中�����,跟上自動(dòng)化的速度����,以免把工作搞砸。
Dimension Research最近代表Tripwire進(jìn)行的一項(xiàng)調(diào)查顯示�����,63%的組織機(jī)構(gòu)最近在安全任務(wù)自動(dòng)化方面進(jìn)行了投資����,88%的組織機(jī)構(gòu)表示他們還沒有相關(guān)計(jì)劃。這意味著安全專業(yè)人員將需要及時(shí)了解編排所有這些自動(dòng)化系統(tǒng)的細(xì)節(jié)����,以進(jìn)行全面控制,并最大限度地提高安全操作的效率�����。
二���、數(shù)據(jù)科學(xué)
網(wǎng)絡(luò)安全數(shù)據(jù)科學(xué)家這一職位��,在求職網(wǎng)站的搜索中激增����。隨著組織機(jī)構(gòu)越來越嚴(yán)格地使用威脅情報(bào)��、威脅建模和風(fēng)險(xiǎn)指標(biāo)來指導(dǎo)其安全實(shí)踐���,數(shù)據(jù)科學(xué)家不僅能夠幫助企業(yè)���,也能夠幫助安全供應(yīng)商采用數(shù)據(jù)驅(qū)動(dòng)的安全方法���。盡管在很多情況下,他們都是正在學(xué)習(xí)安全知識(shí)的專業(yè)數(shù)據(jù)科學(xué)家�����。那些正在開始打磨自己的數(shù)據(jù)科學(xué)技能���,并具備扎實(shí)專業(yè)基礎(chǔ)的安全專業(yè)人士�����,已經(jīng)給自己配備了IT行業(yè)中兩個(gè)最熱門的技能���。
數(shù)據(jù)軟件公司Hortonworks的數(shù)據(jù)科學(xué)家和網(wǎng)絡(luò)安全產(chǎn)品經(jīng)理Simon Elliston Ball表示:
“數(shù)據(jù)科學(xué)是一種方法和途徑,一種可以通過訓(xùn)練機(jī)器來學(xué)習(xí)專家��,幫助安全從業(yè)人員量化和自動(dòng)化他們行為的思維模式�,和一種增加這些專家的手段。"
三��、編程
安全領(lǐng)導(dǎo)者們更多地開始尋找具有編程能力的安全人員���,甚至是那些可以對(duì)其進(jìn)行安全基礎(chǔ)方面培訓(xùn)的程序員�����。首先���,這對(duì)DevSecOps環(huán)境中的應(yīng)用程序安全性至關(guān)重要,因?yàn)閷?shí)現(xiàn)前者需要對(duì)安全性和開發(fā)功能進(jìn)行最佳協(xié)調(diào)��。
Comcast公司 DevSecOps轉(zhuǎn)型高級(jí)主管Larry Maccherone表示:
“我只聘用開發(fā)人員����,我不會(huì)以他們具備某些安全資質(zhì)和背景作為聘用條件。我可以在短時(shí)間內(nèi)教會(huì)他們安全方面的知識(shí)��,但我無法輕松教會(huì)他們?nèi)绾我阅軌颢@得安全團(tuán)隊(duì)與開發(fā)人員 “信任” 的方式與開發(fā)人員交流��。"
但最重要的是��,很多組織機(jī)構(gòu)需要具有編程專業(yè)知識(shí)的安全專家�����,他們可以幫助企業(yè)順利整合并構(gòu)建支持安全自動(dòng)化的定制工具��。隨著組織機(jī)構(gòu)轉(zhuǎn)向架構(gòu)即代碼的方式來管理系統(tǒng),安全工作需要保持同步�。
四、隱私專家
ISSA調(diào)查的網(wǎng)絡(luò)安全專業(yè)人士中�,近四分之一的人表示,他們認(rèn)為自己沒有接受過合適的數(shù)據(jù)隱私培訓(xùn)����。隨著GDPR法規(guī)在全球范圍內(nèi)實(shí)施,無論這些企業(yè)的總部在哪里�,保護(hù)其客戶、員工和合作伙伴的隱私對(duì)董事會(huì)和高管層越來越重要�。這需要安全專業(yè)人員比以往任何時(shí)候都更緊密地與法律、審計(jì)人員和人力資源部門合作���。這也意味著��,許多專業(yè)人士需要加倍努力����,確保他們了解可能影響日常工作的所有隱私和合規(guī)層面的內(nèi)容��。
五�����、安全云管理
Gartner專家表示,在企業(yè)大規(guī)模轉(zhuǎn)向云計(jì)算之際�����,提升云安全能力是2019年安全與風(fēng)險(xiǎn)管理的七大趨勢(shì)之一���。Gartner表示,隨著企業(yè)不斷進(jìn)行實(shí)驗(yàn)云和邊緣云部署��,安全團(tuán)隊(duì)的壓力也越來越大��。這意味著組織機(jī)構(gòu)和安全專業(yè)人員需要盡快開始培養(yǎng)云安全技能����。
Gartner研究副總裁Peter Firstbrook表示:
“企業(yè)必須投資安全技能和管理工具,建立知識(shí)儲(chǔ)備��,以跟上云開發(fā)和云創(chuàng)新的步伐�����。"
六����、理解業(yè)務(wù)
根據(jù)ISACA的研究��,網(wǎng)絡(luò)安全團(tuán)隊(duì)中最寶貴的員工是���,技術(shù)熟練,并了解企業(yè)運(yùn)營以及知道網(wǎng)絡(luò)安全如何滿足企業(yè)更大需求的人��。
調(diào)查顯示��,49%的安全領(lǐng)導(dǎo)者認(rèn)為現(xiàn)在網(wǎng)絡(luò)安全專業(yè)人士身上最缺乏的能力是——理解業(yè)務(wù)的能力�。
這是最難培養(yǎng)的技能之一。這需要建立聯(lián)盟�����、深入了解業(yè)務(wù)運(yùn)作及其垂直領(lǐng)域——例如����,如果企業(yè)上市了,花時(shí)間研究公司的年度報(bào)告����,積極傾聽利益相關(guān)者和高層管理人員的意見,了解他們的策略和痛點(diǎn)��。努力做這些工作將會(huì)得到非常大的回報(bào)。
“一個(gè)人如果能夠成功地運(yùn)用他或她的網(wǎng)絡(luò)安全技術(shù)知識(shí)�����,有效地提升業(yè)務(wù)目標(biāo)��,并且能夠?qū)⑦@種聯(lián)系清晰運(yùn)用到組織機(jī)構(gòu)的不同層面�,那么他或她在該領(lǐng)域?qū)碛泄饷鞯奈磥怼?quot;
在線咨詢
在線咨詢
0371-63319761