2019年網絡安全專業人員最火熱的六大能力

• 2020 年 1 月 20 日
• 筆記

在一個安全與技術世界受到衝擊的時代，即使面對技能短缺，網絡安全專業人士也不能安於現狀。

一、自動化及編排

兩大趨勢正在推動企業實現全面安全自動化。首先，自動化已經被當做一種方法來量化事件響應和安全分析來應對不斷增加的威脅。其次，隨着DevOps和軟件的持續交付在很多組織機構中變得越來越重要，IT自動化面臨的風險大大增加。這要求安全團隊將安全控制直接建立在這些自動化流水線中，跟上自動化的速度，以免把工作搞砸。

Dimension Research最近代表Tripwire進行的一項調查顯示，63%的組織機構最近在安全任務自動化方面進行了投資，88%的組織機構表示他們還沒有相關計劃。這意味着安全專業人員將需要及時了解編排所有這些自動化系統的細節，以進行全面控制，並最大限度地提高安全操作的效率。

二、數據科學

網絡安全數據科學家這一職位，在求職網站的搜索中激增。隨着組織機構越來越嚴格地使用威脅情報、威脅建模和風險指標來指導其安全實踐，數據科學家不僅能夠幫助企業，也能夠幫助安全供應商採用數據驅動的安全方法。儘管在很多情況下，他們都是正在學習安全知識的專業數據科學家。那些正在開始打磨自己的數據科學技能，並具備紮實專業基礎的安全專業人士，已經給自己配備了IT行業中兩個最熱門的技能。

數據軟件公司Hortonworks的數據科學家和網絡安全產品經理Simon Elliston Ball表示：

數據科學是一種方法和途徑，一種可以通過訓練機器來學習專家，幫助安全從業人員量化和自動化他們行為的思維模式，和一種增加這些專家的手段。

三、編程

安全領導者們更多地開始尋找具有編程能力的安全人員，甚至是那些可以對其進行安全基礎方面培訓的程序員。首先，這對DevSecOps環境中的應用程序安全性至關重要，因為實現前者需要對安全性和開發功能進行最佳協調。

Comcast公司 DevSecOps轉型高級主管Larry Maccherone表示：

我只聘用開發人員，我不會以他們具備某些安全資質和背景作為聘用條件。我可以在短時間內教會他們安全方面的知識，但我無法輕鬆教會他們如何以能夠獲得安全團隊與開發人員 「信任」 的方式與開發人員交流。

但最重要的是，很多組織機構需要具有編程專業知識的安全專家，他們可以幫助企業順利整合併構建支持安全自動化的定製工具。隨着組織機構轉向架構即代碼的方式來管理系統，安全工作需要保持同步。

四、隱私專家

ISSA調查的網絡安全專業人士中，近四分之一的人表示，他們認為自己沒有接受過合適的數據隱私培訓。隨着GDPR法規在全球範圍內實施，無論這些企業的總部在哪裡，保護其客戶、員工和合作夥伴的隱私對董事會和高管層越來越重要。這需要安全專業人員比以往任何時候都更緊密地與法律、審計人員和人力資源部門合作。這也意味着，許多專業人士需要加倍努力，確保他們了解可能影響日常工作的所有隱私和合規層面的內容。

五、安全雲管理

Gartner專家表示，在企業大規模轉向雲計算之際，提升雲安全能力是2019年安全與風險管理的七大趨勢之一。Gartner表示，隨着企業不斷進行實驗雲和邊緣雲部署，安全團隊的壓力也越來越大。這意味着組織機構和安全專業人員需要儘快開始培養雲安全技能。

Gartner研究副總裁Peter Firstbrook表示：

企業必須投資安全技能和管理工具，建立知識儲備，以跟上雲開發和雲創新的步伐。

六、理解業務

根據ISACA的研究，網絡安全團隊中最寶貴的員工是，技術熟練，並了解企業運營以及知道網絡安全如何滿足企業更大需求的人。

調查顯示，49%的安全領導者認為現在網絡安全專業人士身上最缺乏的能力是——理解業務的能力。

這是最難培養的技能之一。這需要建立聯盟、深入了解業務運作及其垂直領域——例如，如果企業上市了，花時間研究公司的年度報告，積極傾聽利益相關者和高層管理人員的意見，了解他們的策略和痛點。努力做這些工作將會得到非常大的回報。

一個人如果能夠成功地運用他或她的網絡安全技術知識，有效地提升業務目標，並且能夠將這種聯繫清晰運用到組織機構的不同層面，那麼他或她在該領域將擁有光明的未來。