網路安全人員最需要具備的頂級技能是什麼?
網路安全領域飛速成長,網路安全人才供不應求。這種人才短缺造就了一個高薪且求職者可選擇範圍很大的行業。但是網路人才的短缺現象是由多種因素造成的,其中就包括僱主對求職者要求掌握的技能太多。
Rook Security 的人才與文化經理 Keri Christman 稱:“僱員可能很難具備職位要求的所有技術、經驗和某些無形的東西。”
行業和威脅態勢變化太快,有天賦的人才都難以跟上新技術和需求的腳步,所以人才缺口越拉越大。當前毫無疑問是求職方市場,但因為應聘要求越來越高,競爭依然激烈。
因此,雖然網路安全領域就業機會大把抓,老闆們卻為應聘者設定了高准入門檻,沒有兼具技術、學歷和經驗便難以登堂入室。
如果你正考慮從事網路安全工作,你可能會發現自己不知道從哪裡開始。首先,你可能會懷疑網路安全領域是否適合自己?老闆們最看重哪些技能?你要如何獲得在該求職市場中競爭所需的技能?
對於以上問題,浸淫該領域幾十年的網路安全專家們最有發言權。
網路安全從業者的頂級技能
1. 批判性思維
SplunkCIRT高階主管 Richard Bejtlich 和 Cheetah Digital 首席安全官 Jill Knesek 都認為,批判性思維是網路安全人員所具備的最重要技能。
Knesek解釋道:“批判性思維,或者客觀分析問題以形成判斷的能力,是網路安全從業者最重要的技能。對我來說,批判性思維就是知其然更知其所以然,這樣才能做出明智決策並實現解決方案,搞定根源問題而不僅僅是緩解表面症狀。”
網路安全是個不斷變化的領域,黑客和攻擊方法一直在進化,網路威脅本身也在不斷髮展,比如惡意軟體、勒索軟體、特權誤用等等。客觀分析每個問題,不斷深挖問題根源的能力,是在網路安全的世界裡獲得成功的重要技能。
我的FBI背景我對從事網路安全行業幫助良多。我把每個問題或事件當做一場調查來看待,通過經典的‘人物、事件、地點、時間和方法’問題了解情況,但只有問出‘為什麼’這個問題,我才能真正理解該如何預防未來的事件。
Knesek在網路安全領域就職20餘年,擔任過內部角色和麵向客戶的角色。她曾是FBI特別探員,供職洛杉磯網路重案組,偵辦過數起重大網路犯罪案件,包括對著名頂級黑客 凱文·米特尼克和少年黑客黑手黨男孩(Mafiaboy)的調查。如今,Knesek就任 Cheetah Digital 首席安全官,負責領導整個企業的安全工作。
與Knesek觀點類似,SplunkCIRT的 Richard Bejtlich 評論道:批判性思維是最重要的網路安全技能。將複雜情況去蕪存菁對緩解數字問題至關重要。網路安全人員必須能觀察環境,挑戰假設,建立行動方案並執行操作。批判性思維是該過程中每一步的驅動力。
自1998年起,Bejtlich就在捍衛西方利益不受高階數字入侵者侵害。他推廣網路安全監視解決方案,通過檢測並響應數字威脅,幫助全球企業保持業務正常運轉。Bejtlich如今是SplunkCIRT的高階主管。
2. 業務分析技能和黑客精神
Privacy PC 編輯,《安全狀態》叢集作者 David Balaban 表示:有人覺得資訊保安專業人員最有價值的技能歸結為能選擇正確防護解決方案和最佳工具以建立並實現複雜的安全系統。也有人認為資訊保安專家就應該具備黑客精神,像攻擊者一樣思考,知道怎麼實施攻擊,這樣才能實現有效的防護機制。
但最終,Balaban 認為上述兩種技能都是次要的:
IT安全專家最應該成為的是業務分析師。他應對公司業務過程和所有在用的自動化控制系統都爛熟於心。這樣他才能把公司基礎設施按照安全等級明確劃分成各個子系統,專注在對業務工作流影響最大的實體上。
第二重要的技能是與管理層溝通的能力。更進一步,IT安全專家還需要心理學家的技能。這可以使他更好地理解老闆的興趣、重心和痛點。IT安全專家應能說服管理層將資金分配到解決特定安全問題上。這可真正是門藝術。
David Balaban 是在惡意軟體分析和防病毒軟體評估領域具有15年從業經驗的電腦保安研究員。他運營著Privacy-PC.com專案,該專案就當代資訊保安問題提出專家意見,包括社會工程、滲透測試、威脅情報、線上隱私和白帽子黑客行為。
3. 服務與保護的真心
Cybersecurity Ventures 主編 Steve Morgan 的觀點是:最好的網路安全人員有真切而熱誠的服務精神。
Morgan稱:“對網路安全人員而言最重要的資產,是服務社會、保家衛國的真心。”
最重要的技能是對貓鼠遊戲的熱情。我們這行裡最棒的人天生喜歡追捕敵人。雖然這種天性無法培訓,卻能由大學和職場鑄就。兼具道德品性和追捕本能的人非常適合從事網路安全行業。
Steve Morgan 是 Cybercrime Magazine 和 Cybersecurity Ventures 的創始人兼主編。他的部落格和論文常見諸於CSO、Dark Reading、Entrepreneur、福布斯、IDG和其他主流媒體。
這些網路安全領袖指出的頂級技能中有很多都是可以學習和磨鍊的。想要習得這些技能躋身網路安全領域,或者在網路安全職業上更進一步,最好的辦法就是通過高等教育。很多情況下,高等教育能提供發展當今主流僱主所要求技能的機會。