信息化觀察網(wǎng)

據(jù)估計，目前美國有50萬個網(wǎng)絡(luò)安全的職位空缺，其中包括了16.6萬個信息安全分析師職位--這也是該行業(yè)中最常見的職稱。

并且這些數(shù)字可能還在增加當(dāng)中。

根據(jù)普華永道的全球數(shù)字信任洞察報告，51%的受訪高管表示，他們計劃在未來一年增加全職的安保人員，其中有22%的人計劃增加5%或更多的人員。

企業(yè)團隊仍然需要安全分析師、安全工程師和滲透測試人員--所有這些角色在許多安全部門都是必不可少的。然而，現(xiàn)如今，組織也正在尋求用其他職位來擴大他們的安全級別，開拓新的角色，并增加新的頭銜。

在這里，專家們提出了他們對2021年IT安全的八個關(guān)鍵角色的看法。

身份和訪問管理工程師

企業(yè)安全領(lǐng)導(dǎo)者越發(fā)地開始注重開發(fā)強大的身份和訪問管理(IAM)實踐了，這一重點是由持續(xù)的高水平遠(yuǎn)程訪問、隨時隨地的工作需求和不斷擴展的多通道環(huán)境所推動的。

事實上，來自云安全聯(lián)盟的《2020年云身份安全狀況報告》發(fā)現(xiàn)，94%的受訪企業(yè)領(lǐng)導(dǎo)人將人類身份的特權(quán)和權(quán)限管理列為了高優(yōu)先級或極高優(yōu)先級，77%將機器身份的特權(quán)和權(quán)限管理列為了高優(yōu)先級或極高優(yōu)先級。

正因為如此，安全領(lǐng)導(dǎo)們正在尋找合適的角色，并賦予了他們諸如IAM工程師或IAM分析師之類的頭銜。

人力資源公司Robert Half Technology的執(zhí)行董事Jeff Weber預(yù)計，對這些專家的需求將繼續(xù)增長。

“在未來的幾個月里，其需求將被應(yīng)用生命周期中的安全需求所驅(qū)動，”他說，并補充到，他的公司正在看到CISO們提高了員工的技能，這些員工表現(xiàn)出了堅實的問題解決和分析技能，具備了擔(dān)任這些角色所需的技術(shù)經(jīng)驗。

第三方風(fēng)險經(jīng)理

CISO們已經(jīng)注意到威脅會通過合作伙伴和供應(yīng)商進入他們的業(yè)務(wù)，這也促使他們需要更加關(guān)注與第三方相關(guān)的風(fēng)險。根據(jù)安全領(lǐng)導(dǎo)、招聘人員和執(zhí)行顧問的說法，這反過來又產(chǎn)生了純粹專注于這個問題的角色。

例如，Benoit-Kurtz的團隊中有一名信息系統(tǒng)分析師，同時專注于內(nèi)部風(fēng)險和管理第三方風(fēng)險，因為兩者所需的技能幾乎相同。然而，隨著工作需求和復(fù)雜性的增加，她預(yù)計需要有人來全職管理第三方風(fēng)險了。

這些角色的頭銜各不相同，無論是全職職位還是安全團隊中現(xiàn)有職位的新職責(zé)。但最終，專家們表示，對這一角色的關(guān)注是一致的：審查第三方的安全政策和程序，并執(zhí)行根據(jù)合同所設(shè)定的標(biāo)準(zhǔn)。

“你必須確保自己正在管理這種風(fēng)險，并且你作為一個安全團隊能夠理解提供商的責(zé)任，”IT服務(wù)管理公司Involta的CISO Annalea Ilg說。

DevSecOps安全工程師

“應(yīng)用程序仍然是防止違規(guī)的最薄弱環(huán)節(jié)，”總部位于倫敦的技術(shù)和安全專業(yè)招聘公司Bestman Solutions的主管Owanate Bestman說。“DevSecOps是當(dāng)今用來解決這個問題的最受歡迎的方法。有DevSecOps經(jīng)驗的申請人是有需求的。”

他說，安全主管希望應(yīng)用安全工程師對DevOps方法有很好的理解，了解DevOps管道工具，有能力與開發(fā)團隊合作(或有這樣做的實際經(jīng)驗)，對網(wǎng)絡(luò)應(yīng)用風(fēng)險有很好的了解，當(dāng)然還有安全資格。

NTT數(shù)據(jù)服務(wù)公司的副總裁兼安全產(chǎn)品負(fù)責(zé)人、美國國際審計與鑒證準(zhǔn)則理事會大華盛頓分會理事Sushila Nair說，考慮到這些要求，需求超過供應(yīng)也就不足為奇了。

“DevSecOps并不新鮮，但是很難找到能夠嵌入到Scrum團隊中的應(yīng)用程序安全工程師，”Nair表示，并補充說，目前的挑戰(zhàn)是能否找到具有安全知識和應(yīng)用程序開發(fā)經(jīng)驗的人才。

威脅搜尋

當(dāng)今組織所面臨的威脅的復(fù)雜性使得信息安全專家們不得不尋找新的角色來識別和應(yīng)對這些威脅。

“我們需要人們能夠像一個安全分析威脅管理者一樣，查看所有的威脅分析工具、來自防火墻的日志以及其他監(jiān)控工具;了解威脅是什么并能將其反饋給相關(guān)的人員，”Southard說。“他們應(yīng)該能夠查看日志和警報，檢測可疑的東西，檢測不正常的行為模式，知道這是假陽性還是令人擔(dān)憂的事件，以及這是否表明了存在緊急情況或是輕微風(fēng)險。”

Nair同樣將威脅搜尋列為了關(guān)鍵角色，他說：“我們需要實用的分析師技能。SolarWinds和其他高級攻擊已經(jīng)進一步加深了我們需要追捕攻擊者的認(rèn)識。對于無聲的、持續(xù)的攻擊，工具通常無法提醒我們，因此我們需要知道如何在網(wǎng)絡(luò)上尋找入侵者。”

漏洞風(fēng)險分析師

同樣，Southard也認(rèn)為需要能夠跟蹤和管理企業(yè)內(nèi)部漏洞的人員。“這樣才能腳踏實地地修復(fù)任何漏洞。”

她說，她認(rèn)為在2020年中期就需要這個角色了，因為從各種設(shè)備對公司系統(tǒng)的持續(xù)遠(yuǎn)程訪問、需要解決的不斷變化的漏洞以及組織所面臨的越來越多的威脅都已經(jīng)匯集在了一起。

Southard承認(rèn)，大多數(shù)安全團隊，包括她自己的團隊，都已經(jīng)有工作人員在處理漏洞。但是，她也表示，這項工作有時會被排在其他優(yōu)先事項之后。

因此，她在2021年初創(chuàng)建了一個新職位，以更好地保證對漏洞管理的關(guān)注，并將這一增加視為一個最佳步驟，讓某人有時間和權(quán)力來將這項工作作為其優(yōu)先事項，甚至是與供應(yīng)商進行合作，以根據(jù)她的組織所設(shè)置的標(biāo)準(zhǔn)來修復(fù)問題。

“這確保了我們可以優(yōu)先解決漏洞，并向監(jiān)管機構(gòu)等其他人表明，我們對修復(fù)這些漏洞是認(rèn)真的，”她補充道。

云安全架構(gòu)師

根據(jù)安全主管、招聘人員和顧問的說法，這是最受歡迎的角色之一。

“所尋求的許多技能都是出于監(jiān)管的目的：確保企業(yè)在利用云平臺好處的同時降低監(jiān)管和合規(guī)性的風(fēng)險，”Bestman說。

他表示，招聘的經(jīng)理是需要有云平臺工作經(jīng)驗的人，最好是受過特定平臺培訓(xùn)或認(rèn)證的人。他們還需要對安全協(xié)議有深刻理解的人。

“他有能力為云架構(gòu)開發(fā)安全藍(lán)圖，知道你需要什么樣的安全工具來保護你的云資產(chǎn)，”Nair說，并補充到，這些職位上的最佳人員可以考慮為其選擇的財務(wù)影響和安全影響來評估工具。

這要求很高，但Bestman表示，他已經(jīng)看到了擁有云經(jīng)驗的安全架構(gòu)師的增加，而越來越多的人也正在通過云認(rèn)證來增加他們的市場價值。

事故響應(yīng)經(jīng)理

2020年，Southard在她的部門增加了一名事故響應(yīng)經(jīng)理。她說，安全小組，包括她自己的小組，至少需要一名工作人員，來負(fù)責(zé)跟上該如何更好地處理各種事件，并做好準(zhǔn)備，如果有什么事情發(fā)生的話。

她的新事故響應(yīng)經(jīng)理--有時被稱為事故響應(yīng)分析師--在過去的17年里一直在類似的職位上工作。這種經(jīng)歷對Southard來說很重要。“我們需要一個經(jīng)歷過事故的人，”她說。

Southard說，她創(chuàng)建這個職位是為了確保安全部門能夠盡快地做出反應(yīng)，并協(xié)調(diào)好所有可能發(fā)揮作用的各種任務(wù)。

“這給了我們一個聯(lián)系點來進行分類，把人們聚在一起，并找出事件的類型，”她解釋說，并補充到，這些管理人員應(yīng)該知道該如何處理從電話系統(tǒng)中斷到泄露個人身份信息的漏洞等各種事件，以及此類事件所需要的不同程度的關(guān)注級別。

CISO

CISO的職位并不新鮮，但也不是一個普遍的角色。

IDG的2020年安全優(yōu)先級研究發(fā)現(xiàn)，只有42%的中小型企業(yè)擁有CISO、CSO或是其他的高級安全主管，而在所有企業(yè)組織中的這一比例為80%。甚至是一些最大的組織仍然沒有高管級的網(wǎng)絡(luò)安全職位。例如，安全供應(yīng)商Bitglass的一項研究發(fā)現(xiàn)，2019年財富500強企業(yè)中，38%的企業(yè)沒有CISO，其中只有16%的企業(yè)有另一位高管(如安全副總裁)來負(fù)責(zé)網(wǎng)絡(luò)安全戰(zhàn)略。

這是個錯誤，專家們表示。

即使是一個組織想要致力于安全，擁有一個CISO的角色對于“跨部門管理并在高層定下基調(diào)”也是至關(guān)重要的。對于一個組織來說，能夠真正獲得防御戰(zhàn)略的深度是至關(guān)重要的，”Stephenie Southard說，他是位于伊利諾斯州弗農(nóng)希爾斯的一家信用合作社BCU的首席信息官。

作為一名高管，CISO能夠在戰(zhàn)略上與高管們合作，因此更有可能成功地定義和實施一個能夠與組織風(fēng)險相一致的安全態(tài)勢。而且，擁有高管頭銜的CISO也更有能力讓其他人遵守安全要求。

“如果在你的組織中沒有一個CISO，即使它只是一個虛擬的兼職CISO，也是定下了錯誤的基調(diào)，”Stephanie Benoit-Kurtz補充道，她是Station Casinos的網(wǎng)絡(luò)安全主管(一個向CISO報告的職位)，也是菲尼克斯大學(xué)網(wǎng)絡(luò)安全項目的首席教師。