缺乏网络安全人才并不是什么新鲜事。所有企业都面临着这个问题,而且情况越来越糟。关于缩小差距的提议很多,但到目前为止,所有努力都是徒劳的。让我们看一下是什么原因在造成这种差距,可以采取哪些措施缩小差距,以及我们认为哪些是有效解决网络安全技能短缺的最佳方法。

步骤1.接受网络安全技能短缺

行业分析预测,在未来两年中,差距将大大扩大。尽管从长远来看,缩小差距的某些策略可能会奏效,但短期内似乎无能为力。

差距扩大的原因有几个:

  • 尽管IT技术已经成为业务的支柱,但它们仍在发展和增长。越来越多的各种规模的组织正在将IT用于越来越多的目的。因此,要保护的资产数量一直在快速增长,网络安全职位空缺的数量也在迅速增长。
  • 犯罪分子正在寻找利用IT安全不足的新方法,并且他们正在学习如何从中受益。几年前,网络犯罪通常被视为小型行动的重点,但主要犯罪组织越来越多地采用网络犯罪。这意味着网络攻击的风险更大,尤其是对于大型企业和机构。
  • 当企业发展时,其系统的复杂性也会随之增加。这意味着不仅有更多的资产需要保护,而且更难以保护。
  • 对于网络安全专业人员而言,工作通常会带来很大压力。它带有巨大的责任感和很多不确定性,因为您永远无法保护系统免受各种可能的入侵。发生违规事件时,通常是网络安全专家应受责怪,而不是是负责问题根源的人。
  • 由于工作性质,网络安全专业人员通常更喜欢自由职业者,而不是加入大型组织。另一方面,大型组织并不总是能够像安全性这样重要的事物来信任不属于其文化的人。
  • 网络安全很难学习,因此人才储备有限。它不仅需要对IT有深刻的理解,还需要包括开发和管理在内的广泛技能,还需要一种好奇心和创造力,以及开箱即用的思维能力。世界上没有多少人可以应付。
  • 网络安全尚未被足够的教育机构所采用。很少有大学为网络安全职业做准备的计划,而教育往往起步太晚,而即使在高中阶段也可能已经开始。更糟糕的是,网络安全技能的差距也会影响教育机构,因为没有足够的专家愿意教别人。

第2步。提高意识和教育

一些企业试图通过对IT专业人员进行再培训来缩小差距。尽管有些具有技术技能的员工可能有能力并且愿意担任网络安全职位,但他们仍然需要有人来教他们。如今,大多数网络安全专家都是自学成才的,并且由于安全证书的可用性也很有限,组织几乎无能为力。

但是,真正的问题是组织经常将网络安全视为只有专门的网络安全员工才应该处理的事情。这种看法是上述几个问题的原因,例如,网络安全人员承受的压力很大。安全团队通常独自一人工作,组织的其余部分则不了解,没有受过教育,而且最糟糕的是:对安全性不负责。

因此,缩小差距的关键是将网络安全视为每个人的问题。开发人员,管理员,DevOps,QA工程师甚至非技术人员都应该了解并接受教育。

  • 组织应为公司中的每个人引入基本的网络安全培训,例如,对抗恶意软件,勒索软件,网络钓鱼和社会工程攻击。您应该将此类培训作为常规业务计划的一部分,而不仅仅是将其视为一次入职培训活动。
  • 您的网络安全团队应包括更多的教育工作者。在寻找新人才时,请确保应聘者有能力并愿意提供培训。
  • 每个开发人员都应该接受有关如何避免代码中的安全漏洞的基础培训,并对此类问题以及其他任何错误负责。
  • 每个质量检查工程师都应该知道如何使用工具来验证网络安全。诸如漏洞扫描程序之类的工具不应再由单独的安全部门处理,而应与Selenium一样对待。
  • 每位DevOps工程师都应了解可与CI / CD系统一起使用的安全工具,例如 DAST和SAST扫描仪,知道如何配置它们,并将它们包括在所有管道中。
  • 每个项目经理,每个产品或服务所有者以及每个团队负责人都应像对待其他错误一样对待网络安全问题,并在冲刺中优先考虑其补救措施。
  • 最后,每位高管都应意识到总体上信息安全和网络安全的重要性,而不仅仅是CISO。高管还应该了解威胁情况,例如,他们应该认识到内部威胁与外部网络威胁同样重要,内部业务资产和信息系统需要与公共威胁一样多的保护。

步骤3.拥抱局外人

世界上最大的IT领导者正在树立榜样,每个组织都应遵循。 谷歌,Facebook,Apple或Microsoft等公司都拥有 赏金计划 安全漏洞。如果他们可以信任局外人的系统,那么您也可以。

错误赏金计划具有以下优点:

  • 您可以减少内部安全测试的需要。自由职业白帽黑客将乐于执行 渗透测试 您的系统只是为了获得赏金。
  • 您可以改善在IT社区中看待您的业务的方式。如果您足够大胆地为发现错误提供赏金,则意味着您的公司对它的安全性立场有信心。
  • 如果年轻,独立的自由思想者有办法在不损害独立性的前提下有效地利用自己的技能赚钱,那么这样的年轻人就会变得阴暗而成为网络罪犯。因此,赏金计划有效地剥夺了本来可以加强犯罪组织的资源。

但是,您必须记住,仅靠漏洞赏金计划是不够的。您需要负责任地披露漏洞,并且需要优先解决与赏金相关的安全问题。如果不是这样,白帽黑客通常会公开发布您的漏洞的详细信息,只是为了使您朝着正确的方向前进。

如果只有大型组织拥有赏金计划并与黑客合作而不是担心它们,那么大型组织可以避免近年来发生的许多数据泄露事件。不幸的是,许多企业仍然认为,如果黑客就发现的漏洞与他们联系,则该黑客是“坏人”,应向当局报告,其赏金要求是“赎金要求”。有了这样的心态,即使他们的意图很好,许多黑客也会成为网络罪犯。

步骤4.促进自动化和集成

网络安全行业仍落后于趋势,并且仍在创建许多工具时会考虑专门的安全专家。在复杂的环境中,例如,作为工具的一部分,此类工具很难甚至无法使用。 开发安全 (or 二次开发) 环境。对于寻求使用上述方法来减轻未完成的网络安全工作的影响的组织来说,这可能是一个主要问题。

无论是网络安全还是网络安全,网络安全解决方案都不再是专门团队的工具。他们的主要用户不应是安全分析师。现代工具的设计应如下:

  • 不应强迫开发人员使用专用工具。例如,如果他们要修复与安全相关的错误,则应像对待其他任何错误一样使用其常规问题管理系统。因此,网络安全解决方案应与此类问题管理系统完全集成,并且不要求开发人员登录其他工具来管理问题。
  • 质量检查工程师不应被迫使用专用工具执行手动安全性测试。它们应在其常规套件中包括安全测试,这些测试将作为SDLC的一部分自动执行。
  • DevOps工程师应该能够像在任何其他类型的测试中一样轻松地将安全性测试集成到CI / CD管道中。他们不应花费太多时间来配置安全工具。

对于大多数用户来说,现代的企业安全工具应该是不可见的。仅当该工具被设计为在最复杂的环境中尽可能地自动化和集成时,您才能实现这一目标。而构建这样的工具正是Acunetix所做的(Acunetix 360),以弥补差距。

资源: //www.acunetix.com/blog/web-security-zone/4-ways-combat-cybersecurity-skills-gap/