安全團隊需要新的八大金剛

Mary K. Pratt 沈建苗

據(jù)專家估計，如今美國網(wǎng)絡(luò)安全行業(yè)有500000個空缺崗位，包括166000個信息安全分析師崗位——這是該行業(yè)最常見的職銜。

而這個數(shù)字可能有增無減。

據(jù)普華永道的《2021年全球數(shù)字信任洞察報告》顯示， 51%的受訪高管表示，他們計劃在未來一年增加全職安全人員，22%的受訪者計劃將工作人員增加5%或更多。

企業(yè)團隊繼續(xù)需要安全分析師、安全工程師和滲透測試員——所有這些角色在許多安全部門必不可少。不過如今，許多組織期望為安全團隊增設(shè)其他崗位、設(shè)立新角色，并增加新職銜。

專家們在本文中介紹了他們認為對2021年的IT安全很重要的八種角色。

身份及訪問管理工程師

企業(yè)安全領(lǐng)導(dǎo)人日益專注于開發(fā)可靠的身份及訪問管理（IAM）實踐;由于遠程訪問程度越來越高、需要隨時隨地工作以及多云環(huán)境不斷擴大，IAM因而備受關(guān)注。

事實上，云安全聯(lián)盟發(fā)布的《2020年云身份安全現(xiàn)狀》報告發(fā)現(xiàn)，94%的受訪企業(yè)領(lǐng)導(dǎo)人將人類身份的特權(quán)和權(quán)限管理列為高優(yōu)先級或極高優(yōu)先級，77%的受訪者將機器身份的特權(quán)和權(quán)限管理列為高優(yōu)先級或極高優(yōu)先級。

正因為如此，安全領(lǐng)導(dǎo)人在設(shè)立特定的角色，并設(shè)立IAM工程師或IAM分析師之類的職銜。

人事服務(wù)公司Robert Half Technology的執(zhí)行董事Jeff Weber預(yù)計，市場對這些專業(yè)人員的需求會繼續(xù)增長。

他說：“在今后幾個月，安全方面的要求納入到應(yīng)用軟件生命周期中將推動需求?！彼a充說，他的公司看到，首席信息安全官（CISO）讓擁有出色的問題解決和分析技能的員工獲得勝任這些角色所需要的技術(shù)經(jīng)驗，以提高技能。

管理第三方風(fēng)險的經(jīng)理人

首席信息安全官們已注意到威脅有可能通過合作伙伴和供應(yīng)商進入自己的業(yè)務(wù)運營系統(tǒng)，這促使他們更加關(guān)注與第三方有關(guān)的風(fēng)險。安全領(lǐng)導(dǎo)人、招聘人員和高管顧問們均認為，這進而帶來了完全專注于這個問題的角色。

比如說，Stephanie Benoit-Kurtz是Station Casinos的網(wǎng)絡(luò)安全主管（該崗位的直屬上司是首席信息安全官），也是菲尼克斯大學(xué)網(wǎng)絡(luò)安全項目的系主任，Benoit-Kurtz的團隊中有一名信息系統(tǒng)分析師，專注于管理內(nèi)部風(fēng)險和管理第三方風(fēng)險，因為這兩方面所需的技能幾乎一樣。然而，隨著工作的需求和復(fù)雜性日增，她預(yù)計需要有人來全職管理第三方風(fēng)險。

這些角色的職銜各有不同，無論為安全團隊中的現(xiàn)有崗位增添全職崗位還是新職責(zé)。不管怎樣，專家們表示，這個角色的關(guān)注點一樣：審查第三方的安全政策和程序，并執(zhí)行根據(jù)合同設(shè)定的標準。

IT服務(wù)管理公司Involta的首席信息安全官Annalea Ilg說：“你必須確保自己在管理這種風(fēng)險，整個安全團隊必須明白提供商的職責(zé)?！?h3>DevSecOps安全工程師

Owanate Bestman是總部位于倫敦的技術(shù)和安全專業(yè)人員招聘公司Bestman Solutions的主管，他說：“應(yīng)用軟件仍然是防止泄密事件方面最薄弱的環(huán)節(jié)。開發(fā)安全運維（DevSecOps）是如今用來解決這個問題的最備受稱贊的方法。DevSecOps方面有經(jīng)驗的求職者很搶手?！?/p>

他表示，信息安全領(lǐng)導(dǎo)人想要這樣的應(yīng)用軟件安全工程師：深入了解DevOps方法，通曉DevOps管道工具，能夠與開發(fā)團隊合作（或者這方面有實際經(jīng)驗），非常清楚Web應(yīng)用軟件風(fēng)險，當然還要有安全資格證書。

Sushila Nair是NTT數(shù)據(jù)服務(wù)公司的副總裁兼安全產(chǎn)品主管，還是國際信息系統(tǒng)審計協(xié)會（ISACA）大華盛頓分會的理事。她說，考慮到這些要求，人才供不應(yīng)求也就不足為奇了。

Nair說：“DevSecOps并不新鮮，但是很難找到可以添加到你敏捷開發(fā)團隊中的應(yīng)用軟件安全工程師?！彼a充道，面臨的挑戰(zhàn)在于，找到集安全知識和應(yīng)用軟件開發(fā)經(jīng)驗于一身的人才。

威脅搜尋員

如今組織面臨的眾多威脅很復(fù)雜也很狡猾，這促使首席信息安全官設(shè)立新角色，以識別和應(yīng)對這些威脅。

Stephenie Southard是伊利諾斯州弗農(nóng)希爾斯的信用合作社BCU的首席信息安全官，她說：“我們需要的人幾乎像安全分析師和威脅管理者的混合體，他們要查看所有的威脅分析工具、來自防火墻的日志以及其他監(jiān)控工具，了解有什么樣的威脅，回過頭來告知相關(guān)人員。他們應(yīng)該能夠查看日志和警報，檢測可疑活動，檢測異常行為的某種模式，知道這是誤報還是令人擔(dān)憂的事件，還知道這表明的是情況緊急的風(fēng)險還是并不重要的風(fēng)險?！?/p>

Nair同樣將威脅搜尋列為一種重要角色，她說：“我們需要實用的分析技能。SolarWinds及其他高級攻擊已進一步加深了我們需要搜尋攻擊者的下落這種認識。面對悄無聲息的持續(xù)攻擊，工具常常無法提醒我們，因此我們需要知道如何搜尋網(wǎng)絡(luò)上的入侵者?！?h3>漏洞風(fēng)險分析師

同樣，Southard認為需要能夠跟蹤和管理企業(yè)內(nèi)部漏洞的人員?！斑@樣才能腳踏實地地修復(fù)任何漏洞?！?/p>

她表示，她在2020年年中發(fā)現(xiàn)需要這一角色，當時多個因素結(jié)合在一起：從各種設(shè)備對公司系統(tǒng)進行遠程訪問，需要解決的漏洞層出不窮，以及組織面臨的威脅越來越多。

Southard承認，大多數(shù)安全團隊（包括她自己的團隊）已有負責(zé)處理漏洞的工作人員。不過她表示，這項工作有時被擠到其他優(yōu)先事項的后面。