職場中四大最火最吃香的IT安全技能
目前,IT安全工作市場確實繁榮,但這并不意味著每個人都會自然而然地找到一份工作,或者找到合適的工作。正如安全威脅狀況正在飛速演變一樣,職場對安全職業(yè)的資質(zhì)要求也在快速變化。
IT安全招聘公司LJ Kushner and Associates的總裁Lee Kushner認(rèn)為,職場中的供需之間有一道難題:雇主正在尋找能夠滿足特定需要的安全人員,如事件響應(yīng)或風(fēng)險管理,而正在尋找工作的安全專業(yè)人士希望構(gòu)建其自己現(xiàn)有的技能并推進其職業(yè)生涯的發(fā)展。但是雇主們并不希望雇傭一個人,允許他按照個人的意愿來獲取經(jīng)驗。
Kushner認(rèn)為,總體上講,有資格的安全工作人員要比工作多。在特定條件下,有資格的安全人士要比雇主們苦苦尋找的要少。
獲得適當(dāng)?shù)墓ぷ魅藛T與獲得適當(dāng)?shù)墓ぷ饕粯悠D難。根據(jù)Booz Allen Hamilton去年的一份報告,只有40%的政府管理人員認(rèn)為自己對于申請聯(lián)邦I(lǐng)T安全工作的人員資格感到滿意,僅有30%的管理人員對申請者的數(shù)量感到高興。
思科學(xué)習(xí)項目的安全認(rèn)證部長經(jīng)理David Bump認(rèn)為,安全認(rèn)證雇主們尋找的是擅長于特定安全學(xué)科的安全專家。安全職業(yè)專家們認(rèn)為,認(rèn)為只要有了CISSP(認(rèn)證信息系統(tǒng)安全專家)認(rèn)證就可以保證被雇傭的時代已經(jīng)一去不復(fù)返了。安全工作正變得越來越專門化,所以一般的認(rèn)證并不具有以前所具有的份量。CISSP在過去是必要的,而今天變成了“有了也不錯”。
那么,今天的雇主們希望找到怎樣的安全專家呢?他們最需要哪些技能呢?最需要的資格基本上就反映了攻擊類型、損害類型,以及這些單位如今所面臨的威脅,以及有助于控制其防御的規(guī)范等:雇主們正在尋找富有事件處理和響應(yīng)、合規(guī)、風(fēng)險管理、業(yè)務(wù)的敏銳性等方面經(jīng)驗的人才。
下面逐個看一下:
1、事件處理/響應(yīng)
“極光行動”攻擊的曝光告訴我們,任何單位都可能成為靶子,在眼皮底下發(fā)生的攻擊,在被人們發(fā)現(xiàn)時,總是為時已晚。
ClearanceJobs.com的創(chuàng)辦人和主管Evan Lesser說,和這些攻擊使政府和企業(yè)有了更緊密的聯(lián)系,工作市場變得日益糾結(jié),因為政府和企業(yè)都要尋找相似的技能。政府正在盼企業(yè),企業(yè)也在盼政府。Lesser認(rèn)為,他們更緊密地攜手工作,因為對于商務(wù)金融系統(tǒng)的攻擊就是對國家的攻擊,對于與基礎(chǔ)架構(gòu)相關(guān)的攻擊也是一樣。
這就使得事件響應(yīng)成為一項重要的工作技能,許多雇主們對此趨之若鶩,例如,他們需要這種專家:不但知道怎樣使用或配置一種入侵檢測系統(tǒng)(IDS)或防火墻,而且知道怎樣維護和分析日志文件及其它的事件數(shù)據(jù),然后能夠?qū)⑦@些信息與公司中的其他人共享。
思科公司的Bump說,事件的響應(yīng)者和處理者是第一線的專家。他們對于細(xì)節(jié)的關(guān)注應(yīng)當(dāng)受到重視,應(yīng)當(dāng)有大量的文檔證明,并且要與調(diào)查安全損害的其它小組共享這些信息。
Bump還認(rèn)為,而且安全認(rèn)證也在不斷發(fā)展,以反應(yīng)這種轉(zhuǎn)變。例如,在過去,如果你通過了某項產(chǎn)品的認(rèn)證,你就知道了如何使用IDS/IPS.而現(xiàn)在,我們正在越來越多地從產(chǎn)品認(rèn)證轉(zhuǎn)移到工作角色認(rèn)證。
安全專家們認(rèn)為,新的認(rèn)證要求知道如何使用由安全設(shè)備和系統(tǒng)所收集的信息。Bump說,現(xiàn)在新的認(rèn)證要求大量的架構(gòu)知識、解決方案、最佳方法等。還需要能夠部署解決方案的安全設(shè)計師,并能夠設(shè)計這種解決方案,還要關(guān)注策略。
2、合規(guī)的專門知識
安全專家需要知道其雇主的規(guī)章制度環(huán)境,不管是付款卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS),還是健康保險可攜性和責(zé)任法案(HIPAA)。Kushner認(rèn)為,監(jiān)管和規(guī)章制度的職位要求應(yīng)當(dāng)匹配一致。他說,他看到更多的職位在尋找精通健康信息信任聯(lián)盟(HITRUST)框架的專業(yè)技術(shù),能夠進行個人健康和金融信息的安全交流或存儲。
Kushner坦言,與保障客戶數(shù)據(jù)安全有關(guān)的任何資格和經(jīng)驗,不管是關(guān)于數(shù)據(jù)泄露預(yù)防的,還是關(guān)于數(shù)據(jù)庫的安全技能的,都是熱門。他說,另外一個不斷增長的領(lǐng)域是評估第三方合伙人的風(fēng)險。評估第三方的風(fēng)險主要涉及到監(jiān)管、合規(guī)及風(fēng)險等,企業(yè)所接受的工作可能是上述技能的混合。
Bump說,這意味著知道哪種安全技能適合單位的需要,并且知道這種安全技能的發(fā)展方向。這是安全工作的一個動態(tài)變化。
ClearanceJobs.com的Lesser認(rèn)為,聯(lián)邦政府機構(gòu)和合約人公司中最空缺的工作是信息安全和保險專家。這些工作包括DoD最新的可進行深透測試的道德黑客認(rèn)證。
3、風(fēng)險管理
最近由思科對全球的CCIE進行了一項調(diào)查,其中有60%的被調(diào)查者認(rèn)為安全和風(fēng)險管理將會在未來的五年內(nèi)成為最急需的技能。
思科的安全解決方案營銷主管Fred Kost認(rèn)為,有越來越多的單位在考慮如何部署安全,以便于將企業(yè)所面臨的風(fēng)險最小化。他說,他們更多的客戶正在尋找能夠進行防御并能夠支持業(yè)務(wù)運作的人員??蛻魝冊诳紤]合規(guī)問題、風(fēng)險管理問題,還有更寬廣的業(yè)務(wù),即如何部署安全從而將風(fēng)險趕出企業(yè)。
他說,現(xiàn)在,也有更多的安全工作適合于更多的人員類型。他說,如果讓你監(jiān)視一個控制臺,并查找事件,那么,這就是一套技能。如果你正在評估企業(yè)風(fēng)險或者正在處理審計和合規(guī),這又是另一套技能。比起過去,這種狀況為當(dāng)今的安全專家創(chuàng)造了更多的機會。
4、業(yè)務(wù)的敏銳性
當(dāng)今的許多IT安全工作超出了技術(shù)的范圍,要求安全專家理解企業(yè)業(yè)務(wù)是如何運作的,還要知道安全如何支持這些企業(yè)和業(yè)務(wù),并且能夠保護企業(yè)。
思科的一種新認(rèn)證就反映了這種朝著更現(xiàn)實的經(jīng)驗的轉(zhuǎn)變:思科認(rèn)證架構(gòu)師。根據(jù)思科的說法,思科認(rèn)證架構(gòu)師必須能夠清晰的說出特定安全或網(wǎng)絡(luò)技術(shù)的企業(yè)價值,只有這樣才能夠滿足要求。
Fred Kost說,所以,例如,在兩家銀行合并時,安全專家需要能夠理解整合運營的業(yè)務(wù)需求,然后選擇實現(xiàn)這些需求的適當(dāng)技術(shù)。這些安全專家擁有雄厚的技術(shù)背景,但是還要把技術(shù)轉(zhuǎn)換成企業(yè)的需要。他們在大型的解決方案部署和維護方面擁有大量的經(jīng)驗。
同時,找工作的人最大的一個錯誤是,以獲取實際的工作經(jīng)驗(包括對企業(yè)業(yè)務(wù)的泄露)為代價,過分強調(diào)認(rèn)證。
有些找工作的人總在說,我有認(rèn)證或我有經(jīng)驗。在這些人當(dāng)中存在著爭議,Lesser認(rèn)為,應(yīng)當(dāng)將兩者結(jié)合起來。他認(rèn)為,認(rèn)證對于在政府工作的任何人來說都是必須的。但是認(rèn)證并非全部,也并非終點?,F(xiàn)實的經(jīng)驗也是很重要的。