【猎云网(微信号:ilieyun)】7月26日报道 (编译:蔡妙娴)
我们生活在一个满是流氓软件和邪恶黑客的世界,可为什么没有那么多专家来对抗这些安全威胁呢?
安全漏洞和数字工具时不时的就会登上报纸的头版头条,而更加残酷的现实是:没有那么多训练有素的专业人士来帮我们抵御这些网络袭击。
据网络安全巨头Cisco估计,全球有100多万个安全类岗位空缺。2015年,ISACA(国际信息系统审计协会)的一份报告显示,86%的被调查人员认同网络安全是一个人才紧缺的行业这一说法,只有38%的人感觉自己已经准备好应对复杂的数字攻击。
“网络安全人才正面临严重缺乏的状况,这也是在过去几年间,我们看到信息安全事故频发的主要原因之一。”ISACA网络安全顾问委员会的主席兼网络安全公司White Ops的CEO Eddie Schwartz说道。
Schwartz表示,网络安全专业人才的稀缺始于本世纪初。学校、网络行业对中等水平网络安全人才教育的关心导致尖端人才得不到培养,从而进一步加剧了人才紧缺的状况。其后果是,对已知漏洞的修修补补、安装防火墙和杀毒软件成了维护信息安全的首要措施,很少有人再去关心是否需要革新技术以对抗越来越复杂的网络安全袭击。“如果全世界面临更高级的威胁,当下大部分的合规框架都不足以用来保卫我们的安全。”Schwartz说。
同样缺乏的还有精通“白帽黑客技术”的专业人士。所谓白帽黑客技术,就是指运用恶意黑客的手段,进行安全检查来发现漏洞的技术。“在这方面我们还没有系统的教育体制,”科罗拉多安全公司Coalfire的副总裁Mike Weber说,“也没有特定的职业晋升道路能够发掘出这类人才。”
另一大挑战是,如果想大学毕业直接进入网络安全行业工作,也比较困难。大学毕业生往往需要在科技行业工作一段时间,积攒足够的经验才能判断出系统漏洞可能存在的区域。
“想要确定错误的所在位置,就得分析出如果是自己,会在哪里犯错,”Weber说,“这类工作相当于逆向工程,而一个人只有在掌握了正向工程的技术后,才能进行逆向工程。”
为了帮助填补安全领域所缺人才,包括ISACA在内的不少公司和大学都开始提供实习培训课程,专业培养白帽黑客技术人才。
佛蒙特州的诺威治大学是全美最古老的私立军事学校,该校提供相应的大学水平课程,以及网络安全领域的证书课程,教授学生计算机取证与漏洞管理等知识。
“我们的安全检测实验室在很多年前就成立了,当时是应一家大型公司的要求,帮助他们对内部IT员工进行安全检测培训。”诺威治大学信息安全与保障硕士生学位项目的负责人Rosemarie Pelletier说道。
诺威治大学接收的学生主要分为两类:一是安全行业的专业人士,想要提升自己的技能水平;二是退伍官兵,想要学习一门技术来回归平民生活。诺威治大学的网络安全专业毕业生很少有找不到工作的。
Offensive Security因开发了专注培养道德黑客的操作平台Kali Linux而闻名业内,这家公司目前又上线了自己的培训与证书项目,并提供实习机会,而不仅仅是考试过关即可。
“我们认可的基础水平是通过一项24小时的测试,”Offensive Security的总裁Jim O’Gorman说道。“学员连入一个网络,该网络中存在一定数量的系统。我们会给学员制定一系列任务,学员要么选择完成,要么干脆别做。之后,学员需要写一份文档来解释这些结果,我们的导师会根据一部分确定的评分标准,以及与学员的交流进行打分,最终只有通过与不通过两种成绩。”
然而,尽管现在已经有专门培养大学毕业生的网络安全培训项目,全世界所缺乏的相关人才仍然是一个不小的数目。更糟糕的是,申请学习网络安全相关课程的人数远远无法满足我们对于信息安全保护的需求。
在人才紧缺这一状况改变之前,许多公司将继续将其安全运营部门外包给专业团队,或将自己的IT部门外包给云服务提供商。诸如亚马逊、谷歌、苹果和IBM等互联网巨头均有自己的内部专家,足以保护自身系统的安全;大型安全公司也可以把自己的专业人士“借”给小公司用,满足后者偶尔的安全需求。
专业技术人才的缺乏给网络安全公司树立了一道障碍,让他们难以扩大公司的规模,当然,对于规模较小的公司来说,这就更难实现了。“如果你是一家中小型企业,你就必须把自己的安全部门外包出去,”ISACA的Schwartz说,“在现在这个时间点,你没有办法给自己武装这些能力。”