Mary K. Pratt 沈建苗

據(jù)專家估計(jì)，如今美國(guó)網(wǎng)絡(luò)安全行業(yè)有500000個(gè)空缺崗位，包括166000個(gè)信息安全分析師崗位——這是該行業(yè)最常見(jiàn)的職銜。

而這個(gè)數(shù)字可能有增無(wú)減。

據(jù)普華永道的《2021年全球數(shù)字信任洞察報(bào)告》顯示， 51%的受訪高管表示，他們計(jì)劃在未來(lái)一年增加全職安全人員，22%的受訪者計(jì)劃將工作人員增加5%或更多。

企業(yè)團(tuán)隊(duì)繼續(xù)需要安全分析師、安全工程師和滲透測(cè)試員——所有這些角色在許多安全部門必不可少。不過(guò)如今，許多組織期望為安全團(tuán)隊(duì)增設(shè)其他崗位、設(shè)立新角色，并增加新職銜。

專家們?cè)诒疚闹薪榻B了他們認(rèn)為對(duì)2021年的IT安全很重要的八種角色。

身份及訪問(wèn)管理工程師

企業(yè)安全領(lǐng)導(dǎo)人日益專注于開(kāi)發(fā)可靠的身份及訪問(wèn)管理（IAM）實(shí)踐;由于遠(yuǎn)程訪問(wèn)程度越來(lái)越高、需要隨時(shí)隨地工作以及多云環(huán)境不斷擴(kuò)大，IAM因而備受關(guān)注。

事實(shí)上，云安全聯(lián)盟發(fā)布的《2020年云身份安全現(xiàn)狀》報(bào)告發(fā)現(xiàn)，94%的受訪企業(yè)領(lǐng)導(dǎo)人將人類身份的特權(quán)和權(quán)限管理列為高優(yōu)先級(jí)或極高優(yōu)先級(jí)，77%的受訪者將機(jī)器身份的特權(quán)和權(quán)限管理列為高優(yōu)先級(jí)或極高優(yōu)先級(jí)。

正因?yàn)槿绱?，安全領(lǐng)導(dǎo)人在設(shè)立特定的角色，并設(shè)立IAM工程師或IAM分析師之類的職銜。

人事服務(wù)公司Robert Half Technology的執(zhí)行董事Jeff Weber預(yù)計(jì)，市場(chǎng)對(duì)這些專業(yè)人員的需求會(huì)繼續(xù)增長(zhǎng)。

他說(shuō)：“在今后幾個(gè)月，安全方面的要求納入到應(yīng)用軟件生命周期中將推動(dòng)需求?！彼a(bǔ)充說(shuō)，他的公司看到，首席信息安全官（CISO）讓擁有出色的問(wèn)題解決和分析技能的員工獲得勝任這些角色所需要的技術(shù)經(jīng)驗(yàn)，以提高技能。

管理第三方風(fēng)險(xiǎn)的經(jīng)理人

首席信息安全官們已注意到威脅有可能通過(guò)合作伙伴和供應(yīng)商進(jìn)入自己的業(yè)務(wù)運(yùn)營(yíng)系統(tǒng)，這促使他們更加關(guān)注與第三方有關(guān)的風(fēng)險(xiǎn)。安全領(lǐng)導(dǎo)人、招聘人員和高管顧問(wèn)們均認(rèn)為，這進(jìn)而帶來(lái)了完全專注于這個(gè)問(wèn)題的角色。

比如說(shuō)，Stephanie Benoit-Kurtz是Station Casinos的網(wǎng)絡(luò)安全主管（該崗位的直屬上司是首席信息安全官），也是菲尼克斯大學(xué)網(wǎng)絡(luò)安全項(xiàng)目的系主任，Benoit-Kurtz的團(tuán)隊(duì)中有一名信息系統(tǒng)分析師，專注于管理內(nèi)部風(fēng)險(xiǎn)和管理第三方風(fēng)險(xiǎn)，因?yàn)檫@兩方面所需的技能幾乎一樣。然而，隨著工作的需求和復(fù)雜性日增，她預(yù)計(jì)需要有人來(lái)全職管理第三方風(fēng)險(xiǎn)。

這些角色的職銜各有不同，無(wú)論為安全團(tuán)隊(duì)中的現(xiàn)有崗位增添全職崗位還是新職責(zé)。不管怎樣，專家們表示，這個(gè)角色的關(guān)注點(diǎn)一樣：審查第三方的安全政策和程序，并執(zhí)行根據(jù)合同設(shè)定的標(biāo)準(zhǔn)。

IT服務(wù)管理公司Involta的首席信息安全官Annalea Ilg說(shuō)：“你必須確保自己在管理這種風(fēng)險(xiǎn)，整個(gè)安全團(tuán)隊(duì)必須明白提供商的職責(zé)?！?h3>DevSecOps安全工程師

Owanate Bestman是總部位于倫敦的技術(shù)和安全專業(yè)人員招聘公司Bestman Solutions的主管，他說(shuō)：“應(yīng)用軟件仍然是防止泄密事件方面最薄弱的環(huán)節(jié)。開(kāi)發(fā)安全運(yùn)維（DevSecOps）是如今用來(lái)解決這個(gè)問(wèn)題的最備受稱贊的方法。DevSecOps方面有經(jīng)驗(yàn)的求職者很搶手?！?/p>

他表示，信息安全領(lǐng)導(dǎo)人想要這樣的應(yīng)用軟件安全工程師：深入了解DevOps方法，通曉DevOps管道工具，能夠與開(kāi)發(fā)團(tuán)隊(duì)合作（或者這方面有實(shí)際經(jīng)驗(yàn)），非常清楚Web應(yīng)用軟件風(fēng)險(xiǎn)，當(dāng)然還要有安全資格證書。

Sushila Nair是NTT數(shù)據(jù)服務(wù)公司的副總裁兼安全產(chǎn)品主管，還是國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)（ISACA）大華盛頓分會(huì)的理事。她說(shuō)，考慮到這些要求，人才供不應(yīng)求也就不足為奇了。

Nair說(shuō)：“DevSecOps并不新鮮，但是很難找到可以添加到你敏捷開(kāi)發(fā)團(tuán)隊(duì)中的應(yīng)用軟件安全工程師?！彼a(bǔ)充道，面臨的挑戰(zhàn)在于，找到集安全知識(shí)和應(yīng)用軟件開(kāi)發(fā)經(jīng)驗(yàn)于一身的人才。

威脅搜尋員

如今組織面臨的眾多威脅很復(fù)雜也很狡猾，這促使首席信息安全官設(shè)立新角色，以識(shí)別和應(yīng)對(duì)這些威脅。

Stephenie Southard是伊利諾斯州弗農(nóng)希爾斯的信用合作社BCU的首席信息安全官，她說(shuō)：“我們需要的人幾乎像安全分析師和威脅管理者的混合體，他們要查看所有的威脅分析工具、來(lái)自防火墻的日志以及其他監(jiān)控工具，了解有什么樣的威脅，回過(guò)頭來(lái)告知相關(guān)人員。他們應(yīng)該能夠查看日志和警報(bào)，檢測(cè)可疑活動(dòng)，檢測(cè)異常行為的某種模式，知道這是誤報(bào)還是令人擔(dān)憂的事件，還知道這表明的是情況緊急的風(fēng)險(xiǎn)還是并不重要的風(fēng)險(xiǎn)?！?/p>

Nair同樣將威脅搜尋列為一種重要角色，她說(shuō)：“我們需要實(shí)用的分析技能。SolarWinds及其他高級(jí)攻擊已進(jìn)一步加深了我們需要搜尋攻擊者的下落這種認(rèn)識(shí)。面對(duì)悄無(wú)聲息的持續(xù)攻擊，工具常常無(wú)法提醒我們，因此我們需要知道如何搜尋網(wǎng)絡(luò)上的入侵者。”

漏洞風(fēng)險(xiǎn)分析師

同樣，Southard認(rèn)為需要能夠跟蹤和管理企業(yè)內(nèi)部漏洞的人員?！斑@樣才能腳踏實(shí)地地修復(fù)任何漏洞?！?/p>

她表示，她在2020年年中發(fā)現(xiàn)需要這一角色，當(dāng)時(shí)多個(gè)因素結(jié)合在一起：從各種設(shè)備對(duì)公司系統(tǒng)進(jìn)行遠(yuǎn)程訪問(wèn)，需要解決的漏洞層出不窮，以及組織面臨的威脅越來(lái)越多。

Southard承認(rèn)，大多數(shù)安全團(tuán)隊(duì)（包括她自己的團(tuán)隊(duì)）已有負(fù)責(zé)處理漏洞的工作人員。不過(guò)她表示，這項(xiàng)工作有時(shí)被擠到其他優(yōu)先事項(xiàng)的后面。