使用创新手段解决安全人才短缺问题

很多企业提供更高的薪资水平和更多的福利,还有一些则试图将IT安全岗位细分化,部署更多智能系统解决安全专家的短缺问题。

640.webp (1)

Bulelock是一家位于印第安纳波利斯的灾难恢复云服务提供商,该公司在吸引优秀的安全员工帮助企业开发并管理云服务方面遇到了不少问题。

公司位于美国中西部,必须与来自西海岸和东海岸的公司进行竞争。随着印第安纳波利斯逐渐变成科技之都,它也面临着更多来自本地企业的挑战。

Bluelock公司产品与服务执行副总裁杰夫·唐 (Jeff Ton) 表示,对开发者和IT专家的竞争非常激烈,同样这对安全专家也成立。

安全技术几乎构成了该公司25%的工作内容。公司在雇佣员工方面十分激进,竭尽全力留住员工。除了增加福利之外,Bluelock正专注于和其IT员工协同合作,通过重视持续教育和有趣的项目,拓展其个人职业生涯。桐表示,基本而言,这个方式的效果不错,产生的摩擦也比较少。

“你必须吸引新的专家。之后,还必须留住他们。因此我们必须确保他们认为Bluelock是个吸引人的工作地点。”

开发者和IT专家一直供不应求。不过,随着数据泄露事件持续制造头条,拥有网络安全技术的员工发现自己正变得更加供不应求。企业很难遇到优秀的求职者,而当找到优秀的员工之后,也变得更难留住他们。

在2015年进行的一项遍及全球14000位受访者的调查中,沙利文公司发现,62%的受访者认为自己拥有的安全专家数量远远不够,而56%的受访者在2013年的调查中也有同感。由于存在需求,沙利文公司估计,到2020年,全球对安全员工的需求缺口将达到150万人,而2015年仅有20万名安全专家进入行业。

人力资源数据分析技术提供商Burning Glass的研究结果显示,这一缺口意味着雇佣网络安全专家的价格很高。IT安全行业员工平均收入比其它IT员工高9%,达到每月6500美金。2014年,大约有24万与网络安全相关的招聘需求,占全部IT职位的11%。

PatternEx公司联合创始人、首席执行官Uday Veeramachaneni说:大多数需求可以通过更有效地利用专业人员和更多情报工具实现。PatternEX公司开发人工智能和模式识别软件,通过研究分析师已经发现的问题,辨别攻击。

目前来看,大多数企业在保护系统方面非常低效,但这并不只是他们自己的错误。信息安全技术基本上已经变成了产品和系统的大杂烩,而企业通常缺乏整合它们的专业能力。因此,很多企业现在的安全策略只是增加更多的人手。

Veeramachaneni说:“大多数企业在面对没有发现的攻击时,最自然的反应就是雇更多的人。”

然而,造成这种人员短缺的根本原因是企业的工具没有效果、缺乏效率。你需要更智能化的工具,与人类进行整合。否则,你永远没办法填上缺口。

Veeramachaneni认为,更优秀的安全技术能够帮助人类员工清除杂草,更快地定位真正的威胁,节省时间并让人类集中于审查更少数量的警报。

然而,对于科技公司等很多安全员工较少的企业而言,这种方式可能不会奏效,因为它们需要的是高度熟练的安全分析师。相反,市场应当找到方法,将网络安全员工供应不足的消息传播出去,让更多企业知道。

从很多方面来看,这正是云安全和管理安全服务提供商 (Managed-security service providers, MSSPs) 正在做的事情,前者能提供定制模块化的服务,后者则更加定制化、更易管控。两者都能整合安全专家,当然这也成了网络安全专家的薪资上涨的原因之一。

Stealth Worker公司CEO、创始人肯·贝勒 (Ken Baylor) 表示,有些企业正在寻找其它方式,减少安全专家的工作时间,让企业能够获得雇佣安全专家的好处,而不需要让他们成为全职员工。与顾问不同的是,工作者不只是干了一份工作,而是将长期发挥作用。Stealth Worker是一家负责安全专家碎片化工作的初创企业。

“如果你了解咨询工作的原理,你会雇佣一些人,然后他们上交报告并走人。使用我们的服务,你可以快速雇佣网络安全专家,但这的确能帮助构建你的团队。”

Stealth Worker公司最受人欢迎的服务是虚拟首席信息安全官 (CISO) ,一位顶级的专家会同时为4到5家企业工作,每周给每家企业工作10个小时。

贝勒说:“有很多企业需要人力来运作整个项目。”身为专家的CISO可以快速让一家企业跟上节奏。“这有点像你建设自己的第一所房子:很难,你会犯很多错误,但下一次就简单多了。在推出安全项目方面也是这样。”

推动安全专家分享时间的努力不止如此,其它企业正寻找方式,雇佣自由职业者,解决特定的安全问题。比如,HackerOne和Bugcrow这两家初创公司都在寻找方式,通过让安全专家变成自由职业者,提供特定的安全服务、漏洞评估和研究。漏洞赏金是为网站、服务和软件提供漏洞评估的方式,让企业能够仅仅为结果——真正的漏洞付款,而不是永久性的雇佣。

Bluelock公司杰夫·桐表示,企业必须找到更多方式,解决安全专家短缺。

“问题不会自动消失,我认为挑战在于弄明白人们如何扮演这些角色,这将成为接下来5到10年里安全领域的关键问题。”