当提及挑选顶尖人才来弥补信息安全领域大量的职位空缺时,SecurityHeadhunter.com的安全招聘人员Wils Bell表示: “网络安全所有领域目前都处于大发展时期,没有哪个领域比哪个领域更热门一说,但是如果必须让我选择一个领域的话,我认为应用程序安全(AppSec)是最热门的。”
根据Wils Bell所言,在企业招聘网络安全人才时主要面临两个最关键的挑战:
企业不愿意为经验丰富的人才支付相应的薪酬;
很多候选人达不到他们的要求;他们虽然已经涉足网络安全领域,但是自身技能不够强大。
以下列出网络安全领域所需的几大热门技能,而且除了以下的几项实操能力外,Bell还提醒广大雇主,领导能力也是一项关键的技能。
1. 故障排除
职位需求:信息安全故障排除=20334个就业机会;
常见职位关键词:分析师、工程师、专家;
薪酬:3418个职位年薪超过10万美元;
热门地:大多数(682个)岗位需求在华盛顿;
NRI SecureTechnologies的业务发展副总裁ZacharyScott和客户经理Danielle Kingsbury解释称,故障排除技能可以用于发现任何问题和异常。
这一技能是企业有效地保护系统和环境的关键组成部分。具备故障排除技能的安全专家可以辨别哪些程序在运行?什么地方可以改善?什么地方出现异常?以及如何解决这些问题?
娴熟的故障排除技能可以帮助应用程序、设备以及系统在风险最低,环境最优的条件下运行,进而促进企业提升工作效率,改善网络环境,节约时间和人力成本。
一个系统漏洞对企业而言就是一次巨大的损失,能够快速地分析事故,排除故障找出问题根源,再利用这些信息让一切回归正轨对企业而言无疑是非常有益的。
NRI SecureTechnologies高管表示,故障排除的基本技能可以在课堂中学到,主要通过提供一个模拟现实的虚拟环境来帮助学员锻炼这些技能。
2. 天生好奇心(这也算技能?你还有吗?)
职位需求:信息安全风险=39504个就业机会;
常见职位关键词:风险经理、应用程序安全、合规分析师;
薪酬:7936个职位年收入超过11万美元;
热门地:大多数(1464个)职位需求在纽约;
多年来,网络安全行业传统的思维模式都是寻找分析人才,通过分析流程快速的发现并解决问题,一切的要求就是快…快速的做出反应!
但是Simpatico Systems的首席信息官却有着不一样的看法,他说:
“在Simpatico我们并不这么认为,我们对网络安全小组成员的第一要求就是具备天生的好奇心。他们对任何事物都想要深入探究的热情。”
将天生的好奇心用于信息安全领域,最终能够帮助缓解风险。
因为雇佣一个拥有好奇心的员工,他对任何事物是如何运行的都饱有探索热情,通过培养这种探索欲并间接地训练其探索问题的根源,能够帮助企业从根源解决问题,而不是不断地进行“洞—补—洞”这种“包扎伤口”的循环模式。
Franklin表示:
“这种特质是无法学习的,相反,它像一个怪物,需要不断地进行探索来满足。
具备这种特质的人才将推动行业发展,提出真正创新的安全解决方案,因为他们需要不断地创新探索来喂饱他们心中的怪物。”
3. 了解最新攻击趋势方面的知识
职位需求:信息安全响应=22251个就业机会;
常见职位关键词:分析师、专家、**官;
薪酬:2979个职位年薪超过10.5万美元;
热门地:大多数(729个)职位需求在华盛顿;
NRI SecureTechnologies的业务发展副总裁ZacharyScott和客户经理Danielle Kingsbury解释称,掌握最新攻击趋势方面的知识,可以在日志审查或其他防御措施部署时识别出可能的漏洞、入侵行为或其他的攻击类型等。
通过应用最新的攻击趋势知识,员工能够更好、更有效地完成安全流程——审查应用程序和用户访问权限以及用户行为等可能造成攻击发生的威胁因素。
该技能需要不断地在工作过程中进行研究和学习才能实现。
4.了解最新漏洞方面的知识
职位需求:信息安全漏洞=10957个就业机会;
常见职位关键词:分析师、工程师、专家;
薪酬:1993个职位年薪超过11.5万美元;
热门地:大多数(648个)职位需求在华盛顿;
NRI SecureTechnologies的业务发展副总裁ZacharyScott和客户经理Danielle Kingsbury解释称,最新漏洞知识可以应用于事前/事后防御的日志审核过程中。
在事前防护中,这些知识可以帮助分析师有效地识别漏洞,对可疑漏洞进行优先处理;
在事后防护中,最新漏洞知识可以帮助分析师了解攻击者完成攻击所采取的方式。
通过运用最新的漏洞知识可以帮助简化操作过程,帮助分析师将时间和精力集中到真正重要的事物上。
这是一个节约成本的过程,因为分析师可以集中精力攻克最重要的任务,而不是追逐那些可能不会威胁到公司业务的小漏洞。
虽然这个技能可以通过不断的研究进行学习,但是最有效的方法还是通过在工作中学习进行积累。
漏洞在整个行业中都是司空见惯的,有些漏洞确实存在只是我们目前还没有发现而已。
5.事件响应(自动化)
职位需求:信息安全事件响应=7605个就业机会;
常见职位关键词:经理、**官、专家、架构师;
薪酬:1495个职位年薪超过11万美元;
热门地:大多数(399个)职位需求在华盛顿;
事件响应技能可以用于处理被安全操作系统和事件检测系统识别出的漏洞和安全事件。
如果我们在事件响应的基础上加上自动化,那么技能水平就会更上一层楼,自动化事件响应数据结果如下:
职位需求:信息安全事件自动化=1265个就业机会;
常见职位关键词:分析师、**官、架构师;
薪酬:232个职位年薪超过12万美元;
热门地:大多数(48个)职位需求在华盛顿;弗吉尼亚州赫恩登排名第二(42个)职位空缺;
Sander表示:
“通过创建脚本或其他方式来实现事件响应过程自动化,可以最大限度的实现安全团队的价值,帮助其缩短平均修复时间,降低攻击事件造成的危害。”
基本的自动化技能,如脚本可以通过书本进行学习,但是对漏洞和事件响应方面的技能还需要大量的在职经验才能实现。
6. 数据分析和仪表板/可视化构建
职位需求:信息安全数据可视化=15107个就业机会;
常见职位关键词:可视化、专家、情报;
薪酬:1495个职位年薪超11万美元;
热门地:大多数(399个)职位需求在华盛顿;
Lieberman Software公司副总裁JonathanSander解释称,许多新的安全操作中心都配置机械装置,用于监控来自不同安全和操作系统中的数据流。
收集来的数据并不是最佳排列也不会直接显示在仪表板中,运营团队一直拥有一个秘密武器:具备数据分析技能的人员将庞大的数据流消化整理,并将可操作信息显示在仪表板中,实现安全可视化过程。
将可视化因素加入数据分析技能中,我们可以得出以下数据:
职位需求:信息安全数据仪表板=2106个就业机会;
常见职位关键词:评估、专家、性能管理;
薪酬:444个职位年薪超过11万美元;
热门地:大多数(126个)职位需求在华盛顿;
掌握这种技能,可以帮助安全运营团队提升工作效率,更好、更直观地与其他团队进行沟通,改善组织中各级的关系。
这种技能完全能够在学校学到,但这也意味着你必须与同学间进行大量的互动和监督工作,最大限度地利用这些数据。
7. 奴役/服务的哲学(成为一个超级英雄)
职位需求:信息安全威胁=14769个就业机会;
常见职位关键词:威胁情报分析员、入侵分析、信息保护;
薪酬:2843个职位年薪超过11万美元;
热门地:大多数(661个)职位需求在华盛顿;
Simpatico Systems公司的JeramiaFranklin表示: “在Simpatico,我们要求员工都要具备奴役/服务的哲学——成为超级英雄。
当发生最糟糕的情况,一个优秀的安全团队能够转危为安。我们所做的一切都立足于使我们的客户获得长期成功。
这种对客户承诺的价值主要通过协作确定和实施安全解决方案,积极降低潜在风险和损失成本来实现的。”
奴役(Servitude),或者可以说服务,是网络安全工程师必须开发的一项技能。
这种技能绝对能够学习的,你可以周末去做志愿者,看看你能对这个行业以外的其他人的生活带来什么直接影响,然后将这种生活哲理带回工作中,看看它能够改变你的工作方式和贵公司的运作方式。
8. 沟通
职位需求:信息安全沟通技能=145793个就业机会;
常见职位关键词:代理、审计、经理、专家、管理员;
薪酬:11555个职位年薪超过11万美元;
热门地:大多数(3029个)职位需求在纽约;华盛顿地区位居第二(2971个岗位空缺);
NRI SecureTechnologies公司的Kingsbury 和Scott解释称,沟通几乎是信息安全领域各个岗位必备的技能。
当向高层管理人员解释专业术语以描述信息安全对业务影响时,这一技能就显得格外重要。
同样地,为了确定正确的优先级,信息安全经理在与安全从业人员和分析师们沟通业务需求时,沟通技能也展示了其重要性。
良好的沟通技能同样能够帮助安全部门简化操作流程,对于什么是可行的、可控的、可检测的做出明确的规定和要求。
这个技能可以在一个人生活的全过程中得以学习,无论是与朋友、家人在一起的个人生活,还是专业业务方面都可以学习锻炼。
在安全领域,沟通技巧最佳学习场所还是在工作中,因为你必须不断提升自己的沟通技巧,让高层管理者意识到网络安全的重要性。
网络安全行业的发展催生了大批就业机会,与此同时大量的人才缺口也显示目前的人才技能还不能完全满足安全行业的职业需求,所以看到上述列举的热门技能,大家抓紧行动起来,查漏补缺丰富自身技能吧,加薪神马的再也无需主动开口……
-
参考来源:darkreading,米雪儿编译,转载请注明来自FreeBuf.COM。