安全團隊需要新的八大金剛

Mary K. Pratt 沈建苗

據專家估計，如今美國網絡安全行業有500000個空缺崗位，包括166000個信息安全分析師崗位——這是該行業最常見的職銜。

而這個數字可能有增無減。

據普華永道的《2021年全球數字信任洞察報告》顯示， 51%的受訪高管表示，他們計劃在未來一年增加全職安全人員，22%的受訪者計劃將工作人員增加5%或更多。

企業團隊繼續需要安全分析師、安全工程師和滲透測試員——所有這些角色在許多安全部門必不可少。不過如今，許多組織期望為安全團隊增設其他崗位、設立新角色，并增加新職銜。

專家們在本文中介紹了他們認為對2021年的IT安全很重要的八種角色。

身份及訪問管理工程師

企業安全領導人日益專注于開發可靠的身份及訪問管理（IAM）實踐;由于遠程訪問程度越來越高、需要隨時隨地工作以及多云環境不斷擴大，IAM因而備受關注。

事實上，云安全聯盟發布的《2020年云身份安全現狀》報告發現，94%的受訪企業領導人將人類身份的特權和權限管理列為高優先級或極高優先級，77%的受訪者將機器身份的特權和權限管理列為高優先級或極高優先級。

正因為如此，安全領導人在設立特定的角色，并設立IAM工程師或IAM分析師之類的職銜。

人事服務公司Robert Half Technology的執行董事Jeff Weber預計，市場對這些專業人員的需求會繼續增長。

他說：“在今后幾個月，安全方面的要求納入到應用軟件生命周期中將推動需求。”他補充說，他的公司看到，首席信息安全官（CISO）讓擁有出色的問題解決和分析技能的員工獲得勝任這些角色所需要的技術經驗，以提高技能。

管理第三方風險的經理人

首席信息安全官們已注意到威脅有可能通過合作伙伴和供應商進入自己的業務運營系統，這促使他們更加關注與第三方有關的風險。安全領導人、招聘人員和高管顧問們均認為，這進而帶來了完全專注于這個問題的角色。

比如說，Stephanie Benoit-Kurtz是Station Casinos的網絡安全主管（該崗位的直屬上司是首席信息安全官），也是菲尼克斯大學網絡安全項目的系主任，Benoit-Kurtz的團隊中有一名信息系統分析師，專注于管理內部風險和管理第三方風險，因為這兩方面所需的技能幾乎一樣。然而，隨著工作的需求和復雜性日增，她預計需要有人來全職管理第三方風險。

這些角色的職銜各有不同，無論為安全團隊中的現有崗位增添全職崗位還是新職責。不管怎樣，專家們表示，這個角色的關注點一樣：審查第三方的安全政策和程序，并執行根據合同設定的標準。

IT服務管理公司Involta的首席信息安全官Annalea Ilg說：“你必須確保自己在管理這種風險，整個安全團隊必須明白提供商的職責。”

DevSecOps安全工程師

Owanate Bestman是總部位于倫敦的技術和安全專業人員招聘公司Bestman Solutions的主管，他說：“應用軟件仍然是防止泄密事件方面最薄弱的環節。開發安全運維（DevSecOps）是如今用來解決這個問題的最備受稱贊的方法。DevSecOps方面有經驗的求職者很搶手。”

他表示，信息安全領導人想要這樣的應用軟件安全工程師：深入了解DevOps方法，通曉DevOps管道工具，能夠與開發團隊合作（或者這方面有實際經驗），非常清楚Web應用軟件風險，當然還要有安全資格證書。

Sushila Nair是NTT數據服務公司的副總裁兼安全產品主管，還是國際信息系統審計協會（ISACA）大華盛頓分會的理事。她說，考慮到這些要求，人才供不應求也就不足為奇了。

Nair說：“DevSecOps并不新鮮，但是很難找到可以添加到你敏捷開發團隊中的應用軟件安全工程師。”她補充道，面臨的挑戰在于，找到集安全知識和應用軟件開發經驗于一身的人才。

威脅搜尋員

如今組織面臨的眾多威脅很復雜也很狡猾，這促使首席信息安全官設立新角色，以識別和應對這些威脅。

Stephenie Southard是伊利諾斯州弗農希爾斯的信用合作社BCU的首席信息安全官，她說：“我們需要的人幾乎像安全分析師和威脅管理者的混合體，他們要查看所有的威脅分析工具、來自防火墻的日志以及其他監控工具，了解有什么樣的威脅，回過頭來告知相關人員。他們應該能夠查看日志和警報，檢測可疑活動，檢測異常行為的某種模式，知道這是誤報還是令人擔憂的事件，還知道這表明的是情況緊急的風險還是并不重要的風險。”

Nair同樣將威脅搜尋列為一種重要角色，她說：“我們需要實用的分析技能。SolarWinds及其他高級攻擊已進一步加深了我們需要搜尋攻擊者的下落這種認識。面對悄無聲息的持續攻擊，工具常常無法提醒我們，因此我們需要知道如何搜尋網絡上的入侵者。”

漏洞風險分析師

同樣，Southard認為需要能夠跟蹤和管理企業內部漏洞的人員。“這樣才能腳踏實地地修復任何漏洞。”

她表示，她在2020年年中發現需要這一角色，當時多個因素結合在一起：從各種設備對公司系統進行遠程訪問，需要解決的漏洞層出不窮，以及組織面臨的威脅越來越多。

Southard承認，大多數安全團隊（包括她自己的團隊）已有負責處理漏洞的工作人員。不過她表示，這項工作有時被擠到其他優先事項的后面。