安全团队需要新的八大金刚

Mary K. Pratt 沈建苗

据专家估计，如今美国网络安全行业有500000个空缺岗位，包括166000个信息安全分析师岗位——这是该行业最常见的职衔。

而这个数字可能有增无减。

据普华永道的《2021年全球数字信任洞察报告》显示， 51%的受访高管表示，他们计划在未来一年增加全职安全人员，22%的受访者计划将工作人员增加5%或更多。

企业团队继续需要安全分析师、安全工程师和渗透测试员——所有这些角色在许多安全部门必不可少。不过如今，许多组织期望为安全团队增设其他岗位、设立新角色，并增加新职衔。

专家们在本文中介绍了他们认为对2021年的IT安全很重要的八种角色。

身份及访问管理工程师

企业安全领导人日益专注于开发可靠的身份及访问管理（IAM）实践;由于远程访问程度越来越高、需要随时随地工作以及多云环境不断扩大，IAM因而备受关注。

事实上，云安全联盟发布的《2020年云身份安全现状》报告发现，94%的受访企业领导人将人类身份的特权和权限管理列为高优先级或极高优先级，77%的受访者将机器身份的特权和权限管理列为高优先级或极高优先级。

正因为如此，安全领导人在设立特定的角色，并设立IAM工程师或IAM分析师之类的职衔。

人事服务公司Robert Half Technology的执行董事Jeff Weber预计，市场对这些专业人员的需求会继续增长。

他说：“在今后几个月，安全方面的要求纳入到应用软件生命周期中将推动需求。”他补充说，他的公司看到，首席信息安全官（CISO）让拥有出色的问题解决和分析技能的员工获得胜任这些角色所需要的技术经验，以提高技能。

管理第三方风险的经理人

首席信息安全官们已注意到威胁有可能通过合作伙伴和供应商进入自己的业务运营系统，这促使他们更加关注与第三方有关的风险。安全领导人、招聘人员和高管顾问们均认为，这进而带来了完全专注于这个问题的角色。

比如说，Stephanie Benoit-Kurtz是Station Casinos的网络安全主管（该岗位的直属上司是首席信息安全官），也是菲尼克斯大学网络安全项目的系主任，Benoit-Kurtz的团队中有一名信息系统分析师，专注于管理内部风险和管理第三方风险，因为这两方面所需的技能几乎一样。然而，随着工作的需求和复杂性日增，她预计需要有人来全职管理第三方风险。

這些角色的职衔各有不同，无论为安全团队中的现有岗位增添全职岗位还是新职责。不管怎样，专家们表示，这个角色的关注点一样：审查第三方的安全政策和程序，并执行根据合同设定的标准。

IT服务管理公司Involta的首席信息安全官Annalea Ilg说：“你必须确保自己在管理这种风险，整个安全团队必须明白提供商的职责。”

DevSecOps安全工程师

Owanate Bestman是总部位于伦敦的技术和安全专业人员招聘公司Bestman Solutions的主管，他说：“应用软件仍然是防止泄密事件方面最薄弱的环节。开发安全运维（DevSecOps）是如今用来解决这个问题的最备受称赞的方法。DevSecOps方面有经验的求职者很抢手。”

他表示，信息安全领导人想要这样的应用软件安全工程师：深入了解DevOps方法，通晓DevOps管道工具，能够与开发团队合作（或者这方面有实际经验），非常清楚Web应用软件风险，当然还要有安全资格证书。

Sushila Nair是NTT数据服务公司的副总裁兼安全产品主管，还是国际信息系统审计协会（ISACA）大华盛顿分会的理事。她说，考虑到这些要求，人才供不应求也就不足为奇了。

Nair说：“DevSecOps并不新鲜，但是很难找到可以添加到你敏捷开发团队中的应用软件安全工程师。”她补充道，面临的挑战在于，找到集安全知识和应用软件开发经验于一身的人才。

威胁搜寻员

如今组织面临的众多威胁很复杂也很狡猾，这促使首席信息安全官设立新角色，以识别和应对这些威胁。

Stephenie Southard是伊利诺斯州弗农希尔斯的信用合作社BCU的首席信息安全官，她说：“我们需要的人几乎像安全分析师和威胁管理者的混合体，他们要查看所有的威胁分析工具、来自防火墙的日志以及其他监控工具，了解有什么样的威胁，回过头来告知相关人员。他们应该能够查看日志和警报，检测可疑活动，检测异常行为的某种模式，知道这是误报还是令人担忧的事件，还知道这表明的是情况紧急的风险还是并不重要的风险。”

Nair同样将威胁搜寻列为一种重要角色，她说：“我们需要实用的分析技能。SolarWinds及其他高级攻击已进一步加深了我们需要搜寻攻击者的下落这种认识。面对悄无声息的持续攻击，工具常常无法提醒我们，因此我们需要知道如何搜寻网络上的入侵者。”

漏洞风险分析师

同样，Southard认为需要能够跟踪和管理企业内部漏洞的人员。“这样才能脚踏实地地修复任何漏洞。”

她表示，她在2020年年中发现需要这一角色，当时多个因素结合在一起：从各种设备对公司系统进行远程访问，需要解决的漏洞层出不穷，以及组织面临的威胁越来越多。

Southard承认，大多数安全团队（包括她自己的团队）已有负责处理漏洞的工作人员。不过她表示，这项工作有时被挤到其他优先事项的后面。