根据ESG和国际信息系统安全协会(ISSA)的最新研究报告,57%的组织声称他们受到了全球网络安全技能短缺的影响,44%的组织认为技能短缺在这几年里变得越发严重了。而现实中,我们可以看到的是,安全从业人员的工作量在不断增加,他们在安全方面的工作回馈甚至要长达数周或数月,很明显,这一结果导致了安全从业人员的工作倦怠率和流失率居高不下。
在国内,也有同样的调查报告印证了这一点。安在发布的《2022中国网络安全产品用户调查报告》中显示,由于新冠疫情导致的经济不景气,企业对网络安全的用人需求下降明显,虽然有35.86%的企业增加了岗位,51.51%的企业保持的岗位,仅有12.63%的企业进行了裁员。但这一数据相较于上一年度,人员增加企业同比下降了22.56%,同时减少岗位企业的占比,同比增长了12.63%。表现出企业用人谨慎地迹象。
同时,调查显示,我国企业在配备网络安全专职人员时,人员数量占IT总员工比重仍然较低。300人以下的小型企业中,企业网络安全专职人员的中位数为0-2人,其占公司IT人员的比重约为10%-20%;在300人至1000人的中型企业中,企业网络安全专职人员的中位数为1-4人,其占公司IT人员的比重约为5%-8%;在员工超过1000人的大型企业中,企业网络安全专职人员的中位数为3-10人,其占公司IT人员的比重约为1%-3%。
这样低比例的人员配置,要在日益复杂的网络环境中完成更多、更具挑战的安全任务,那么工作倦怠和人员流失也就是自然而然的事了。所以,为了阻止这一现象的加剧,各行各业的企业、组织都得对此提高警惕。
专业治理协会 ISACA 在其《2022 年网络安全状况:劳动力努力、资源和网络运营的全球更新》中写到,在对2000多名网络安全专业人员进行调查后发现,63% 的网络安全职位仍然空缺(比 2021 年增加了 8 个百分点),而 62% 的网络安全团队表示人手不足,同时20% 的受访者表示需要 6 个多月的时间才能找到合格的网络安全候选人来担任空缺职位,还有60% 的受访者则表示在留住“合格的网络安全专业人员方面”面临着极大的挑战。
Booz Allen网络组织人才战略专家Erin Weiss Kaya对此表示:“安全仍然是一个新兴行业,而威胁又几乎每天都在变化,包括新的威胁因素、新技术和5G的演变等。然而,安全行业的失业率是0%,意味着对安全人才的需求远远超过了目前的供应。”那哪些安全岗位上的人员最不足呢?根据2022年末ESG的调查研究,37%的组织缺乏安全架构师,相关研究人员表示,其中最为严重的是这两个架构师角色:云安全架构师和专注于技术集成的架构师。此外,35%的组织表示缺乏安全工程师。安全工程师是安装、配置和维护安全解决方案的人员,因此缺少安全工程师就等于在安全技术使用方面会不够理想。ESG发现,对精通检测工程(即检测代码、Sigma/Yara规则创建等)的人员需求日益增长,因此不难看出,Anvilogic、CardinalOps和SOC Prime等供应商的激增是旨在弥补检测工程上的差距。还有34%的组织表示缺少三级SOC分析师。三级SOC分析师是SOC分析师中最具经验的,他们常常面临着困难的升级和调查,并经常承担搜索主动威胁的任务。在别无选择的情况下,组织会退而求其次,请相关的供应商来代替三级SOC分析师。有33%的组织表示缺乏漏洞管理分析师。由于IT资产存在未被发现、配置错误和易受攻击的区域,所以这样的短缺会导致网络风险增加,而漏洞管理分析师可以很好的弥补这一短板。最后,31%的组织表示缺乏CISO、BISO或其他高级安全职位。这种短缺意味着许多组织在运营安全计划时,没有相关的领导来识别网络风险,来管理企业安全计划,以及与各高管合作,使安全和业务保持一致。
多年来,国外安全专家一直在研究网络安全技能短缺的问题,他们因此总结出了新的因素:当前的经济状况。他们表示,在未来12至18个月内,经济下行将加剧网络安全技能短缺的情况。
某国外知名CSO认为,安全从业人员在求职时会更具选择性。他表示,在过去的10年中,安全从业人员获得了丰厚的薪酬,而这些薪酬通常与股票、期权等挂钩。随着市场逐渐低迷,IPO不见踪影,安全从业人员也将避开股票,转而将资金变现或存于银行。而除了薪酬之外,经济动荡往往会导致更多的风险规避行为,安全从业人员可能会变得更为冷静,对职业发展采取谨慎的态度,他们会静静等待经济风暴的平息,在此期间他们将不再活跃于市场。这些行为变化在硅谷中最为明显,在硅谷,职业风险转移和股权是标准的操作程序。此外,CSO指出,大量使用安全服务将耗尽人才库。“看看其他人的研究报告,我们会发现越来越多的组织正在转向托管服务,因为其内部负担过重、技术不足的安全人员太多了,所以只能依赖于他人。最近关于安全运营的ESG研究表明,85%的组织在使用某种类型的托管检测和响应(MDR)服务,而88%的组织计划在未来会增加对托管服务的使用。”随着这种趋势的持续,托管安全服务提供商(MSSP)将会增加更多的人员,以应对疯狂增长的需求。由于托管安全服务提供商的商业模式大多为自动化扩展运营,因此他们会提高员工的福利和生产环境,并愿意提供比传统组织更丰厚的薪酬,比如在小城市里,一家较为先进的安全服务公司,就很容易对当地的人才形成近乎垄断的局面。“执行层面,我们还将看到对虚拟CISO(vCISO)服务的需求在不断增加,目的是为了在短期内创建和管理安全程序。”另一方面,CSO认为“招聘待机”将成为阻碍。在经济下行的日子里,组织经常会做出“忍痛割爱”的决定,比如削减培训、减少劳动力或不再招聘。当这种情况发生时,CISO必须和人力资源部进行必要的争论和商榷,从而减缓“招聘待机”的过程,并同时迫使组织在人手不足或缺乏关键技能的情况下管理安全。由此可见,经济下行对CISO的工作产生了影响,尤其是那些已经在处理人员配置和技能问题的CISO。那他们能做些什么呢?增加培训预算,加强对关键员工的承诺,加强与供应商之间的合作,最大限度地利用供应商所提供的产品,并为员工提供相应的工作服务。
除此之外,CISO在部门内也可以进行一定的文化实施,因为安全从业者和其他岗位的人员一样,也会从薪资匹配、个人提升、团队氛围、部门地位等多个方面来进行权衡,因此相应的企业文化会对“填补安全技能”有着积极的影响。当然,能为安全人才匹配具有竞争力的薪资肯定更好,而对于安全从业经验丰富的安全人才来说,他们可能会更看重发展,比如更大的平台和发展空间,对他们来说可能是更重要的因素,CISO如果能为安全人才提供更多能力施展的机会,让安全人才体现自己的价值,那他们自己或许也会想办法提升安全技能。
同时,安全部门在企业的地位也很重要,地位的高低决定了安全团队的价值以及安全资源投入的倾向性,安全部门的地位从另一个角度也体现出安全团队的整体能力,整体能力高的团队通常具备较高的工作效率和较强的自我驱动力,因此在这样的团队中也就更加有利于激发个人能力的提升。总结而言,安全态势在不断变化、安全技术也在持续更新,因此CISO应该结合内外部态势,不断引入新思路和新技术,这样才能提升安全团队的兴趣和见识面,同时牢记,重复的内容往往容易让人对工作失去兴趣;安全技能短缺已是事实,因此CISO要能提供资源,对员工进行能力培养,而由于安全涉及的知识领域比较广泛,入门门槛相对较高,所以要提供有效的培训和认证课程,这样才能帮助安全人员不断提升。最后用国内知名安全专家的话来说:“当经济周期开启变化的时候,我们需要接受现实,虽然各行各业都如履薄冰,并且在未来的3年里不会有太大的提升,但稳字当先,我们可以追求在安稳中度过困境。因此安全要稳,企业更要稳。而一般一个中等经济周期也就8-10年左右,行业如果能过挺过去完成浴火重生,安全必然大有可为,但现在,短期内,我们必须学会如何更好的适应。”
国外安全专家帕尔马表示,虽然培训专业人员并不能弥补安全行业的人才漏洞,但可以为安全人员赋能,使他们更好的面对安全事件。同时他还提出:“我们所做的事情是崇高的,它有一个伟大的目标,就是为了让世界更安全!这是我们作为安全人员的使命!”
因此,当经济压力更多的来临时,当越来越多的员工辞职时,安全行业需要宣传这一使命,以此来吸引更多的新鲜血液:难道你们不想成为推动伟大目标的一部分吗?!帕尔马说:“我们需要招募这些员工并告诉他们,如果你担心世界会越来越败坏,如果你想活得有意义,那么你就来从事网络安全,我们会教你如何对抗全人类的敌人!” 对于安全培训,国内安全专家们一致认为,培训内容要结合案例和业内权威人士的建议,因为这样可以加强员工对安全事件的认知,也可让公司高层对网络、安全防护的意义、数字化趋势有更好的意识。除此之外,让安全团队的每位成员多参与安全圈内的各项研讨会、线上直播、业内交流会等,也能有助于开拓眼界,跟进最新的安全技术,让彼此有所借鉴,就像业内所流行的那句话“让安全的每位同僚一起守望相助”。而安在新媒体在举办聚会、课程方面可谓独树一帜,在此希望更多的有缘人、安全从业者可以参与进来。
在经济下行加剧网络安全技能短缺的情况下,组织、企业将面临哪些方面的风险?对此又该如何应对?国内安全专家如此建议。
某券商安全专家宋士明认为,经济下行通常会使企业用户的业务发展放缓并引发安全投入的降低,进而也会直接导致安全厂商收入的降低,安全厂商对安全产品和解决方案的研发投入因此也会随之降低。同样,在经济下行的大背景下,一些安全新技术新方案的落地实践也可能会放缓或滞后,极端情况下甚至会被扼杀在萌芽状态,错过发展的黄金期。总体上,在经济下行大背景下,随着安全投入的降低,组织、企业通常会面临较高的安全合规不到位、安全防护能力不足、安全人才培养滞后等风险。宋士明指出,作为安全从业人员,在经济下行导致企业安全投入下降的情况下,需要更加重视现有安全投入基础上的安全隐患排查和安全整改加固工作,做好安全管理与技术方面的基础工作,务必得做实做细。建议安全从业人员通过加强专业学习、技能培训及行业交流,主动提升自己的专业认知和安全技能,为经济回暖后企业安全投入做好充足准备,让安全投入紧扣企业的业务发展战略,把有限的安全投入花在安全建设的正确位置,做到有的放矢,不花冤枉钱,实现安全从业的专业价值和使命。某企业安全专家ziven认为,在经济下行的背景下,安全从业人员流动性倾向减少,在这样不稳定、动荡的环境里,安全从业人员对于公司业务稳定性十分担忧,对于自己职业稳定性忧虑均呈现出上升状态,随着经济整体下行,高阶安全从业人员的综合收入均出现一定程度下滑,IPO的不确定性,股票市场的持续动荡,均造成安全人员收入的不稳。在整体市场需求持续疲软下,安全人员选择空间与机会条件均呈现下滑趋势,保守与稳定期望加具,人员与市场的流动性均倾向减少。而在另一个视角,裁员、降薪等情况普遍出现,更加加剧企业人员流动,在财务控制视角下企业安全成本的持续控制与收缩,势必会加剧基础安全事件,人员安全事件,内部安全事件的发生概率,因此,安全托管服务以及安全基础代运营服务有望获得新一轮发展机会。中通信息安全专家陈圣表示,当前,世界经济将面临增长下行的挑战,我国经济社会发展仍处于外生冲击下的恢复阶段,整体经济环境是好的,希望2023年国家的各项政策能推动整体经济朝更高的方向发展。同时,由于社会的数字化依旧不断地创新发展,人们对技术的依赖度越来越高,大家可以看到很多领域都围绕着自动化、网络化和智能化来保持其所特有的功能,由于维持这些运转的因素都是相互关联且数字化的,因此一切都需要得到有效的保护。这也就意味着,在网络安全行业依旧存在着技能短缺的问题,新技术的引进,越来越多的数据、网络设备的增加,使得网络安全从业者的工作量不断增加,各种各样的网络安全人才,如网络安全架构师、网络安全工程师、漏洞管理、软硬件维护,甚至网络安全开发等等职位都会出现匮乏的情况,随着法律和合规的要求不断具体和深化,CISO(首席信息安全官)甚至BISO(首席业务信息安全官)的需求量也有增无减。而令人担忧的是所带来的更深层次的风险问题,网络犯罪分子甚至政治背景下的网络攻击行为者越来越频繁地发起攻击,有些攻击甚至会隐藏或潜伏更久的时间,因为这些趋势及行为,可以给网络犯罪分子带来极其丰厚的利润及政治果实,因此这部分会给组织、企业带来更加严重的侵害或者经济损失。“以上说的都是外部因素,而内部因素则是在经济低迷时期,企业一般会控制成本,大力削减不必要的开支及冻结招聘,发生这种情况会直接导致企业招聘预算受控,无法增加相关的人力资本投入,短期内迫使企业在忍受人力不足或缺乏关键技能的情况下管理网络安全。”陈圣认为,作为安全从业者,在这样复杂多变的世界环境及经济趋势下,首先应该是更加重视协作、独立思考及解决问题等能力和习惯的养成。“团队及平台至关重要,这些可以帮助我们以战略和协作的方式工作,以降低个人考虑不周或防止被某些漏洞利用。站在企业层面,应该着重发展企业内部的网络安全的技能,而不是简单地从外部寻找现成的人才,鼓励内部人才创新和持续学习。当然作为企业领导者必须尽可能地为现有的员工的技能提升提供充足的投入和支持,以培养网络安全人才并持续推动创新。”与此同时,安全从业人员应优先考虑与网络安全相关的学习和发展,使自己成为企业的宝贵资产——主动寻求优质学习与发展合规伙伴的培训机会,这与其独特的学习方法和目标是相一致的。“我始终认为,没有所谓的捷径能迅速提升技能的方法,但是有志者一定会想方设法获取一系列的学习机会,即便是没有企业或组织可以报销这部分成本,作为有着明确个人发展路径和企图心的个人,更应该不拘小节。”最后陈圣指出,面对未来的不确定因素及可能存在的动荡环境,企业和安全从业人员必须共同努力,打造一支高技能迅速适应环境变化的网络安全人才梯队,这对于“在保持免受复杂网络安全威胁的同时,并刺激内部创新永续发展”至关重要。《Economic headwinds could deepen the cybersecurity skills shortage》