7月25日消息,安全漏洞攻击和信息安全问题每天都会出现在新闻上,然而比这些攻击本身更让人担心的是,专家们表示,网络安全行业根本没有足够的人才来应对这些攻击。
一份来自网络巨头思科公司的报告显示,全球网络安全行业人才缺口达到100万。而国际信息系统审计协会(ISACA,Information Systems Audit and Control Association)2015年发布的报告也显示,其86%的会员认为网络安全行业人手不足,只有38%的会员认为自己已经准备好了应对复杂的网络攻击。
ISACA的网络安全咨询委员会主席,兼安全公司White Ops首席执行官Eddie Schwartz表示:“我认为人才短缺问题是非常致命的,可以说过去几年我们在信息安全领域节节败退的主要原因之一就是没有足够的人才来应对攻击。”
Schwartz表示,当下网络安全人才紧缺的状况从新世纪之初就存在。学校和各个行业在信息安全方面对人们的训练主要是安装防火墙、杀毒软件,给系统打补丁。但真正懂得高级安全技术的人少之又少。Schwartz说道:“绝大多数防火墙是不足以低档复杂技术攻击的。”
另一种急缺的人才是被称为“白帽子”的技术人员。他们懂得黑客技术,像真正的黑客一样,他们利用这些技术来尝试渗透系统,但不同的是,他们找到漏洞后会报告给公司并着手修复,而不是用于破坏或其它恶意目的。但遗憾的是,安全公司Coalfire副总裁Mike Weber说道:“白帽子不是从学校里走出来的,没有哪个学校的项目能够训练这样的人才。”
要想成为一名合格的网络安全人员,一项不得不面对的挑战是,你不能从学校出来直接进入安全岗位。每名毕业生都需要在科技行业摸爬滚打几年,获取相关经验。只有这样,你才知道工程师们可能会在哪些方面“抄近路”来让服务器尽快上线或在截止日期前发布应用程序。
Weber谈到:“找到安全漏洞的办法就是去经历,然后看看你自己会在什么地方犯错误,别人也很可能会在同样的地方犯错。这其实是一种逆向工程,而要成功地逆向工程一样东西,你首先要懂得正向工程。”
为了填补安全专家的短缺,许多行业组织和大学都开始提供白帽子黑客技术的相关课程。被称为美国最古老私立军校的佛蒙特州的诺威奇大学(Norwich University)就向研究生提供带证书的网络安全课程,主要涉及攻击取证和系统弱点管理。
Rosemarie Pelletier是诺威奇大学信息安全保障系主任,他说道:“诺威奇大学的渗透测试实验室就是在多年前应许多大公司的要求建立的。这样我们就可以在自己的校园里教授学生们渗透技术了。”该项目的学生中,大多数是想要打磨自己的技巧的网络安全员和从军队转业到民企的人。绝大多数从该转业毕业的学生都找到了不错的工作。Pelletier表示:“那些实力过硬的尖子生在毕业后三秒钟内就被抢走了。”
Offensive Security公司则走了一条实践为先的道路,他们开发的Kali Linux系统用于手把手教授人们白帽子黑客技术。公司提供训练的同时,也向通过测试的学员提供证书。他们的测试是实践操作项目,而不是考试。
公司董事长Jim O’Gorman表示:“我们初级学员的测试是一场24小时的考试。你连接到一个具有数台计算机的网络,我们设置了几个任务供你完成。你需要写一个文档解释自己的结果,随后我们会根据事先制定好的评分标准判断你是否通过了测试。”
然而,即便现在有了网络安全专业毕业的硕士研究生,整个行业的人才短缺状况依然没有好转。在这状况得到好转之前,许多公司仍不得不把安全保障的任务外包给技术咨询人员,或者把整个数字系统交给云服务商。亚马逊、谷歌、苹果和IBM这些巨头都有自己的网络安全团队,而他们可以向小公司们提供相关支持,许多小公司其实只是偶尔需要安全专家,但需要的时候却没有的话是非常危险。
人才紧缺导致已经建立的网络安全公司很难扩大规模,而需要保障网络安全的中小型公司更是无奈,就像Schwartz说的:“如果你是中小型公司,那么你现在不可能建立自己的安全团队,你的唯一出路就是外包。”
====================================分割线================================
本文转自d1net(转载)
