信息安全企业和企业 IT 部门在招募安全人才的时候,往往本着来之能战,开箱即用的筛选原则,因此计算机科学,尤其是信息安全专业背景成了香饽饽,如今连卖煎饼果子的大妈都知道信息安全很热门,好就业。
但是一个重要的问题被掩盖了,那就是在安全市场高速增长,产业结构升级的大背景下,安全团队的基因多样化、技能多维化趋势。居安思危,虽然中国信息安全市场近年来逆势飘红,2019 年市场规模保持着 20% 的 “逆市” 高速增长,并且对标欧美日安全市场还有相当大的成长空间,但是正如安全牛在过去的报道中曾指出,信息安全职场和人才市场目前存在很多问题,女性参与度低、老龄化、过度疲劳、软技能缺失、创新力不足、职业发展道路模糊、人才流失率高等等。
信息安全市场为什么缺人才?原因很简单,源头在闹人才荒,已有的人才留不住、职业满意度低,行业整体形象刻板。
当安全产业高呼 “自主安全”、“内生安全”,要从 “最后的武士” 身上的笨重铠甲进化成钢铁侠机甲助推数字化转型时,根子上的问题——安全人才知识结构和安全文化升级被忽视了。要知道,每时每刻上演 Endgame 大戏的信息安全行业可能是对个人好奇心、持续学习能力和创造力要求最高的行业。
这个世界上最坚硬的矛和盾,往往都含有多种稀土元素。以下,安全牛整理了网络安全市场稀缺的六个非技术专业,同时也是安全技术人才提高自我修养的参考科目:
1. 数学:算法才是王道
这个无需多言,众所周知俄罗斯的 “黑科技” 很先进,这与俄罗斯数学水平全球领先有着很大关系。毫不夸张地说,未来的网络空间战争中,决胜因素就是算法,而优秀算法的背后,是一个个数学天才。
为什么 60 年代美国的阿波罗飞船能载人登月而 60 年后的印度航空器却在月球背面抽风?因为登月计划的软件工程师中很多都是数学家和物理学家。
从功利角度看,数学相关专业很多可以直接应用于网络安全业务。例如与威胁检测相关的机器学习算法模型和数据训练任务,OSINT 数据分析等。
从更深层来解读,数学专业人才具备很多稀缺特质:激情、解决难题的动力和毅力,以及批判性思维能力。
Cequence Security 的常驻黑客 Jason Kent 赞扬数学专业学生的批判性思考能力。
批判性思维和能够从不同角度看待事物,这是一种优势,特别是当面临从未遇到过的挑战时。
数学人才往往能够接受可用方案,即使这些方案看上去有些非常规。
2. 心理学:最大安全漏洞是“心理漏洞”
大家都知道企业安全防线最薄弱的环节就是人。有人的地方就有漏洞,同时人也是最大的威胁。在危机四伏的原始丛林中,最危险的动物不是大蟒蛇,而是拿着狙击步枪的 “伏地魔” 和 “老阴逼”。
黑客最爱的钓鱼攻击、水坑攻击、勒索软件等社会工程类伎俩,无一不是在揣摩和利用人的 “心理漏洞”。如今大多数黑客都有攻击框架的观念,他们懂得如何根据人的心理和行为模式调整攻击方法来骗取信任,达到目的, 这在社会工程学攻击中很普遍。而对于信息安全防御团队来说,心理学技能也同样重要。
心理学专业还能提高网络安全人员在沟通方面的软技能。匹兹堡大学网络法,政策与安全学院的常驻学者 Kiersten E. Todt 认为,心理学对于网络安全专业人员来说是大有前途的学术专业,因为心理学可以提高人类行为和沟通方面的软技能,很多涉及网络安全至关重要的人为因素。
此外,心理学的分析和数据操作在网络安全中也会很有用。托特说:社会科学的统计,分析和其他内容是有效发挥网络安全专业人员的重要技能。
3. 商业管理:安全不是企业的小脑
为什么硅谷一夜之间就被印度人以《人猿星球》的速度给接管了?一种比较流行的说法是,相比亚洲其他地区的码农,硅谷的印度码农非常热衷于进修商业管理课程,争当将军的士兵多了,蹦出一个 CEO 人选的几率自然大增。
Digital Shadows 的策略和研究分析师 Harrison Van Riper 建议有志从事安全方面工作的商业管理专业人才从纯业务与网络安全相交的地方切入。例如,会计学位很适合 IT 审计领域。此外,适用于网络安全的业务风险分析是另一个安全行业非常重要的领域。
在越来越多的企业设立 C 级别安全高管,信息安全与数字化转型高度融合的今天,CISO 是向 CEO 汇报还是 CIO 汇报,信息安全部门有多大话语权和话事权,就要看咱们这些杰出安全人才能否参透 “安全经济学” 了。
4. 哲学:安全之道
俗话说盗亦有道,但安全行业能自洽普适的 “道”(包括道德和哲学)并不多见。
哲学对于我们来说是如此熟悉又是如此陌生。哲学到底是干嘛的?熟读《道德经》和《摩托车维修艺术》能否帮我们降低 Bug 产量,或者感知未知威胁?
答案是肯定的,哲学是最高级的科学,一个不重视哲学的民族没有未来。同样,一个不重视哲学和伦理的信息安全公司或技术部门,起楼翻车都很快。
匹兹堡大学研究所的托特曾担任奥巴马总统领导下的加强国家网络安全委员会的执行主任,他说,道德方面的知与行,对网络安全专业人士和任何人都至关重要。
我认为伦理学和哲学是任何开发人才都应该掌握的辅修知识。
Thycotic 首席安全科学家约瑟夫·卡森 (Joseph Carson) 解释了在人类行为中建立基础的重要性。
网络安全不是一项技术挑战,而是一项人为挑战。我们需要提供更多可用的网络安全解决方案,因为未来的网络攻击将首先针对并滥用人类信任。
Digital Shadows 的 Van Riper 说,能够从各种角度看问题对于解决网络安全问题至关重要。
在网络安全和威胁情报中,获得对各种问题的多角度观点是进行具体而全面的分析的关键。无论是对威胁因素进行调查还是执行事件响应,了解可能受到影响的所有不同观点和观点都非常重要。
5. 音乐:你距离卓越只差一坨音乐细胞
自古以来音乐与数学和工程就有着不可描述的内在关联,但很少有人意识到,音乐人才在当下火热的大数据和信息安全领域,也是一股不可或缺的清流。也许有人会不屑一顾:要音乐人才干嘛?开发的时候担纲办公背景音乐 DJ 吗?
在《线中幽灵》一书中,凯文尼特米克同学和他的小伙伴利用音乐天赋攻破了拉斯维加斯的吃角子老虎机。但这只是音乐才能在安全领域的牛刀小试。
管理咨询与技术顾问公司 Booz Allen 的战略创新部门副总裁乔什沙利文认为,团队中的音乐人才具备 “惊人的创造力和量化技能”。当数据分析团队在处理多种数据的时候,非常类似交响乐作者编配多种乐器的过程,而这方面音乐人才是最在行的。
6. 社会学:软技能才是硬通货
就像心理学可以帮助网络安全专业人员了解个人如何使用系统一样,社会学对于理解个人在特定情况下的行为或群体的行为也非常有用。Shared Assessments 的艾伦说:我在国际商务,市场营销和组织行为方面背景和教育有助于我理解人及其动机。
(ISC)² 的辛普森认为,了解网络安全在组织内的工作原理以及如何向组织内每个人传达网络安全的重要性是至关重要的技能。
安全团队通常规模很小,需要与其他业务部门接触,培训和帮助他们提高安全意识,让网络安全成为业务部门日常词典的一部分。
辛普森说,公司必须学会吸引社会学专业人才,就像社会学专业人才也应当积极学习安全专业知识来增加对网络安全招聘经理的吸引力。他说:网络安全职业给人的印象是非常刻板和负面的:996、过劳、不被尊重、不被重视。当我热衷谈论 “大安全”、“大网络空间” 的概念时,部门主管和人力资源们也应该换换脑筋,打开思路,迎接那些内在驱动力强、愿意接受新挑战的社会科学人才。要知道,向软技能人才传授专业知识远比让专业人士掌握软技能容易。