网络安全是世界上发展最快的行业之一。
仅在美国,这一数字就超过2021年5月至2022年4月,网络安全职位空缺70万个.根据美国劳工统计局的数据,这一趋势没有任何放缓的迹象,未来十年,网络安全职位将增长35%.从这个角度来看,所有职业的平均增长率只有4%。
无论您是想要保护最重要资产的大型组织,还是担心网络犯罪的严重性和频率的小型企业,都有足够的理由考虑聘请网络安全专业人员。
在本文中,我们将揭开网络安全行业的神秘本质,分解常见的网络角色,并深入研究网络安全最重要的技能——硬技能和软技能——这些技能将使表现出色的专业人士脱颖而出。
为什么网络安全比以往任何时候都重要?
网络安全是一个日益严重的问题,影响着世界各个角落的个人和组织。不幸的是,近年来,网络犯罪愈演愈烈,给组织带来了巨大的压力,必须优先考虑安全资源以降低风险。然而,根据战略国际研究中心(CSIS)的一份报告,82%的组织缺乏网络安全技能.
考虑以下来自IBM的统计数据2022年数据泄露报告的成本:
- 去年,全球数据泄露达到了历史新高,2022年一次数据泄露的平均成本为435万美元。这比2021年增加了2.6%比2020年增长12.7%。
- 美国的平均数据泄露总成本仍然最高,美国企业平均每次泄密损失944万美元.自2021年以来增长了4.3%。
- 连续12年,这个医疗保健行业是数据泄露成本最高的行业.医疗违规的平均总成本从2021年的923万美元增加到2022年的1010万美元,增长了9.4%。
- 有一个拥有大量远程员工的组织与更高的数据泄露成本之间存在很强的相关性.对于拥有81-100%远程员工的组织来说,数据泄露的平均成本为399万美元,相比之下,那些拥有不到20%远程员工的组织的数据泄露成本为111万美元。
- 平均而言,拥有事件响应团队的组织会测试事件响应计划,而没有事件响应团队的组织则不会节省了266万美元的违约成本.
6个需求的网络安全角色——以及寻找的硬技能和软技能
1.总资讯保安主任(CISO)
首席信息官是做什么的?
首席信息安全官,通常被称为CISO,是高级网络安全官,负责为组织开发、实施和维护信息安全计划。作为其职责的一部分,这可能包括:
- 建立一个安全团队来帮助他们实现战略。
- 开发和维护程序和政策,以帮助保护通信、系统和资产。
- 确保遵守适用的法律法规。
- 与利益相关方就信息安全问题和解决方案进行沟通。
此外,根据Evanta的2022年调查报告在美国,CISO在2022年的首要任务是云安全、战略和架构、第三方风险管理、衡量和沟通风险、用户访问/IAM以及安全操作。
无论你是在考虑从事网络安全职业,还是在努力晋升到高管级别,CISO通常被认为是一个人网络职业道路上最高级别的职位,通常是许多行业专业人士的最后一站。
成为CISO需要具备哪些软硬网络安全技能?
CISO软硬技能
硬技能 | 软技能 |
IT技能和网络安全知识 | 较强的沟通和表达能力 |
安全事故管理 | 动力和决心 |
业务专长 | 领导和监督技能 |
风险评估管理 | 有远见的 |
政策发展及管理 | 分析 |
了解法规和标准的遵守 | 协作和冲突管理 |
安全操作 | 人际关系技巧 |
2.安全架构师
安全架构师做什么?
安全架构师是一个高级角色,负责帮助设计、构建和维护组织的安全系统,以帮助保护员工、数据和客户信息。安全架构师的日常职责将在很大程度上受到其所在组织的规模和结构的影响。一般说来,职责可包括:
- 设计安全策略。
- 监督/管理项目以提高安全性。
- 领导/管理安全测试策略(即漏洞扫描,渗透测试等)。
- 定期进行威胁分析。
- 领导/管理团队。
- 确保遵守适用的法律法规。
由于安全架构这样的职位资历较长,许多候选人通过替代职位进入该领域。因此,像网络安全分析师、安全专家和事件响应人员这样的入门级角色是进入行业的好方法,为那些有兴趣从事安全架构职业的人积累相关技能。
成为一名安全架构师需要具备哪些软硬网络安全技能?
安全架构师硬技能和软技能
硬技能 | 软技能 |
云安全技能 | 协作 |
网络安全技能 | 项目和团队管理 |
软件开发和DevSecOps | 书面和口头交流 |
身份和访问管理 | 解决问题和分析 |
脚本语言 | 完整性 |
Linux、Windows和Mac操作系统 | 道德 |
3.网络安全工程师
网络安全工程师是做什么的?
网络工程师也可以被称为数据安全工程师、IT安全工程师和Web安全工程师。
网络工程师将电气工程和计算机科学技能结合起来,创建和管理硬件、软件和安全策略,以保证计算机、网络和信息安全。从本质上讲,他们的角色集中在开发和执行安全解决方案,以最大限度地减少黑客、网络攻击和威胁的影响。
网络安全工程师的日常任务因行业、规模和团队结构而异。根据HBU,网络安全工程师的职责可能包括:
- 处理网络系统安全漏洞和病毒。
- 设计、实现和测试安全措施,以保护系统、网络和数据。
- 与各部门的汇报和沟通。
- 执行渗透测试以识别系统和网络弱点。
- 与IT专家一起修改或加强计算机代码以解决弱点。
- 渗透测试,了解网络、应用和数据系统的漏洞。
- 安装、测试和配置网络。
成为网络安全工程师需要具备哪些软硬网络安全技能?
网络安全工程师的软硬技能
硬技能 | 软技能 |
编码(即精通Python, c++, Java, Ruby等) | 分析 |
防火墙和入侵检测系统 | 解决问题 |
操作系统知识 | 团队合作 |
安全协议 | 创造性思维 |
网络安全工具 | 沟通 |
数学技能 | 注重细节 |
工程知识 | 能够在压力下工作 |
IDS/IPS,渗透和漏洞测试 | 时间管理 |
4.恶意软件分析
恶意软件分析师做什么?
顾名思义,恶意软件分析师负责检查、识别和理解各种网络安全威胁,包括病毒、蠕虫、机器人、rootkit和特洛伊木马信息安全研究所.
虽然职责和期望取决于组织的规模和结构,但恶意软件分析师通常负责以下一项或多项:
- 响应事故报告。
- 建议并实施更改以支持系统恢复。
- 负责防止恶意软件攻击。
- 及时了解最新的恶意软件和软件更新。
- 与安全团队沟通系统的任何漏洞或更改。
- 创建安全策略文档。
恶意软件分析师据说是程序员和网络侦探的结合体。许多恶意软件分析师都有网络安全、计算机科学或编程方面的背景。
成为网络安全工程师需要具备哪些软硬网络安全技能?
网络安全工程师的软硬技能
硬技能 | 软技能 |
熟悉操作系统和网络 | 创造性思维 |
安全原理知识 | 较强的沟通能力 |
编程技能 | 的决心 |
识别、包含、分解和减轻零日恶意软件 | 好奇心 |
熟练编写代码(能够逆向工程代码) | 分析 |
熟练使用编程语言(能够使用高级语言) | 批判性思维 |
5.渗透试验器
渗透测试员做什么?
渗透测试人员负责识别和修复影响组织数字资产和网络的安全弱点。一般来说,渗透测试将模拟网络攻击,测试人员将试图侵入计算机系统,利用潜在的弱点和漏洞提出改进建议,以加强安全性。渗透测试员也被称为“优秀黑客”或“道德黑客”。
渗透测试人员通常使用五步流程来促进测试。根据Imperva,包括:
- 计划- - - - - -渗透测试人员定义测试目标并收集相关信息。
- 扫描-渗透测试人员使用扫描工具来更深入地了解目标如何对威胁做出反应。
- 访问-渗透测试人员发起网络攻击,以揭示组织的弱点。
- 接入维护-渗透测试人员模拟apt,以查看是否可以利用未发现的弱点来维护系统访问。
- 分析和配置—基于结果,渗透测试人员将配置WAF设置并执行更多测试以评估漏洞。
像所有网络安全角色一样,渗透测试员的职责和日常职责将取决于组织的规模和结构。然而,以下是一些常见的职责:
- 研究和试验不同的网络攻击方法。
- 对应用程序、云基础设施和网络设备进行渗透测试。
- 设计和实现渗透测试方法。
- 评估和修改代码以改进安全缺陷。
- 文档安全性和遵从性问题。
- 自动化相关的测试技术,以确保高效的流程。
- 收集调查结果和建议,报告给利益相关者。
- 逆向工程恶意软件和垃圾邮件。
成为网络安全工程师需要具备哪些软硬网络安全技能?
渗透测试员的硬技能和软技能
硬技能 | 软技能 |
编程语言(如Python、BASH、Java、Ruby、Perl等) | 解决问题 |
全面的网络和应用安全知识 | 书面和口头交流 |
不道德的黑客技术 | 协作和自主 |
威胁建模 | 自我激励 |
Pentest管理平台 | 强大的能力 |
Linux、Windows和MacOS环境 | 分析 |
安全评估工具 | 创造力 |
加密技术 | 道德 |
为什么网络安全技能很重要?
从历史上看,许多候选人通过获得相关领域的学士或硕士学位,包括计算机科学、IT、网络安全、电气工程等,才能进入网络安全职业生涯。
然而,全球合格网络安全专业人员的短缺日益加剧,迫使组织重新评估对候选人成功胜任该职位真正重要的因素,认识到候选人可能是通过其他途径或自学获得了技能。这使雇主能够接触到更广泛的人才库,并通过向代表性不足的候选人提供职位来提高多样性。
许多雇主现在依赖技能测试和工作模拟评估来自各行各业的候选人,以了解他们是否具备在该职位和公司环境中茁壮成长的能力。要做到这一点,组织需要知道哪些硬技能和软技能对该角色的成功至关重要。
Vervoe的人工智能技能评估平台有效地让组织增加他们的招聘决策的信心。通过我们现成的评估和完全可定制的从零开始构建的选项,Vervoe的技能验证平台向雇主保证,所选候选人具有完成工作所需的技能,同时为申请人提供现实的工作预览。
最终的想法
网络安全对各种规模的组织构成了不可否认的威胁。现实情况是:网络犯罪呈上升趋势,这要求企业采取务实的方法来保护其数字资产。
2022年,几乎每个工作岗位和行业都缺乏网络安全专业人员。然而,某些职位的需求增长尤其迅速,包括首席信息安全官(CISO)、安全架构师、网络安全工程师、恶意软件分析师和渗透测试员。
虽然许多网络安全技能可以跨各种角色转换,包括协作、道德规范和操作系统和网络熟练程度,但许多角色要求候选人对更小众的技术技能有基本的了解,如威胁建模和工程熟练程度。
因此,组织必须彻底了解候选人成功担任公开职位所需的网络安全技能,并辅以适当的措施来自信地验证所述技能。人工智能技能测试平台Vervoe都是在招聘过程中增加自信的好方法。