網絡安全正受到世界各國政府及企業(yè)的高度關注,其渴望構建安全產品并保障敏感數據免遭入侵。惟一的難題在于,網絡安全屬于一類相對較新的技能,且市場上可供選擇的人才還非常有限。
英特爾與美國戰(zhàn)略與國際研究中心(簡稱CSIS)共同調查了775名IT決策者,其中82%表示其目前正面臨著網絡安全技能短缺的問題。正因為如此,美國政府設立了國家網絡安全研究計劃(簡稱NIC),旨在通過從中學階段引入網絡安全課程的方式解決市場對專業(yè)人才日益增長的需求。
然而我們必須承認,網絡安全的前景呈現出愈發(fā)迅猛的變化態(tài)勢,且復雜度亦在不斷提高。這意味著“今天學習的知識可能無法解決明天出現的問題,”金融服務行業(yè)技術供應商Sungard公司全球CSO Shawn Burke表示。
實踐出真知
Rook Security公司應用與產品開發(fā)負責人Michael Taylor指出,網絡安全知識并不一定能夠通過本科教育掌握。Taylor曾在普渡大學與印第安州立大學擔任網絡安全課程導師,其結合自身經歷指出,學生們普通缺乏實踐經驗。
學生們可能學會了如何編程及開發(fā)應用,但卻很少貫穿整個開發(fā)流程考慮安全問題。相反,這部分內容的引入太過滯后。他建議稱,這種實踐經驗的缺失導致學生無法“在畢業(yè)之后立即為團隊貢獻扎實可靠的代碼成果。”
他同時表示,“一般來講,學生們能夠很好地把握計算機科學中的算法、數據結構及其它主題,但卻很難理解如何令程序更經久耐用、容錯且安全。”
像黑客那樣思考
Taylor表示,學生們需要學會“像黑客那樣思考”,從而充分把握構建安全應用的訣竅。這種思維方式能夠讓學生們更加了解其需要對抗的目標,而企業(yè)正需要這種能力以幫助自身節(jié)約成本。
“在生產環(huán)境下修復安全漏洞的成本遠高于立足開發(fā)或者分段環(huán)境時進行解決。教會開發(fā)人員如何以安全方式開發(fā)應用,能夠顯著降低解決數據泄露以及生產問題的相關成本,”Taylor指出。
另外,實現網絡安全還需要學生們充分利用各類創(chuàng)造性方法,而非單純著眼于技術角度?,F實情況是,即使擁有全部正確的“硬技能”,要了解如何防范尚未出現的威脅,我們仍然需要配合發(fā)散思維。
“盡管某些從業(yè)者可能對于安全技術與概念擁有深入了解,但他們可能不清楚如何在業(yè)務背景下應用這些安全邏輯。解決方案已經變得更為復雜,所以我們需要更多具有創(chuàng)造性的問題解決能力,”Burke表示。
擁抱軟技能
根據白帽學院創(chuàng)始人兼非營利性組織Opportunity@Work CTO Fletcher Heisler的說法,網絡安全專業(yè)人員還需要良好的溝通及人際關系處理技巧,而這些顯然是高校教育所無法給予的。
“對于大多數網絡安全職位,從業(yè)者需要了解能夠保護企業(yè)的可行政策,組織社交工程攻擊應對培訓,同時使用用戶友好度相對較高的系統(tǒng),這往往比特定技術知識更加重要,”Heisler指出。
軟技能對于IT領導者同樣重要,因為其需要協(xié)調預算、就威脅狀況進行有效溝通并向其他高層管理者傳達網絡安全趨勢。這亦意味著對最終用戶抱持同情及理解的心態(tài),確保始終使用用戶友好型系統(tǒng),從而順利引導那些并不精通技術的員工,他解釋稱。
挖掘人才儲備
很明顯,人才培訓是一種周期性工作,因此企業(yè)在空檔期內需要盡可能挖掘現有人才。一般來講,我們的隊伍中已經擁有理想的人選,企業(yè)方面需要想辦法“為這些人才提供時間與資金投入,”Heisler表示。
企業(yè)可以考慮鼓勵員工參加夏令營、研討會、兼職課程以及專業(yè)進修課程等活動,以提升自身網絡安全水平。行業(yè)專家們建議,專項培訓計劃將成為未來網絡安全教育中的重要組成部分。
斯坦福大學網絡倡議項目執(zhí)行董事Allison Berke博士認為,學生們應該以項目需求為核心組織學習流程。如果他們對機器學習抱有興趣,則應允許他們參加相關研討會、對話以及現場教學活動。其中一部分需求亦可通過在線培訓及認證課程形式實現,從而幫助學生們像專業(yè)人員那樣選擇特定技能進行學習及提升。
“去年冬季,美國司法部聯(lián)邦檢察官Kathryn Haun就曾經針對Silk Road(某暗網黑市)進行了一堂數字化貨幣與網絡犯罪應對知識教學。未來的教育工作應該以傳統(tǒng)課堂與網絡教學、研討會、分組討論以及會議相結合的形式存在,幫助學生們與行業(yè)乃至政府機構對接,共同探討目前存在的問題,”她表示。
原文標題:Cybersecurity skills aren’t taught in college,作者:Sarah K. White