网络安全领域有不少话题引人深思,比如安全人员的技能水平是否真的不高,还有企业如何在这两方面找到平衡点,这些问题都引发了广泛的讨论。
安全技能现状
网络安全领域,技能不足似乎已成为常态。从过去的年度报告中就能看出这一状况。并非无中生有,观察周围,许多安全人员在软件开发方面存在不足。有些公司,一个人或仅半个人就得负责整个安全岗位,他们或许缺乏开发技能,但为了公司运营,只能如此安排。
在执行安全任务时,许多安全岗位的工作人员发现自己能力不足。那些自诩擅长深度挖掘数据的印度企业,实际表现却非常糟糕。这一现象凸显了安全技能评估与实际能力之间存在的显著差距。
懂开发的优势
掌握开发技能在网络安全领域极为有利。有人曾比喻,若安全领域的人不懂开发,就如同海盗不会游泳。对开发有深入了解的人在工具应用和业务理解方面更为出色。就像有些人从学校开始就专注于学习编程技能。在团队规模不大、安全建设处于初级或中级阶段时,具备开发和业务知识的人能更高效地推动工作进展。比如在开发过程中,只有懂得业务的人才能确保工作顺利进行。
自查排查过程中,这种特长尤为突出。若精通开发,便能更高效地识别程序中可能存在的安全隐患。以前也有人提出过超越产品本身、超越开发本身的知识要求,这些都凸显了精通开发的重要性。
安全与业务的关系
安全与业务间的联系既紧密又复杂。在业务逻辑上,开发者或许比业务人员更为了解,但绝不可能完全等同于业务人员。同理,安全领域亦如此,安全人员必须与业务紧密融合。在不少工作场合,当安全人员试图对业务流程或系统提出具有影响力的建议时,往往面临不少挑战。
审计工作中,审计人员坦言自己不擅长指导专业人士,尤其在业务流程受到影响时,更容易感到无力。安全人员也有类似困扰,担心提出意见会干扰业务正常进行。
现状下的无奈
人才现状迫使企业不得不容忍安全人员技能的不足。众多安全人员缺乏软件开发知识,却肩负着网络安全和数据安全的重任。尤其在软件开发地位下降的当下,他们更要努力做好安全工作。为了生存,企业只能在人力有限的情况下尽力维持。
理想中的软件开发状态难以实现,现实中却充满了无奈。人手短缺,技能有限,更要面对监管政策变动带来的压力。我们不能只停留在理论上谈论安全,必须经受住渗透测试等实战的考验。
监管的影响
监管方式已变,不再单纯依赖文件上的安全承诺。合规审查往往伴随着渗透测试的结果。这导致企业安全部门面临更大压力。同时,一些开发者和运维人员为了降低修复漏洞的负担,采取了对抗措施。在判定漏洞时,监管还需权衡是关注整体防护比例还是单个漏洞的具体情况。
安全人员面临新要求,如何协调监管规定与实际操作,成为一大难题。若与监管方交流不顺畅,甚至可能被责令调整规则。
应对的思考
企业在面对这些问题时,需思考提升员工技能和合理规划工作任务。不能只是抱怨安全人员技能不足,更应提出改进的策略与途径。针对技能不足的问题,可以寻求外部帮助,比如借鉴审计方式,争取多方协助。
有时候我们无法达到完全精通开发的理想境界,需在现有团队基础上,制定出安全策略。面对压力,要准确判断是否确实存在漏洞等问题。
在企业现有资源条件下,你考虑如何既能提高安保人员的能力,又能确保安全工作的有序开展?
