从人才短缺到网络安全人才管道建设

本文探讨了网络安全行业面临的人才短缺悖论:尽管行业急需专业人才,但许多新人却难以获得入门级机会。文章提出了通过导师制度、合理招聘和早期职业计划来建立可持续的进攻性安全人才管道的解决方案。

网络安全领导者经常警告全球人才短缺问题,2024年ISC2劳动力研究估计全球网络安全专业人员短缺达480万人。然而,无数毕业生和有抱负的从业者即使在进攻性安全领域寻求入门级职位也困难重重。稀缺的叙述与现实之间存在脱节,许多新鲜、有能力的候选人无法获得入门机会。这一悖论正在阻碍我们行业的发展。

在这篇博客中,我将探讨这一差距存在的原因,以及如何通过导师指导、合理招聘和早期职业计划来弥合这一差距。目标是:建立可持续的进攻性安全人才管道。

网络安全人才短缺的悖论

从纸面上看,人才缺口很大。行业报告持续指出信息安全领域存在未填补的职位。仅在美国就有数十万个空缺的网络安全工作岗位,对渗透测试和红队演练等技能的需求比以往任何时候都高。

但招聘模式却讲述了一个不同的故事。许多组织不是培养新人才,而是专注于招聘已经经验丰富的专家。近33%的安全团队根本没有入门级从业者,62%的招聘经理优先考虑中高级职位而非初级职位。这在应该有人才管道的地方留下了一个巨大的漏洞,并加剧了对有限经验丰富专业人士的竞争。

与此同时,对网络安全职业的兴趣正在激增,美国网络安全毕业生在五年内从1万增加到2.4万,增长了一倍多。除了正式学位外,训练营、认证、夺旗赛(CTF)和渴望加入行列的自学黑客也在蓬勃发展。特别是在进攻性安全领域,许多人通过在实验室和CTF中的自我实践展示了认真的奉献精神。下一代已经准备好进行黑客攻击——为什么我们不给他们更多机会呢?

进攻性安全中的入门级障碍

进攻性安全(渗透测试、红队演练、评估)中的入门级机会仍然稀缺。“初级渗透测试员”或“助理安全顾问”的职位发布通常要求3-5年经验、多个认证或只有经验丰富的专业人士才具备的技能。这对新人来说是一个两难境地:他们经过培训和学习,但无法满足不切实际的要求。

为什么设定如此高的门槛?部分原因是指导初级人员需要时间。进攻性工作风险高,涉及关键系统,需要创造力和判断力。许多团队觉得他们没有带宽培训新人。还有担心培训过的初级人员很快会离开寻找更高薪的职位。对于较小的组织来说,雇佣能够立即上手的老手可能看起来更安全。

然而,这些担忧导致整个行业对雇佣新人才持犹豫态度——这是一种不可持续的趋势。通过只雇佣已经经验丰富的专家,组织正在从有限的池中汲取资源,而忽视了培养新人才。正如一位行业观察者所说,“没有入门级职位[因为很少有人]愿意承担减少核心团队指导能力的风险。”这种心态强化了高入门壁垒,使许多有能力的新人被边缘化。

结果是:高级人才持续短缺,而初级人才无法成为高级人才,因为没有人给他们起步的机会。

导师指导与合理招聘:弥合差距

要打破这个循环,我们必须重新思考人们进入该领域的方式。这始于导师指导和招聘中的合理期望。安全团队应由不同经验水平的人员组成,高级导师指导初级从业者。当流程结构化(不依赖“英雄”专家)时,初级人员可以承担基础任务并成长,而高级人员则专注于更高级的挑战和指导。

这种学徒式模式在从工程到医学的其他领域很常见。安全领域也可以采用同样的方式。这可能需要文化变革:在高级招聘中重视教学能力,并奖励那些培养人才的人,而不仅仅是解决问题的人。

关键的是,入门级职位描述应反映现实。与其列出每个工具或认证,不如专注于基础知识(基本编程、网络、黑客思维)和学习动力。根据潜力而不是经验年限来定义角色。一个积极的趋势是,一些行业倡议现在明确鼓励这一点。最新的ISC2劳动力研究敦促组织“扩大网络劳动力机会并专注于技能发展”,强调在职培训对于培养熟练劳动力的重要性。

导师计划可以正式化这一点。将初级雇员与经验丰富的员工配对,设定目标,进行检查。是的,培训需要时间,但这是值得的。初级团队成员能更快上手,并成为忠诚的长期贡献者。我们中的许多人都欠那些相信我们的导师一份职业生涯。现在轮到我们回馈了。

教学文化不仅使初级人员受益,还能激励导师并提升整个团队的知识水平。毕竟,教学是最好的学习方式之一。

投资早期职业人才计划

除了个别招聘,公司应将早期职业发展作为战略优先事项。实习、学徒制和内部学院可以弥合学术与行业之间的差距,并创建与组织需求一致的可信人才管道。

在Bishop Fox,我们投资于实习和学徒计划,以培养下一代进攻性安全专业人员。我们为期24周的实习包括12周的培训(关于Burp Suite等工具和我们的攻击面管理服务),随后是12周的真实客户项目。实习生从不“孤军奋战”;他们每一步都受到我们交付团队的指导。

这种方法在几个月内将原始人才转化为有贡献的团队成员,同时强化了我们学习优先的文化。一个精心设计的计划给有抱负的专业人士证明自己的机会,并给组织带来新鲜视角和熟悉其工具和方法的本土人才。

正如一位Bishop Fox领导人所指出的,我们拥有令人难以置信的老牌人才,“但我们也知道新兴人才带来新想法、技术和视角……对……下一级别的成功至关重要。”培养早期职业生涯不是慈善或仅仅是为了感觉良好;它是一种战略优势。

更多公司通过启动学徒制、大学合作伙伴关系和初级轮岗职位来跟上这些努力。这些努力如果广泛推广,可以随着时间的推移显著加强我们的安全态势。

呼吁建立进攻性安全管道

我们敦促我们的客户和同行从长远考虑。拥抱早期职业人才是对韧性的投资。是的,这需要耐心:必须分配导师,接受初级错误。但回报是可持续的人才管道和与您一起成长的团队。

您不会永远陷入争夺同一少数高级操作员简历的困境。相反,您将培养自己的进攻性安全从业者“农场团队”,他们发展忠诚度和深厚的机构知识。

以下是如何开始:

  • 重新评估职位要求:专注于核心能力,而不是过多的经验或认证。
  • 将导师指导融入文化:给高级员工专门的指导时间。
  • 提供实习/学徒机会:将其视为具有可交付成果的长期投资。
  • 合作与分享:与大学合作,为开源培训做贡献,支持CTF。

通过采用这些实践,组织可以将人才短缺转化为人才管道。这是从期望“工作就绪”专家到培养自己的专家的转变。

让我们投资未来,一次一个入门级机会,建立我们所需的网络安全劳动力。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次