构建网络安全人才管道:从短缺到可持续发展

本文探讨了网络安全行业面临的人才短缺悖论:尽管行业报告显示存在大量职位空缺,但许多新人却难以获得入门级机会。文章提出了通过导师制度、现实招聘和早期职业计划来建立可持续攻击安全人才管道的解决方案。

网络安全领导者经常警告全球人才短缺问题,2024年ISC2劳动力研究估计全球网络安全专业人员短缺达480万人。然而,无数毕业生和有抱负的从业者却难以在攻击安全领域获得入门级职位。稀缺的叙述与许多新鲜、有能力的候选人无法入门之间存在脱节。这种悖论正在阻碍我们的行业发展。

在这篇博客中,我将探讨这种差距存在的原因,以及如何通过导师指导、现实招聘和早期职业计划来弥合这一差距。目标是:建立可持续的攻击安全人才管道。

网络安全人才短缺的悖论

从纸面上看,人才缺口很大。行业报告持续指出信息安全领域存在未填补的职位。仅在美国就有数十万个开放的网络安全工作岗位,对渗透测试和红队等技能的需求比以往任何时候都高。

但招聘模式却讲述了不同的故事。许多组织不是培养新人才,而是专注于招聘已经经验丰富的专家。近33%的安全团队根本没有入门级从业者,62%的招聘经理优先考虑中高级职位而非初级职位。这在人才管道应该存在的地方留下了巨大缺口,并加剧了对有限经验丰富专业人员池的竞争。

与此同时,对网络安全职业的兴趣正在激增,美国网络安全毕业生在五年内从1万增加到2.4万,翻了一倍多。除了正式学位外,训练营、认证、夺旗赛(CTF)和渴望加入行列的自学黑客也在蓬勃发展。特别是在攻击安全领域,许多人通过在实验室和CTF中的自我实践展示了认真的奉献精神。下一代已经准备好进行黑客攻击——为什么我们不给他们更多机会?

攻击安全领域的入门级障碍

攻击安全(渗透测试、红队、评估)的入门级机会仍然稀缺。“初级渗透测试员”或“助理安全顾问”的职位发布通常要求3-5年经验、多个认证或只有经验丰富的专业人士才具备的技能。这对新人来说是个两难境地:他们经过培训和学习,但无法满足不切实际的要求。

为什么设置如此高的门槛?部分原因是指导初级人员需要时间。攻击性工作涉及关键系统,需要创造力和判断力,风险很高。许多团队觉得他们没有带宽培训新人。还有人担心经过培训的初级人员很快就会离开去寻找薪酬更高的职位。对于较小的组织来说,雇佣能够立即上手的老手可能看起来更安全。

然而,这些担忧导致整个行业对招聘新鲜人才持犹豫态度——这种趋势是不可持续的。通过只雇佣已经经验丰富的专家,组织正在从有限的池中汲取资源,而忽视了培养新人才。正如一位行业观察者所说,“没有入门级职位[因为很少有人]愿意承担降低核心团队指导能力的风险。”这种心态强化了高入门壁垒,使许多有能力的新人被边缘化。

结果是:高级人员持续短缺,而初级人员无法成为高级人员,因为没有人给他们起步的机会。

导师指导与现实招聘:弥合差距

要打破这个循环,我们必须重新思考人们进入该领域的方式。这始于导师指导和招聘中的现实期望。安全团队应该由不同经验水平的人员构建,高级导师指导初级从业者。当流程结构化(不依赖“英雄”专家)时,初级人员可以承担基础任务并成长,而高级人员则专注于更高级的挑战和指导。

这种学徒式模式在从工程到医学的其他领域很常见。安全领域可以采用相同的方式。这可能需要文化变革:在高级招聘中重视教学能力,奖励那些培养人才的人,而不仅仅是解决问题的人。

关键的是,入门级职位描述应该反映现实。不要列出每个工具或认证,而是专注于基础知识(基本编程、网络、黑客思维)和学习动力。根据潜力而非经验年限来定义角色。一个积极的趋势是,一些行业倡议现在明确鼓励这一点。最新的ISC2劳动力研究敦促组织“扩大网络劳动力机会并专注于技能发展”,强调在职培训对于培养熟练劳动力至关重要。

导师计划可以正式化这一点。将初级员工与经验丰富的员工配对,设定目标,进行检查。是的,培训需要时间,但会有回报。初级团队成员能更快上手,并成为忠诚的长期贡献者。我们许多人欠我们的职业生涯于相信我们的导师。现在轮到我们回馈了。

教学文化不仅使初级人员受益,还能激励导师并提升整个团队的知识水平。毕竟,教学是最好的学习方式之一。

投资早期职业人才计划

除了个别招聘外,公司应优先将早期职业发展作为战略。实习、学徒制和内部学院可以弥合学术与行业之间的差距,并创建与组织需求一致的可靠人才管道。

在Bishop Fox,我们投资了实习和学徒计划,以培养下一代攻击安全专业人员。我们为期24周的实习包括12周的培训(使用Burp Suite等工具和我们的攻击面管理服务),随后是12周的真实客户项目。实习生从不“孤军奋战”;他们由我们的交付团队每一步都进行指导。

这种方法在几个月内将原始人才转化为有贡献的团队成员,同时加强了我们的学习优先文化。一个精心设计的计划给有抱负的专业人士证明自己的机会,并给组织带来新鲜视角和熟悉其工具和方法的本土人才。

正如一位Bishop Fox领导者指出的,我们拥有令人难以置信的资深人才,“但我们也知道新兴人才带来新想法、技术和视角……对……下一层次的成功至关重要。”培养早期职业生涯不是慈善或仅仅是为了感觉良好;这是一个战略优势。

更多公司通过启动学徒制、大学合作伙伴关系和初级轮换职位来跟进。这些努力如果广泛扩展,可以随着时间的推移显著加强我们的安全态势。

呼吁构建攻击安全管道

我们敦促我们的客户和同行进行长期规划。拥抱早期职业人才是对韧性的投资。是的,这需要耐心:必须分配导师,接受初级错误。但回报是可持续的人才管道和与您一起成长的团队。

您不会永远陷入争夺相同少数高级操作员简历的困境。相反,您将培养自己的攻击安全从业者“农场团队”,他们发展忠诚度和深厚的机构知识。

以下是如何开始:

  • 重新评估职位要求:专注于核心能力,而非过多经验或认证
  • 将导师指导融入文化:给高级员工专门的指导时间
  • 提供实习/学徒机会:将其视为具有可交付成果的长期投资
  • 合作与分享:与大学合作,为开源培训做贡献,支持CTF

通过采用这些实践,组织可以将人才短缺转化为人才管道。这是从期望“工作就绪”专家到培养自己的专家的转变。

让我们投资未来,一次一个入门级机会,建立我们需要的网络安全劳动力。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次