网络安全技能短缺的真相与行业现状分析

本文深入探讨了网络安全就业市场的现状,揭露了所谓的"技能短缺"真相,分析了从SOC分析师到红队测试等基础岗位的竞争激烈程度,并针对求职者、教育机构和资深从业者提出了切实建议。

Lesley,所谓的"网络安全技能短缺"到底怎么了?

你现在感到压力大吗?我压力很大。大多数美国人都是如此,网络安全求职者绝对也不例外。我做了大量的职业指导和职业咨询,亲眼目睹了最严峻的情况。最近几次的周日指导课程中,每次都有两个或更多的人突然哭起来。这也让我在情感上感到疲惫。是时候了,互联网。我们需要谈谈网络安全就业市场的糟糕状况。

网络安全就业史(第一部分)

我不想显得老气,但我从事这个行业已经相当长的时间了。当我进入这个领域时,那是一个不同的时代,就像今天的许多经理和资深人士一样。25年前,网络安全大多(别挑剔我,学究们)是一个单一的角色,人们常常出于必要性而被推入其中。黑客有时会转型,但通常都是不幸的管理员。

15年前,网络安全有一个进入大多数角色的标准路径 - 直接从大学或技术学校进入SOC轮班工作,或者其他低级技术角色。热情比证书更受重视 - 通常只需要Security+证书。在做了几年的警报分类后,你会转向更专业的方向。

然后,情况开始恶化。

大约5年前,大学和培训营真正意识到,即使是那些入门级的SOC工作也报酬不错。它们不像软件开发、网页开发或服务台那样被外包。为了让它们对营利性教育机构更具吸引力,当时只有少数几家认证公司提供培训,还有几所大学。这是一个巨大、利润丰厚的市场。

然后,出现了那些该死的"技能短缺"研究。

他们说99%没有引用或证据的统计数据都是编造的。这就是其中之一。网络安全存在"技能短缺"吗?嗯,这真的取决于你调查的是谁!如果你问我,面对不可能完成的关键基础设施网络安全案件量,我当然会说需要更多训练有素且充满热情的人。如果你问那些看到恶意软件逆向工程或威胁情报中严重缺乏多样性思维的人,他们当然会说我们需要扩大招聘范围。如果你与那些在云技术债务或新隐私法规中挣扎的人交谈,他们都会指出在寻找合格人才方面面临的挑战。是的,确实有空缺的职位没有填补,对手对一切构成的挑战也在不断加剧。

你会注意到,我刚才提到的所有工作都不是典型的"初级渗透测试员"和"SOC分析师"这样的入门级路径。而这些正是那些营利性教育机构抓住并开发了数百个千篇一律的学士和硕士课程来填补的角色。然后将其作为黄金门票出售(特别是对退伍军人和弱势群体)!

我们现在面临着一个巨大、巨大、巨大的问题

大学、学院和培训营大肆宣传了一个实际上并不存在的入门级技能短缺,而这些项目的所有人刚刚毕业,而且是同时毕业。我无法用数字和逻辑表达情况有多么严峻。在美国,我的同行报告称,SOC角色的合格候选人(经过人力资源筛选后)超过100人。红队的情况一直更糟。这些数字意味着人力资源和招聘人员可以(有时必须)不断提高最基本、入门级网络安全角色的最低门槛。

10年前,一个两年制学位或类似的工作经验加上像Security+这样的基本证书就足以找到工作,大学毕业生更是十拿九稳。而今天,我看到这些可怕的要求成为了获得入门级SOC面试的典型最低要求:

  • IT学士学位(计算机科学或工程专业优先于网络安全)
  • 两年以上全职通用IT经验,如服务台角色或系统管理员
  • 完成二级SOC认证,如Cisco CyberOps或CySA+
  • 社区工作,如会议志愿者、CTF排名或工具开发
  • 无需签证担保的工作权利

这就像是让人们获得电话面试的绝对最低要求,这非常令人担忧。这对行业产生了几个负面影响。

首先,它使候选人的多样性大大降低,因为他们必须有金钱、时间和资源来满足这些昂贵的要求。他们也几乎都接受了相同的千篇一律(有时已经过时)的教育。当我们面对资源更丰富、适应性更强的对手时,这真的很糟糕。

其次,这些限制性的招聘做法通常没有为我们真正需要填补的利基和高级角色提供良好的渠道。是的,网络安全中确实存在必须要有实践经验的角色。它们只是不是入门级的,并且需要接触机会。这要求我们作为组织和资深人士确保初级人员能够达到那里!必须有人给他们机会。

这对资深人士和招聘经理意味着什么?

我们需要提供更多指导。免费提供更多诊所和培训。我们必须在职位发布要求上小心谨慎,尽量不对非传统背景设置障碍。不要再假设人们的进入路径会和我们一样。今天的情况要困难得多,他们甚至需要做更多的工作才能获得面试机会。

这对大学意味着什么?

有一些优秀的学校在网络安全方面做得很好。然而,如果你的学校在2025年还在推销入门级技能短缺,那么你应该感到羞耻,因为你们的毕业生在这个糟糕的市场中甚至几个月都找不到实习机会,却留给我们来收拾残局。说真的,你们这些销售人员都该下地狱。如果你是个正派人,请评估你的课程的时效性和相关性。涵盖非传统的利基领域,鼓励批判性思维和终身学习。设定合理的职业和薪资期望!

这对求职者和学生意味着什么?

首先,我非常、非常抱歉。这是实话实说,不是设置障碍。我每个月都会见到几十个你们这样的人,你们中的很多人做得都对。10年前,你们会在一个月内找到工作。现在需要一年时间。你们将不得不比前辈们走得更远,扩展你们的简历并与招聘负责人建立联系。这不会容易,你们也不会赚那么多钱。认证将是必须的。

如果没有四年制学位,或者没有可转化的实质性IT工作经验,获得一个角色将非常困难。找一个导师。对你目标瞄准的利基领域有一个非常清晰的计划,并考虑除了SOC分析师或渗透测试员之外的角色。我不会点名那些更"维护性"的角色,因为如果我这样做了,那些角色也会被挤爆。跳出思维定式,思考那些需要完成但没有被学校过度推销为酷炫性感的网络安全工作。我为你们加油,请不要放弃。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次