【TechOrange 编辑部导读】
对於企业主、资安主管甚至是一般主管来说,资安的重要性已经越来越高。但无论是全球或台湾,资安人才的「大缺口」短时间内不会获得改善。怎麽在缺乏专业资安人员的情况之下,强化企业的资安体质、透过内部团队打造出强健的资安免疫系统?
这个难题,其实是有解答的。若是方法使用得当,甚至还能成为徵才、留才的一大吸力。该怎麽做呢?
本文由 Dean、蓝立晴共同编写
2022 年,网路钓鱼诈骗、网路攻击、数据泄露和加密货币盗窃数量都创新高。不难想像,2023 年的网路犯罪将再创下新高。近年来资安意识高涨,世界各国的资安团队都面临人手不足的问题。根据(ISC)² 2022 年网路安全人力报告研究指出,全球网路资安人员缺口达到 340 万名。
从台湾企业角度来看,金管会已要求:到 2023 年底前,只要企业有获利,就必须依法资安长(资安专责主管)以及设置至少一名资安专责人员。但寻找资安人才并没有想像中容易,Fortinet 共同创始人、董事长兼 CEO 谢青近日在《世界经济论坛》(World Economic Forum,WEF)撰文指出,随着全球数位转型速度加速,全球存在急需解决的资安技能差距问题,他也向企业主提出解决之道。
2023 年的资安趋势与风险
在提到解决之道之前,我们先来一起看看外部世界是如何变化的,这也是为何企业应当转变应对资讯安全的看法以及作法。
网路安全公司 Towerwall CEO 在《富比世》(Forbes)一篇投稿当中指出,2023 年将有六大资安趋势值得关注:包括:
更大的隐私和监管压力:世界各国政府都对於保护公民的数据隐私问题相当关注。根据市研机构 Gartner 预测,到 2023 年世界上 65% 的人口的私人数据将受到法规的保护,比 2020 年高出 10%。 2022 年 3 月,美国强制要求关键基础设施企业组织必须报告网路攻击和勒索软体事件。美国证券交易委员会也提议,公共组织应公开董事会成员的网路安全专业知识并定期报告网路安全实践。
零信任取代 VPN:而随着远端工作已成常见的工作模式,虚拟专用网路 VPN 已无法满足可扩展性需求,且技术本身容易受到网路和漏洞的攻击,而零信任便是一种具可扩展性且高度安全的方法。Gartner 认为,零信任网路存取 (ZTNA) 将是成长最快的网路安全形式,2023 年将增长 31%,到 2025 年将完全取代 VPN。
威胁检测和回应工具成为主流:企业要阻止或减少其影响的唯一方法,就是识别整个用户、应用程式和基础架构生态系统中的异常活动。端点侦测与回应(EDR)、延伸侦测及回应(XDR)以及托管式侦测及回应服务(MDR)等工具可以透过人工智慧和机器学习演算法分析历史数据,以发现异常模式并利用威胁情报和高级文件分析。Gartner 预测,未来几年,企业对 EDR 和 MDR 等云端检测和解决方案的需求将显着增加。
对第三方风险管理的需求增加:随着大型企业开始部署复杂的防御环境,更多网路犯罪转而锁定规模较小、资源相对不充足的供应链相关企业。Gartner 也预测,到 2025 年,45% 的组织将在其软体供应链上遭受攻击,这一数字将是 2021 的 3 倍。由於董事会和 CEO 们将要求组织改善供应链安全,将有更多针对第三方、供应商网路风险进行分类和监控的工具/服务需求出现。
更多企业将把网路安全外包:由於网路安全越来越复杂,企业大多无法自行管理,再加上市场资安人才的严重不足、企业组织内部资安技能的短缺,资安团队也不堪重负。因此企业可能将日常安全营运外包给经验丰富的资安公司。
网路保险推动对风险评估的需求:最後,网路保险费正在攀升,企业为了协商保费和风险涵盖范围,将开始进行企业风险评估,为的就是要突出其网路安全计画的成熟度。
对内部员工进行网路安全技能培训,对企业来说至关重要
面对上述种种问题,谢青在 WEF 投稿提醒,跨部门的网路安全人才已严重不足,而且这个趋势没有意外将持续下去。
他点出,「网路」、「安全」这两个词汇,让资安职位看起来需要极专业的技能才能胜任,但企业事实上可透过培训其他非专业人员来增强企业整体的资安免疫系统,尤其需要针对那些已具备软技能的员工来进行培训。
谢青解释,协作、批判性思维和解决问题等软技能对团队来说至关重要,因为这些技能可以帮助企业组织以战略与协作的方式来工作,而这些可以大幅降低企业内部的资安风险并防止漏洞被利用的机率,一系列从初阶到高阶的相关技能,都可以透过市场上的专业培训与认证课程来进行增强。
事实上,根据微软(Microsoft),「人为错误/疏失」是造成安全性缺口的一大原因,因为这会为恶意犯罪分子提供漏洞,例如员工不小心点选了恶意连结,或者不慎将资料移动到较不安全的位置等,因此,强化团队整体的资安意识、建立基础资安能力来说就至关重要。
♦ Google Cloud 认证
虽然这项 Google Cloud 认证主要是针对 Google 云端平台上进行设计、部署设定而设,不过执行安全基础建置也是这项认证的一大重点。通过 Google Cloud 认证,便具备一定的专业知识。
♦ Microsoft Azure 认证
微软的官方网站上有提供一定的课程内容让用户自学,而大多数的课程难度约为中级程度,建议有部分程式人员相关背景者修习。在通过微软 Azure 云端服务的 AZ-500 测验後,代表具有管理身分识别和存取权、安全网路、安全运算、储存与资料库以及管理安全性作业的能力。
♦ AWS 资安认证
如果企业使用的是 AWS 云端服务产品,这项云安全认证就会是团队成员的首选。通过这项认证,可以协助员工在保护 AWS 云端资料和工作负载方面具有一定的专业知识,不过此认证较适用於曾担任过资安角色且至少有两年 AWS 云端实务经验者。
♦ Fortinet 免费网路安全培训
Fortinet 则有提供免费的网路安全培训,并分别针对不同族群的需求。例如针对安全专业人员的进阶培训、针对 IT 专业人员的技术培训,以及面向远距工作者的意识培训等等。据 Fortinet 指出,透过这些培训计画、培训学院,5 年来已在全球对 100 万人进行了网路安全培训。
♦ 趋势科技教育训练
另外,像是趋势科技这类资安公司也有由资安专家讲解的线上教育课程,如果企业使用的是趋势科技的产品,就可以透过参加趋势科技产品认证训练,来获得相关的技能,以协助公司更有效部署与管理相关资安解决方案,并学习如何防范最新攻击。
♦ DEVCORE 资安教育训练
国内攻击型资安公司 DEVCORE 提供的资安教育训练则提供有别於一般坊间资安课程的训练,由於 DEVCORE 专家熟知各种骇客社群发布的最新情资及攻击手法,因此在 DEVCORE 提供的资安教育训练终将提供各种入侵攻击案例的线上环境,由专家讲解攻击概念、入侵步骤与有效的防御之道,透过建构「骇客思维」快速判定攻击目的、手法、漏洞,以更加快速应变处理。
企业最该注重的是「不会过时的资安思维」
最後,对於企业主、资安领导者来说,必须要认清的一个思维是,骇客攻击手法只会日新月异,因此网路安全也不会永远一成不变,这代表企业应该注重的是「不会过时的资安思维」,而非特定的工具或技术。透过对其他非资安专业员工进行基本网路安全概念培训,不但可以解决资安人力不足的燃眉之急,也可以藉此成为企业养才、留才的一种方式。
而对於非资安专业的工作者来说,培养自己的资安意识与技能只会有益而无害。根据 OECD 的估计,科技技术的持续进步,将在未来 10 年彻底改变 10 亿个工作岗位。
WEF 的《2023 全球网路安全展望》报告指出,有多达 59% 的企业领导人、64% 的网路领袖,将「徵才、留才」列为保持网路韧性(cyber resilience)的最主要挑战。
谢青指出,对於希望接受新型工作培训的工作者和求职者来说,「网路安全」领域提供了一个稳定的选择,也是终身学习的一大机会,无论自己现在位处什麽产业与职位,都可以透过主动学习相关知识与技能,来获得更多职涯发展可能。
参考资料:WEF、Forbes,首图来源:Photo by Sigmund on Unsplash
(责任编辑:蓝立晴)