根据最近的卡巴斯基研究,全球超过40%的公司面临着合格的网络安全专业人员不足的问题。人员最短缺的是恶意软件分析师和信息安全研究人员。
随着攻击的频率和复杂性增加,以及企业对信息安全专业人员的需求增长符合公司对技能和专业水平要求的从业者数量正在下降。网络安全公司和国际组织进行的研究已经凸显了信息安全专业人员短缺的问题。(ISC)2网络安全人才研究显示,到2022年,信息安全人才缺口将近400万。
卡巴斯基开展了自己的研究 "现代信息安全专业人员画像",以评估劳动力市场的现状并分析网络安全技能短缺的确切原因。这项研究调查了来自亚太地区、欧洲、中东和土耳其以及非洲地区(META)、北美洲和拉丁美洲的 1000 多名信息安全专业人员[1]。
研究发现,41%的受访公司称他们的网络安全团队在人手方面存在“有些不足”或“显著不足”的情况。俄罗斯报告的网络安全人员短缺最为严重,其次是拉丁美洲、亚太地区和META地区。
总体而言,接受调查的人员表示,最缺人手的职位是信息安全研究和恶意软件分析,超过40%的公司将其列为最难填补的职位。欧洲、俄罗斯和拉丁美洲对这些职位的需求都有所增加。
安全运营中心(SOC)、安全评估和网络安全专业人员的人手不足程度稍微低一些,分别为35%和33%。SOC专家的短缺在亚太地区尤为明显,而安全评估和网络安全分析人员的短缺则主要集中在中东和META地区。
职位空缺数量最少,但需求仍然很高的是威胁情报专家(32%)。
从各行各业的网络安全需求来看,政府部门对网络安全从业人员的需求最大,并承认近一半(46%)的信息安全职位仍然空缺。电信和媒体行业的人员缺口为39%,其次是零售和批发行业以及医疗保健部门,有37%的职位空缺。
信息安全职位空缺最少的行业是信息技术(31%)和金融服务(27%)行业,但令人震惊的是,这两个行业的职位空缺仍然接近三分之一。
“为了减少合格的信息安全专业人员短缺,公司提供高薪、更好的工作条件和奖金,同时还投资对员工进行最新知识的培训。然而,研究结果显示,这些措施并不一定足够。一些发展中国家地区,国内IT市场增长速度变化如此迅速,以至于劳动市场无法在如此紧迫的时间内教育和培训出具备必要技能和专业知识的合适专业人员。相反,经济发达、业务成熟的地区却没有出现如此严重的信息安全专业人员短缺问题,其人才短缺比率低于市场平均水平,”卡巴斯基ICS CERT安全宣传员 Vladimir Dashchenko 评论说。
为了最大限度地减少全球网络安全人员短缺带来的负面影响,卡巴斯基专家给出了以下建议:
· 采用托管安全服务,例如卡巴斯基托管检测与响应(MDR)或/和事件响应服务,以获得额外的专业知识,并且无需额外招聘人员。即使公司缺乏安全人员,这些服务也有助于保护企业免受网络攻击并调查安全事件。
· 投资为员工开设更多网络安全课程,让他们掌握最新知识。通过卡巴斯基专家培训,信息安全专业人员可以提高他们的专业技能,使他们能够保护公司免受攻击。
· 使用交互模拟器来测试自己的专业知识,并评估自己在紧急情况下的思维方式。例如,通过卡巴斯基最新的交互式勒索软件游戏,您可以观察公司 IT 部门如何部署、调查和应对攻击的,并与游戏主角一起做出重要决策。
· 使用集中化和自动化的解决方案,例如卡巴斯基扩展检测与响应(XDR),减轻IT安全团队的负担,最大限度地降低出现错误的可能性。通过将多个来源的数据聚合和关联在一起,并利用机器学习技术,这些解决方案可提供有效的威胁检测和快速自动化响应。
报告全文以及更多有关信息安全劳动力市场状况的发现结果,请参阅这个链接。