35歲剛剛進入職業上升期,薪酬年年漲……吸引 IT 人才進入信息安全市場的,不僅僅是超過足球運動員的職業壽命預期和持續成長的刺激挑戰,還包括類似極限運動的 “酷勁”。
2020 年全球企業面臨的安全威脅呈現組織化、復雜化、武器化、智能化、常態化趨勢,而企業則面臨缺規劃、缺預算、缺人才、缺運營的四個 “大坑”,其中又以人才短缺問題最為嚴重。
未來幾年信息安全是 IT 市場為數不多的能保持 20% 以上高增長的,35 歲也不裁員的 “潛力股”,對資本和各領域優秀人才都有著極強的吸引力。
但是,信息安全人才市場的人才荒還在延續,同時,這個行業的人才流失問題也相當嚴重。這兩個問題的疊加使得信息安全人才短缺的問題更加嚴重,同時也說明很多信息安全企業的人力資源部門對新興安全技術人才的職業特點、職業滿意度和訴求缺乏理解,對安全人才的職業規劃和發展也缺乏有效引導和激勵。
此外,對于網絡安全行業從業者或有志進入這個行業的優秀人才來說,選擇什么樣的安全職場發展路徑也是一件頗為頭疼的事情,如果你翻出 NIST 網絡安全人才發展框架,一定會被里面的數十種安全崗位和 500+ 的技能庫繞暈。
我們不妨跳出短期人生小目標的困擾、不談薪酬待遇的一城一池,從安全細分市場/崗位的成長性以及崗位滿意度兩個緯度來標定或規劃我們的職業發展方向。
熱點趨勢方面,可以參考安全牛的《2020年十大網絡安全趨勢》一文。
安全崗位滿意度方面,我們可以參考下面這個Exabeam的安全行業崗位滿意度調查結果(調查樣本來自481位安全從業人士)。
搞安全不是請客吃飯,安全從業人員對安全職業很滿意(很看重)的要素:
安全崗位的滿意度指數:冰火兩重天
很酷的網絡安全崗位TOP20
雖然安全市場規模高速增長,人才炙手可熱,但職場規劃也要未雨綢繆,提前布局。安全職場是一個高速旋轉的摩天輪,如果你不懂得及早離開舒適區,挑戰 “酷職業”,最后可能 “哭” 的機會都沒有。
基于市場 “錢景” 與成長性、職業吸引力和崗位滿意度三大緯度,我們大致可以鎖定一些值得留意的,市場、雇主和員工都青睞的 “酷崗位”。以下安全牛根據多份安全職場調查報告,以及SANS研究所推薦名單,為大家推薦下面這個安全行業 “酷崗位” TOP20 名單:
“酷崗位”TOP20
-
威脅獵手
-
系統、網絡和/或 Web 滲透測試員
-
網絡/終端取證分析師
-
事件響應員
-
網絡和安全架構師
-
惡意軟件分析師
-
軟件測試工程師
-
網絡安全分析師/工程師
-
媒體搜證分析師/司法計算機犯罪調查員
-
CISO/ISO 或安全總監
-
安全運營中心分析師
-
漏洞研究員/漏洞利用程序開發者
-
安全審計和風險管理專家
-
安全軟件開發者
-
移動安全經理
-
應用程序滲透測試員
-
災難恢復/業務連續性分析師/經理
-
技術總監和副CISO
-
入侵分析師
-
物聯網/關鍵基礎設施安全總監
以下我們挑選部分崗位進行介紹和點評:
威脅獵手
每天都能感受狩獵的刺激!每個案例都是如此獨特!
工作職責描述
分析攻擊者如何滲透基礎設施,識別已經被入侵的系統/網絡。調查復雜攻擊留下的痕跡需要取證專家不僅精通最新取證、響應和逆向工程技術,還要熟悉最新的漏洞利用方法。
酷點
“事件響應與威脅捕捉團隊,是識別和觀察惡意軟件指標與行為模式的關鍵,可以產生準確的威脅情報,用以檢測當前和未來的入侵。”
價值亮點
威脅捕手在公司與黑客/惡意軟件之間增加了一個重要的安全防御維度。
過去兩年間,在安全運營中引入了威脅追捕職能的公司企業,入侵到檢測的耗時從數月縮短到了數周。成功捕捉威脅的關鍵在于終端&網絡分析技術與威脅情報的融合。
系統、網絡和/或 Web 滲透測試員
在安全防御實戰化的今天,企業內部的 “白帽子” 滲透測試專業人士是企業培養 “攻擊性思維” 和主動式防御的關鍵環節。
工作職責描述
找出目標系統、網絡和應用程序中的安全漏洞,幫助企業鞏固安全。通過識別出哪些漏洞可被利用而導致業務風險,滲透測試員能提供最緊迫問題的重要洞見,并對如何排序安全資源給出合理建議。
酷點
“通過像壞人一樣思考和行動來幫助鞏固安全。”
“沒有什么比突破那些 ‘萬無一失的安全防線’ 更有成就感了。憑借你的技術和創造性解決問題的能力,闖入并找到漏洞,搶在亡羊之前補牢。”
價值亮點
“你才是那個企業網絡安全與否的終極確認者。你需要用過人的智商、毅力和創造力來突破企業網絡安全的每一道防線,找出可利用漏洞的位置,以便能夠在壞人染指之前自補。道德黑客/滲透測試人員是當下炙手可熱的頂級網絡安全人才。”
CISO/ISO 或安全總監
領導安全運營仍然是信息安全領域中最重要、最酷的工作。
工作職責描述
當今首席信息安全官的職責不再與以往相同。盡管仍然是技術人員,今天的 CISO/ISO 必須擁有商業洞察力、溝通技巧和面向過程的思維方式。他們需將法律、監管和企業自身要求與風險承受、預算限制和技術采納結合起來。
酷點
“官大一級壓死人。”
這些人決定在哪里修建 “瞭望塔”,園區設置多少巡查員,哪里可以安全生火野炊,以及要遵從哪些交戰規則。
價值亮點
“你可以極富創意地影響公司的整體安全,為提升公司安全做出直接貢獻。你是企業安全的頂級玩家,CEO 唯一信任的人。”
“這一職位通常向高層報告,能夠看到并影響大局。你的工作伙伴包括實體安全部門、IT 部門、業務部門,甚至國家安全和相關司法機構。”
“你就是大老板,可以決定誰做什么、誰得到什么,激勵你的手下,然后與他們分享成果。你每天都在產生切實的影響。”
安全軟件開發者
很酷的頭銜,目前還屬于極為珍稀的 “物種”,如果說 DevOps 和敏捷化是少數頭部企業才能玩轉的法拉利賽車,那么優秀的 DevSecOps 安全開發者就意味著你需要給法拉利裝上防彈鋼板和全新引擎,不降低其圈速,而且把引擎的壽命從 400 公里提高到 40 萬公里,難度可想而知。
工作職責描述
注重安全的軟件開發者,在安全軟件開發方面超越所有開發人員,實現不含邏輯設計漏洞和技術實現缺陷的安全編程技術。此類專家最終負責確保客戶軟件沒有可被攻擊者利用的漏洞。
酷點
“你得確保東西能夠有效運行,而且在壓力下不會崩潰。”
“需要高超的編程造詣,堪稱真正的高級開發者。”
價值亮點
再好的安全架構或策略都 “遭不住” 編寫糟糕、滿是漏洞的不安全軟件。如果在最初開發的時候就注重產品的安全,又何須事后返回去添加安全措施。
代碼級安全是應用安全的根本所在。這些人是撐起當今軟件世界的中流砥柱。
