给读者的一个提示:在DomainTools这里,我们通常使用“域”这个词来表示一些非常具体的东西,即互联网上的域名。在本文中,我们将在的上下文中使用域这个词领域知识用来指人类努力的领域或专门学科的知识。
网络安全几乎是每个人都必须担心或意识到的事情。在过去5-10年里,传统上几乎没有信息技术(IT)组件或员工的组织和行业现在越来越关注于招聘网络安全人才和/或收购产品或托管服务,以帮助保护其信息和技术资产。制造业、运输系统、供水和废水处理、应急服务等行业和许多其他行业正在将注意力转向如何保护其设备和基础设施免受网络威胁。即使是在这一领域有长期监管的行业(医疗保健和公共卫生、能源生产和交付等)也在为网络防范而努力。
对于正在开发新功能或吸收新连接技术的行业来说,为网络安全提供资金通常是一个挑战。即使资金不是问题,人才也很难获得。许多行业专家多年来一直认为,我们正处于一场网络安全招聘危机中——这意味着工作岗位的数量超过了求职者的数量。当组织开始发展网络安全人员、项目或文化时,他们通常会发现额外的问题。在主要保护需求不是传统IT系统的组织中,接受过传统IT安全程序培训的专业人员没有做好充分的准备来处理特定领域的问题。
工业控制系统(ICS)就是这种脱节的一个完美例子。ICS可以广泛地定义为任何使用计算机软件控制物理系统的系统,如工业机械。与传统的多处理系统不同,集成电路通常使用嵌入式处理器来设计实时系统。实时系统用于计时应用非常关键的地方。典型的计算平台允许操作系统内核根据需求、使用、安全性或其他考虑来交换或延迟应用程序。许多传统的安全和信息保证工具,如反病毒或加密,为实时嵌入式系统引入了不可接受的延迟。这些系统将机器和操作人员的物理安全置于信息安全需求之上。
ICS只是一种不适合传统IT安全技术的系统类型的一个例子。并不是说我们不能保护这些系统,而是我们需要将领域知识和专业知识与网络安全概念结合起来,以找到保护这些系统和数据的新方法。在具有网络安全需求但不属于传统IT定义的行业中,大多数组织发现图1中的维恩图表示其IT安全招聘人员与主题问题专家之间的知识重叠。
图1
传统的IT安全概念如特权分离,纵深防御,关注点分离,分割可以在广泛的领域中非常有效地使用,然而,要真正有效地使用这些概念,必须与该领域的知识一起应用。一刀切的方法往往是无效的。这就是为什么安全研究人员会告诉你在投资工具或技术之前先投资人。为了使网络安全项目真正有效,安全人员必须与领域专家进行交叉培训。这不仅意味着对运营核心业务组件的员工进行网络安全教育(以防止通过网络钓鱼或社交工程感染),还意味着对网络安全员工进行他们试图保护的领域的教育。
有许多创新的方法来教授网络安全,其中包含了跨学科的知识,但大学、职业学校和认证项目需要做得更好。网络安全通常与工具和技术无关——在最有效地实践时,它通常是关于使用批判性思维和解决问题的技能,将所学到的概念应用于特定领域的问题。这意味着网络安全项目不仅需要包括信息保证课程,还需要包括帮助毕业生理解计算机如何工作的传统计算机科学概念,帮助学生了解信息保证概念如何应用的跨学科课程,以及鼓励批判性思维和解决问题的传统文科。
我要参加一个网络防御比赛阿贡国家实验室这个星期。像这样的竞赛是教育工作者试图提高对网络安全申请者的认识和技能的一种方式。还有其他一些策略也越来越引人注目,比如网络安全学徒制。没有灵丹妙药,但随着我们的社会联系越来越紧密,我们需要做更多的工作,为我们了解这个互联世界是如何运作的知识注入安全感。
下周的竞赛结束后,我将继续发表一篇博客文章,介绍学生们的经验教训和反应,以及对安全有了解的公司如何参与建设更好的网络安全队伍的想法。
额外的资源:
https://watermark.silverchair.com/ipx009.pdf
https://www.business2community.com/cybersecurity/great-security-jobs-crisis-01999077
http://www.cybersn.com/blog/the-cyber-security-hiring-crisis/index.html
https://www.csoonline.com/article/3075293/leadership-management/cybersecurity-recruitment-in-crisis.html
https://blog.rapid7.com/2016/07/07/the-importance-of-investing-in-people-before-tools-in-cybersecurity/
https://cyberdefense.anl.gov/about/
http://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=5601489
http://jise.org/Volume28/n1/JISEv28n1p21.pdf
https://www.nist.gov/sites/default/files/documents/2017/04/24/cyber_games-_building_future_workforce_final_1031a_lr.pdf
https://www.fast乐动体育官网下载company.com/40482650/these-top-tech-companies-are-hiring-first-training-later
https://www.commerce.gov/news/blog/2018/01/cybersecurity-apprenticeships-enhance-cybersecurity-infrastructure
https://www.securitymagazine.com/articles/87871-could-cybersecurity-apprentices-fix-the-nations-talent-shortage