網絡安全技能短缺的真相與行業現狀剖析
Lesley,所謂的"網絡安全技能短缺"怎么了?
你現在壓力大嗎?我壓力很大。大多數美國人都是如此,網絡安全求職者絕對也不例外。我做了大量的職業指導和職業咨詢,我看到了...其中最嚴峻的部分。最近幾次的指導周日活動中,每次都有兩個或更多人突然哭起來。這也讓我在情感上備受煎熬。是時候了,互聯網。我們需要談談網絡安全就業市場的糟糕狀況。
聊聊網絡安全工作的歷史(第一部分)
不想顯得自己年紀大,但我從事這個行業已經相當長時間了。當我進入這個領域時,那是一個不同的時代,就像今天的許多經理和資深人士一樣。25年前,網絡安全大多(別挑剔我,學究們)是一個單一的角色,人們常常出于必要性而被推入這個領域。黑客有時會轉行,但通常都是不幸的系統管理員。15年前,網絡安全有一個進入大多數角色的標準路徑,那就是大學或技術學校畢業后直接從事SOC輪班工作,或者其他一些低級技術職位。熱情比證書更受重視——通常只需要Security+證書就足夠了。經過幾年的警報分類工作,你會轉向更專業的領域。
然后,情況開始惡化。大約5年前,大學和培訓營真正意識到,即使是那些入門級的SOC工作報酬也...相當不錯。它們不像軟件開發、網頁開發或服務臺那樣被外包。為了讓它們對營利性教育機構更具吸引力,當時只有少數幾家認證公司提供培訓,還有幾所大學。這是一個巨大、多汁的營利性教育市場。
然后,就是那些該死的"技能短缺"研究。
他們說99%沒有引用或證據的統計數據都是編造的。這就是其中之一。網絡安全存在"技能短缺"嗎?嗯,這真的取決于你調查的是誰!如果你問我,面對不可能完成的關鍵基礎設施網絡安全案件量,我當然會說需要更多訓練有素且充滿熱情的人。如果你問那些看到惡意軟件逆向工程或威脅情報中嚴重缺乏多樣性思維的人,他們當然會說我們需要擴大招聘范圍。如果你與那些在云技術債務或新隱私法規方面掙扎的人交談,他們都會指出在尋找合格人才方面面臨的挑戰。是的,確實有空缺的、未填補的職位,對手對...一切...構成的挑戰也在不斷加劇。
你會注意到,我剛才提到的所有工作都不是典型的"初級滲透測試員"和"SOC分析師"這樣的入門級崗位。而這些正是那些營利性教育機構抓住并開發了數百個千篇一律的學士和碩士課程來填補的職位。然后將其作為金票出售(特別是對退伍軍人和弱勢群體)!
所以現在我們有一個大、大、大問題。大學、學院和培訓營大肆宣傳一個實際上并不存在的入門級技能短缺,而這些項目的所有畢業生都同時畢業了。我無法用數字和邏輯表達情況有多么嚴峻。在美國,我的同行報告稱,SOC職位的合格候選人(經過人力資源篩選后)超過100人。紅隊的情況一直更糟。這些數字意味著人力資源和招聘人員可以(有時必須)不斷提高最基本、入門級網絡安全職位的入門門檻。10年前,一個兩年制學位或類似的工作經驗加上像Security+這樣的基本證書就足以找到工作,大學畢業生更是十拿九穩,而今天我看到的這些可怕要求是入門級SOC獲得面試機會的典型最低要求:
- IT學士學位(計算機科學或工程專業優先于網絡安全)
- 兩年以上全職通用IT經驗,如服務臺角色或系統管理員
- 完成二級SOC認證,如Cisco CyberOps或CySA+
- 社區工作,如會議志愿者、CTF排名或工具開發
- 無需簽證擔保的工作權利
這就像是讓人們獲得電話面試的絕對最低要求,這非常令人擔憂。這對行業產生了幾個負面影響。首先,它使候選人的多樣性大大降低,因為他們必須有金錢、時間和資源來滿足這些昂貴的要求。他們也都接受了幾乎相同的千篇一律(有時已經過時)的教育。當我們面對資源更豐富、適應性更強的對手時,這真的很糟糕。其次,這些限制性的招聘做法通常沒有為我們真正需要填補的利基和高級職位提供良好的渠道。是的,網絡安全中確實存在必須要有實踐經驗的角色。它們只是不是入門級,需要接觸機會。這要求我們作為組織和資深人士確保初級人員能夠達到那里!必須有人給他們機會。
這對資深人士和招聘經理意味著什么?我們需要提供更多指導。免費提供更多診所和培訓。我們必須在職位發布要求上小心,盡量不對非傳統背景設置障礙。不要再假設人們的入門路徑會和我們一樣。今天的情況要困難得多,他們甚至需要做更多的工作才能獲得面試機會。
這對大學意味著什么?有一些好學校在網絡安全方面做得很好。然而,如果你的學校在2025年還在推銷入門級技能短缺,那么你應該感到羞恥,因為你的畢業生在這個糟糕的市場中甚至連實習都找不到,卻留給我們來收拾殘局。說真的,你們這些銷售人員都下地獄去吧。如果你是個體面人,請評估你課程的時效性和相關性。涵蓋非傳統的利基領域,鼓勵批判性思維和終身學習。設定合理的職業和薪資期望!
這對求職者和學生意味著什么?首先,我非常、非常抱歉。這是實話實說,不是設置障礙。我每個月都會見到幾十個你們這樣的人,你們中的很多人做得都對。十年前,你們會在一個月內找到工作。現在需要一年時間。你們必須在擴展簡歷和與招聘負責人建立聯系方面比前輩們走得更遠。這不會容易,你們也不會賺那么多錢。認證將是必須的。沒有四年制學位或可轉化的實質性IT工作經驗,獲得一個角色將非常困難。找一個導師。對你目標瞄準的利基領域有一個非常清晰的計劃,并考慮除了SOC分析師或滲透測試員之外的角色。我不會指名那些更"保潔"類的角色,因為如果我這樣做了,那些職位也會被擠爆。跳出思維定式,思考那些需要完成但沒有被學校過度宣傳為酷炫性感的網絡安全工作。我為你們加油,請不要放棄。
更多精彩內容 請關注我的個人公眾號 公眾號(辦公AI智能小助手)
對網絡安全、黑客技術感興趣的朋友可以關注我的安全公眾號(網絡安全技術點滴分享)
公眾號二維碼
公眾號二維碼
浙公網安備 33010602011771號