本文来自微信公众号“GoUpSec”。
根据ISC2最新发布的2024年网络安全人才研究报告,尽管全球约90%的企业网络安全团队存在职位空缺或技能不足,但网络安全招聘职位数量六年来首次停止增长。报告显示,全球网络安全人才职位数量同比仅微增0.1%,维持在550万人左右,这一增幅远低于2023年的8.7%。
缺钱:预算成最大瓶颈
随着企业整体支出缩减,网络安全预算在IT支出中的占比虽有维持,但实际金额却因削减而显著减少。根据ISC2网络安全人才报告,预算不足是2024年网络安全人才短缺的首要原因,67%的受访者表示预算不足是导致其网络安全团队空缺难以填补的主要原因,而这一问题在2023年的报告中被主要归因于“缺乏合格人才”。
不同行业的网络安全预算消减程度不同。根据ISC2的报告,托管/云服务(43%)、房地产(43%)、汽车(42%)、工程(40%)、建筑(40%)、娱乐/媒体(40%)、安全软件(39%)和电信(39%)预计未来12个月网络安全支出将进一步减少。公共部门行业,包括军队(16%)、政府(24%)和公用事业(25%),预计未来网络安全支出减少速度会降低,总体趋于平稳。
2024年预算消减和裁员对不同行业安全人才的影响来源:ISC2
恶化:人手短缺、技能不足、满意度下降
许多企业不得不在有限的预算下优先投入日常业务运营,而网络安全,尤其是人才扩充和技能培训,逐渐被视作“可以暂缓”的支出。这使得企业难以为团队提供足够的技能培训和专业发展机会,导致现有员工技能更新速度减缓,进一步加剧了团队的整体技能缺口。
缺乏时间是造成技能差距的第二个原因。网络安全专业人员正在尽最大努力满足工作要求。在理想情况下,员工会学习新技能以跟上市场步伐,但超过一半的受访者表示,他们没有足够的时间学习新技能。
74%的受访者表示当前的网络威胁环境是过去五年中最具挑战性的。然而,经济压力导致网络安全投资下降,预算削减和裁员使团队承受着更大的压力。这不仅影响到员工满意度(从2022年的74%下降到2024年的66%),还导致企业安全态势的恶化。事实上,技能不足和人手短缺已成为企业面临的首要难题,预计在未来两年内,这一问题仍将困扰网络安全行业。
ISC2代理CEO兼CFO黛布拉·泰勒(Debra Taylor)表示:“当前的经济状况对网络安全团队投资造成冲击,许多企业将网络安全团队置于巨大压力之下,导致员工倦怠与流失。”数据显示,58%的受访者认为技能短缺给组织带来重大风险,59%则坦言这一缺口已经影响了企业的安全能力。数据显示,存在显著技能差距的企业出现重大数据泄露事件的风险是技能健全企业的两倍。
热点:大企业安全团队增长迅猛
在网络安全人才市场整体遇冷的背景下,一些大企业却在网络安全团队建设上逆势扩张,成为“寒冬中的一把火”。据Wavestone的《2024年网络安全基准报告》显示,年收入超过10亿美元的大型企业今年都大幅扩充了网络安全团队,平均每1086名员工配备一位网络安全专业人员,比2023年提高了15%(当时每1285名员工才配备一位)。金融行业在这一趋势中尤为突出,平均每267名员工中就有一位网络安全专家;相比之下,工业行业则相对滞后,平均每1390名员工才有一位网络安全专业人员。
Wavestone合伙人杰尔蒙·比约瓦(Germone Billois)指出,这一变化反映了大型企业对网络安全人才需求的高度重视,越来越多的企业启动了人才保留计划,以增强网络防御。报告还指出,受访组织的总体网络安全成熟度达到53%,部分企业更是达到了80%-90%的高水平。各行业的网络安全预算稳定在IT预算的6.6%左右,云安全和数据安全的成熟度相比2023年分别提升了5%和4%。
尽管大型企业在网络安全投入上取得了一定进展,但第三方安全和工业系统安全(ICS)是两大短板,二者平均成熟度分别仅为48.9%和39.9%。
解药:AI能否拯救网络安全人才危机
尽管面临技能短缺的困境,报告指出生成式AI(GenAI)有望在未来成为网络安全领域的“救星”。68%的受访者预计,在未来两年内他们能够有效将生成式AI纳入工作中;80%认为网络安全技能在AI驱动的环境中将更为重要。黛布拉·泰勒表示,AI被视为“增强组织安全性和提升团队效率”的关键工具,而管理AI带来的风险也将成为员工职业发展的新机遇。
在接受调查的网络安全团队中,已有45%的团队在使用AI网络安全工具,主要应用场景包括:
- 辅助日常操作任务(56%)
- 加速报告生成与事件报告(49%)
- 简化威胁情报分析(47%)
- 加速威胁搜寻(43%)
- 改善策略模拟(41%)
不过,45%的受访者表示缺乏清晰的生成式AI战略仍然是AI在企业内部普及的障碍。此外,AI将如何影响未来网络安全岗位的技能结构尚不明朗。专家指出,AI将带来两大关键转变:首先,AI可能取代部分网络安全技术技能;其次,由于尚不确定AI将如何全面融入网络安全领域,雇主在招聘时更倾向于选择具备跨领域解决问题能力的员工,而非技术专才。
破局:网络安全行业面临技能重塑和升级
随着AI逐步融入网络安全,报告建议企业重视具备非技术性技能的人才,以应对未来技能需求的不确定性。同时,虽然AI可能在技术层面提供支持,但网络安全行业仍需加强对技能不足的员工进行技能提升。约52%的受访者表示,希望通过成为企业的战略贡献者从而稳固职位,48%希望掌握更多AI相关技能,以适应AI技术在网络安全领域的应用。
结语
2024年网络安全行业面临技能短缺和经济压力的双重挑战,这导致企业安全人才短缺和技能不足的问题进一步恶化。AI也许将是企业网络安全人才危机的一剂解药,生成式AI为解决网络安全技能不足问题提供了潜在的解决方案,但要在确保网络安全团队高效运作的同时合理引入AI,还需对未来新型网络安全人才和技能升级需求的准确预判和规划。
参考链接:
- https://www.isc2.org/Insights/2024/10/ISC2-2024-Cybersecurity-Workforce-Study
- https://www.wavestone.com/en/insight/cyber-benchmark-2024-progress-in-cyber-maturity-continues-yet-pace-is-slow/