在數位與網路的高速發展之下,近年來面臨的資安威脅日益嚴重,若從世界經濟論壇(WEF)的全球風險報告來看,近十年來的全球前五大長期風險,種類已從「經濟問題」類型逐漸轉變成「環境問題」類型,而關於「科技問題」類型的風險,也呈現逐年竄升的情形,更是IT界無法迴避的挑戰。
WEF全球風險報告特別指出,從2012年開始,網路攻擊的風險就竄升至第4名,到了2015年,還有資料詐騙與資料外洩的風險、關鍵基礎建設中斷的風險,以及科技濫用的風險,排名也都在迅速竄升至前20。
然而,為了應對日益增加的網路安全威脅和攻擊,不只要有資安產品與技術的研發、加密演算法的設計,也仰賴資安人員去治理、規畫、導入與實作,並負責防禦建設與應變。因此,在這種種工作的背後,都需要仰賴各類型資安人才,始能完成每一塊拼圖。
甚至我們在整體環境的發展上,在法規制定、產業標準制定,以及政策與執法單位等不同層面,也都要有資安人才實際付諸行動,才能對應整體國家社會經濟發展。
事實上,十多年前,網路安全屬於新興的職業類型,但由於它過於龐大與複雜,因此,面臨許多挑戰,例如,如何因應市場需求提供更多資安人才供給?如何使合適的人擁有合適的資安技能?如何盤點出網路安全相關的所有知識技能?如何幫助資安從業人員,以系統化的方式學習資安知識?事實上,直到2023年的此刻,這些需求已然成為全球與各界關注的重大議題。
資安關鍵戰力在於人才,政府法規要求增多,也帶動資安人才需求
隨著網路攻擊威脅日益嚴峻,在資安事件頻頻傳出的威脅態勢之下,不僅全球都在強調資安的重要性,政府機關與民間企業也更加重視資安建設與投資,在此同時,其實也帶動了資安人力的需求,畢竟事在人為,有「人」才能推動與落實資安。
以臺灣而言,政府長期持續推動本土資安產業發展,促使資安人才需求逐年上漲,再加上企業面臨資安威脅衝擊營運風險,迫使更多企業須主動強化資安,並希望招攬更多資安人才。
根據iThome在2018年進行的CIO大調查,當時招募資安人員而開出職缺的企業占21.4%,而接下來5年,開出資安職缺的企業比例持續增加——2019年是23.6%,2020年是22.5%,到2021年的31.3%,2022年的30.5%。
如今最新2023年iThome CIO大調查的結果中,招募資安人員開出職缺的企業更是來到37.5%。這不僅顯示出,我國對於資安人力的需求,有逐年攀升的趨勢。換言之,原本每5家公司有1家公司招募資安人才,現在變成每3家公司就就有1家公司要招募資安人才。
這當中,以2021年後成長幅度顯著,而此一變化很可能也與臺灣推行的法令、政策有關。因為,近幾年我國政府為促進產業資安強化與治理,從法規面出發,具體要求資安人力的配置,像是資通安全法對於公務機關及特定非公務機關(八大關鍵基礎設施),以及金管會對於第一級與第二級上市櫃公司的要求,均規範了需配置相應的資安專屬人力。
從這些政府機關到民間企業的規範,我們認為,這等於是在市場上創造了更多資安人才需求,同時也期盼能借助市場之力,帶動資安產業薪資增加,以及帶動資安人才的供給。
因應人力不足的難題,資安產業也積極發展自動化應用
除了政府機關與企業重視資安,要求配置相關人力的舉措,大家也面臨人力不足的困境。
例如,2018年iThome報導MDR服務興起,當時有些業者表示,企業欲強化及時的威脅檢測與事件處理能力,但也面臨資安管理層面的挑戰,例如,在資源有限情況下,公司的資安人員處於編制不足的狀態,或者是本身設置的資安監控中心收到大量的資安警示,卻沒有足夠人才,去判斷優先處理順序及深入分析處理。因此,當時市場上就預期,可能會有更多資安服務代管業者(MSSP)提供MDR的類型服務。
在這之後,我們接續看到SOAR、ADR,以及新世代SOC、SIEM等資安解決方案的發展,當中也聚焦自動處理技術的突破,很多廠商不僅強調具有更即時偵測與應變的能力,也藉此間接降低本身的資安人力負擔。
當然,現在全球正處於大型語言模型(LLM)、ChatGPT等技術當紅之際,不僅有望帶動許多工作領域生產力上升,延伸而出的資安面應用也受關注。
回顧過去資安產品與服務,早在2014年,我們看到新創公司Tanium的資安軟體產品,提供結合自然語言處理技術進行事件查詢的用法,吸引眾人目光,而隨著技術不斷進化,每年都出現重要突破,尤其是在2023這一年最具代表性。
例如,GitHub與OpenAI合作開發的智慧工具Copilot,新加入基於AI的漏洞過濾系統,能夠及早阻擋憑證寫死、SQL注入等不安全程式碼的產生;微軟推出的Security Copilot,可幫助網路安全人員提供資料關聯分析,並供應變建議,或是透過上傳程式碼、Log記錄檔,就能產生資安漏洞總結。
有了上述這類更聰明的輔助工具,對於新進人員來說,如果必須在短時間內處理不擅長領域的應用,AI可以是減少工作負擔的得力助手。不過,隨著整體資安人力市場的需求高漲,如何促進人才培育更符合市場需求期待,以及如何健全資安人才生態系,仍是資安技術能否持續茁壯的長期發展重點。
比起過去資安人才養成面臨的困難,現在有更多資源可帶來幫助
面對人力不足的挑戰,現階段是否有好的應對方式?儘管大家仍在持續探究,除了期望政府帶動,以及企業、學校、社群、資安界能通力合作,但同時,我們該如何抓住這樣的機會,發揮自己的優勢,也將會是更好的思考點。
例如,對於企業組織而言,積極爭取更多優秀資安人才已是常態,從內部人力養出資安團隊與留才更受看重。
更重要的是,相較於過去,大家培育人才時,單從即刻需求出發而受限,如今,不僅是資安解決方案朝向自動化減輕人力負擔,幫助投入資安工作的門檻降低,而且,如今在人力團隊規畫與技能需求上,有更多參考資源可供借鏡。
回顧過去,由於每個組織看待資安人才時,都有共通與各自的特殊考量,這也造就大家對於資安人才的詮釋方式,存在很大的落差。不僅是各自所提出的工作職務名稱不同,對於工作所需的資安技能,也都有各自的闡釋方式。
因此企業面臨的一大問題就是,如何掌握人才需具備的知識技能,才能更有效地幫助招聘與培訓。而對於培訓機構與有志從事資安工作的人,也需要有方向能夠依循,才能讓資安勞動力市場形成正向循環,並縮小產學落差的鴻溝。
現在,對於內部培訓單位、培訓機構與有志從事資安工作的人而言,如今有了更多職能框架參照,要建立培訓目標達成表的九宮格,比過去容易許多;對於既有資安從業人員而言,如何不讓自己落於人後,開發新技能或盤點自身技能缺口,同樣也比過去簡單。
只是,即便現在比過去容易找出方向,但重點還是在於行動。正如我們在前面說的「事在人為」,企業與組織迎接資安人才挑戰的同時,也應看看內部是否能利用現有資源來強化人才養成。
另外,應對資安挑戰,除了人才培育,組織也需實行全員資安意識教育,相對地,這方面的教育人才同樣需要滿足,甚至對於國家政府而言,一般民眾、高中、大學教育也該有相應的通識課程計畫,提升基本網路風險認知,這項問題多年前就已經受到呼籲要重視,希望2023年後能有更多進展。而且,在資安意識變得更普及之下,或許也能讓更多人因產生興趣而跨入資安領域。
資安人才專區已成臺灣資安大會重點活動
由iThome主辦的臺灣資安大會,連續三年都舉行了Cyber Talent資安人才專區的活動,藉由數十位資安職場上的專家,帶來資安職涯的經驗分享,資安人才成長的攻略盤點。攝影/iThome
熱門新聞
2024-12-02
2024-11-29
2024-12-02
2024-12-03
2024-11-30