10位網絡安全專家對特朗普總統令的看法
美國總統川普5月2日簽署了一項有關培養和加強聯邦網絡安全工作人力的行政命令。
白宮表示,美國有超過30萬個網絡安全職位空缺,填補這些空缺對國家經濟和安全至關重要。
這份行政命令概述了一項輪崗計劃,該計劃允許政府雇員暫時被分配到其他機構。它還鼓勵采納國家網絡安全教育計劃(NICE)的網絡安全勞動力框架,該框架有助于招募和留住人才并提高人才實力。
特朗普政府還希望通過獎勵和競爭來增加網絡安全人員。
一些網絡安全行業人員在評論這項新行政命令時表示,這是朝著正確方向邁出的一步,而其他人則指出,這可能不會有太大幫助,或者需要做更多工作。
以下是他們的評論…
1. Capsule8產品策略副總裁Kelly Shortridge:
| 鑒于已經有認證和在線課程可以證明應聘人員在網絡安全方面的能力和熱情,我不確定新標準將如何幫助從業人員縮小技能差距。太多的工作需要應聘者擁有多年的工作經驗,這就不再是有知識差距的問題了,而是在于如何不僅僅通過雇傭高級人才,幫助商業組織制定強有力的安全計劃。
此外,還有很多來自弱勢背景的人,他們接受了認證/培訓,卻仍然沒有找到工作。 就聯邦政府而言,鑒于私營部門對網絡安全人才給出的工資很高,由于聯邦政府缺乏具有競爭力的薪酬,所以很多職位都存在空缺。輪崗項目和CTFs可能會鼓勵聯邦政府工作人員進入網絡安全領域,但不太可能有效吸引那些選擇了私營部門的人。 |
2. CybeReady公司聯合創始人、戰略官Mike Polatsek:
| 聽到行政命令將鼓勵采納國家網絡安全教育計劃(NICE)的網絡安全勞動力框架非常令人受到鼓舞。我希望這一舉措能幫助企業招募和留住人才,這對那些與私營部門爭奪人才的政府機構尤其重要。安全教育的主要挑戰是縮短從“新手”到專家的過程;網絡空間正在經歷發展,網絡安全已成為一項復雜的事業。這將需要我們利用敏捷工具、科學方法、現實模擬和持續的演練,來建立一支專業的網絡安全隊伍,以應對當今的網絡威脅,并跟上它們的快速發展。 |
3. Synopsys高級顧問Andrew van der Stock:
| 這份關于美國網絡安全員工的行政命令傳達了非常好的信息,因為它為培養更多信息安全人才提供了一條道路——這是美國迫切需要的。通過要求聯邦機構實施NIST國家網絡安全教育計劃(NICE)學習框架,要求軍方設置獎勵和獎項,并要求社會設置獎勵和比賽——把它們納入公共教育系統中,這些措施都將在解決技能短缺問題上起到很大的作用。
我對NICE的一個擔心是,它忽視了美國在建構不安全軟件方面的主導作用,因為它關注安全操作是通過法律取證。雖然NICE還沒有完善,但隨著網絡威脅形勢的演變,總會出現改進的空間。最關鍵的是這一行政命令不是關于NICE本身,而是關于實施NICE,這是邁出的重要一步。 |
4. Trustwave SpiderLabs董事Mark Whitehead:
| 行政命令是政府用來快速制定有關國家重要舉措的重要工具。我們很高興看到各方正在致力于對抗網絡威脅,這些威脅已經變得更加復雜和肆無忌憚。我們也很高興看到更多的跨部門合作,這將為各個機構節省時間、金錢和資源。看來這份行政命令經過深思熟慮,有框架、問責制、激勵機制,以及里程碑和時間表。
其中包含的培訓計劃和活動應該會為聯邦雇員創造巨大的機會。聯邦政府和私營部門一樣,正在同網絡安全人員短缺作斗爭。 該命令還應有助于改善聯邦和商業實體之間的知識共享。共享網絡情報對于政府了解各民族國家正在制造的威脅和技術至關重要。各部門高層持續承諾履行問責制,能夠更好地防止我們的聯邦和雇員面臨來自網絡犯罪分子和國家資助團體的物理和遠程控制。 |
5. Security Metor安全官Dan Lohrmann:
| 我不斷從全球公共和私營部門聽到我們的挑戰是找到并留住技術人才進行創新。在科技行業,填補網絡安全職位空缺是最困難的,預計本世紀20年代將有數百萬個網絡職位空缺。
這一行政命令將注意力集中在我們當前面臨的網絡挑戰上——我們的網絡安全工作人員。這些步驟對于加強聯邦政府競爭力非常重要,同時也為網絡安全人才填補高薪和前沿的職位提供了一個通道,保護我們的政府和企業免受網絡威脅。這僅僅是開始,還有更多的工作要做。盡管如此,這些競賽在各個層次上都能發揮作用——從開設Cyber Patriot等課程的K-12學校,到在高校開展全國網絡防御競賽,再到聯邦政府機構的比賽。使用NICE作為框架也是一個不錯的選擇。 總而言之,總統這一步走的很出色——政府和私營部門需要采取更多行動來提供幫助。 |
6. Fortinet信息安全官Phil Quade:
| 美國政府發布了一項行政命令,旨在解決政府各部門和機構人員網絡安全技能參差不齊的問題。該條例名為“美國網絡安全勞動力”,它在政府內部制定了一項政策,鼓勵網絡安全人力跨部門流動。人們對這份條例應該進行更深入地分析,因為它承認任何組織,無論大小,都必須客觀地了解其不足和長處。
概括來說,網絡安全需要被視為一門科學,而不是一門藝術。沒有更嚴格地規劃和執行網絡安全戰略,理解優化網絡安全所必需的基本要素,就不會有什么好事發生。出于對政府的充分尊重,他們的使命是保護國家,如果認為他們會和威脅我們的民族國家一決高下,試圖滲透政府系統,或者獨自監測和應對復雜的網絡威脅,那就大錯特錯了。 為了縮小網絡技能的差距,每個人——無論是公共部門還是私營部門——都必須圍繞網絡安全制定完善的人才計劃,創建一個可以為很多人服務的人才庫。我們需要打造一支具備不同技能水平、門檻低、不斷進步的人才隊伍,以應對當今日益集中的安全挑戰。其中應該包括學徒、熟練工、新手到專家,所有人都具備高級網絡安全技能和經驗。 |
7. Venafi安全策略和威脅情報副總裁Kevin Bocek:
| 總的來說,白宮正在積極采取措施,專注于我們國家基礎設施面臨的網絡安全風險。這對我們國家來說是一個至關重要的問題,87%的網絡安全專家認為我們已經在打一場網絡戰爭了。
然而,要使這一指令獲得成功,政府官員要做的不僅僅是承認解決網絡安全威脅存在的困難和緊迫性。 特別值得注意的是,這項新指令集中解決了美國聯邦政府在吸引和留住人才時缺乏競爭力的問題。如果政府想招募網絡安全領域內人才,必須確保我們的工具和技術是很好的,并通過在關鍵政策問題上與業界合作,展示政府要取得成功的信心。 例如,如果本屆政府真的不僅僅只是做出一份政策聲明,他們可以聽取數十名行業專家的建議,決定我們不會在消費者技術中引入加密后門,因為這只會削弱我們的防御能力并幫助我們的對手。 |
8. Claroty威脅研究副總裁Dave Weinstein:
| 我欣賞白宮在解決我們國家最關鍵的勞動力問題上采取了前瞻性的做法。網絡安全既是一個技術問題,也關乎人才。讓我們面對現實吧,聯邦政府在這方面工作的激勵——無論是經濟上的還是其他方面的——與業界相比都相形見絀。與此同時,聯邦政府在有一方面是私營部門無法與之競爭的:使命。這份行政命令為面向任務的網絡安全人員提供了一種合法的行業選擇,即使這意味著減薪。談到網絡安全,行業和政府之間應該有一扇旋轉門。輪崗項目是確保我們的網絡安全人才為經濟增長和國家安全做出貢獻的很好途徑。實施將是關鍵,但這一命令來的有些晚,但是真正帶來了進展。 |
9. HackerOne安全工程師Laurie Mercer:
| 在過去12個月里,任何一家試圖聘請網絡安全人才的公司都知道,現在人員安全技能嚴重短缺。對于那些擁有技能的人來說,這是個好消息,因為美國政府愿意在為有技能的人提供有競爭力的薪酬方面做出更大的努力。
然而,正是由于供需問題,使很多有遠見的組織機構轉向黑客社區,幫助他們增強安全防御能力。這些組織機構已經意識到,發現在線系統漏洞,他們需要更多的人。這些安全團隊能夠通過數萬名具備不同技能的人員,全年不斷進行安全評估,而不是讓一兩個人每年搜索一兩次漏洞。 實際上,很多聯邦部門已經通過漏洞獎勵計劃和競賽有效地做到了這一點,激勵聰明而熱情的黑客幫助他們發現系統中的任何漏洞。通過讓他們有機會以這種競爭的方式磨練自己的安全技能來支持這個蓬勃發展的社區,為未來的人才庫奠定基礎,因為今天年輕的黑客將成為明天的CISOs。 |
10. CipherCloud創始人兼執行官Pravin Kothari:
| 這件事情已經拖得太久了。針對美國的黑客對國家安全構成了巨大威脅,他們的目標包括我們的企業、基礎設施、竊取商業機密、干預我們的選舉、挑戰我們的民主和自由。這是保護美國的一個防御性措施,通過教育和準備來解決網絡安全的一個關鍵問題——勞動力。
這是朝著正確的方向邁出的一步,但還需要做更多的工作,需要大量資金和持續5至10年的投資,這些投資可能會跨越多個政府部門,我們才能看到成效。雖然這一行政命令是朝著正確方向邁出的一步,進一步肯定了網絡安全是一個涉及每個人和每個行業的普遍問題,但這只是保護我們國家網絡基礎設施的開始。 |
總統令原文地址:
https://www.whitehouse.gov/presidential-actions/executive-order-americas-cybersecurity-workforce/
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
