AI，自動(dòng)化工具推動(dòng)一些網(wǎng)絡(luò)安全角色的變化

經(jīng)驗(yàn)豐富的IT和網(wǎng)絡(luò)安全主管Sameera Bandara告訴記者，推動(dòng)公司尋找網(wǎng)絡(luò)安全專業(yè)人員技能轉(zhuǎn)變的最大因素之一是AI和自動(dòng)化工具的日益流行，特別是在過去兩年。事實(shí)上，Tines Voice of the SOC的報(bào)告發(fā)現(xiàn)，10個(gè)安全團(tuán)隊(duì)中有9個(gè)正在實(shí)現(xiàn)至少部分工作的自動(dòng)化。

Bandara說：“像微軟這樣的供應(yīng)商，以及像Splunk和CrowdStrike這樣的其他安全供應(yīng)商，他們基本上已經(jīng)把AI引入了他們的工具集中，這就消除了對(duì)安全分析師的需求，比如說，他們不需要具備一定的技能，因?yàn)樗麄儾槐刈龇爆嵉墓ぷ鳎麄兓旧峡梢缘玫焦ぞ邅頌樗麄冏鲞@件事。”他提到的其中一些技能是編碼和腳本編寫技能。他說：“由于供應(yīng)商將AI集成到他們的工具中，以前需要Python腳本的東西現(xiàn)在可以使用自然語言進(jìn)行查詢。”

親身經(jīng)歷這一變化的是Datacom的高級(jí)網(wǎng)絡(luò)安全分析師David Vaughn，他描述了他的角色在過去兩年中如何“顯著”改變。“過去，我的工作重點(diǎn)是識(shí)別和應(yīng)對(duì)網(wǎng)絡(luò)攻擊，” Vaughn告訴記者，“由于數(shù)據(jù)通信處于網(wǎng)絡(luò)安全的前沿，我的角色得到了提升，加入了更積極主動(dòng)的威脅搜索。我現(xiàn)在花費(fèi)大量時(shí)間積極搜索對(duì)我們公司的威脅，包括內(nèi)部和外部，實(shí)施基于行為和異常的用例，而不是更標(biāo)準(zhǔn)的基于簽名的用例，以及通過引入安全協(xié)調(diào)、自動(dòng)化和響應(yīng)(SOAR)平臺(tái)實(shí)現(xiàn)更多自動(dòng)化。”

Vaughn補(bǔ)充說，獲得新的自動(dòng)化工具還意味著減少響應(yīng)時(shí)間，以及越來越多的機(jī)會(huì)專注于更具戰(zhàn)略性和復(fù)雜性的責(zé)任。他表示：“我們已經(jīng)看到，這個(gè)行業(yè)的性質(zhì)從被動(dòng)轉(zhuǎn)向主動(dòng)，這應(yīng)該體現(xiàn)在個(gè)人層面上。我不再等待威脅發(fā)生后才采取行動(dòng)。”

Vaughn認(rèn)為，為了跟上角色變化的步伐，他在過去幾年里必須掌握一些特定的技能，包括學(xué)習(xí)如何查詢、創(chuàng)建報(bào)告和使用劇本;新的查詢語言，如Sentinel KQL，以創(chuàng)建有效的檢測(cè)規(guī)則，威脅參與者使用的新戰(zhàn)術(shù)和技術(shù)，以及不斷擴(kuò)大的AI工具的引入。

自動(dòng)化使Darktrace亞太區(qū)分析師技術(shù)總監(jiān)Oakley Cox擺脫了平凡的任務(wù)，他說，“這項(xiàng)工作傳統(tǒng)上是非常二元的、基于知識(shí)的決策，而且非常重復(fù)，但現(xiàn)在，利用AI，它擁有更廣泛的背景和理解，并為你做出決定，然后，作為一名人類分析師，它允許你從知識(shí)方面后退一步，轉(zhuǎn)而專注于假設(shè)檢驗(yàn)，并調(diào)查針對(duì)較少警報(bào)的方法，以便只關(guān)注重要警報(bào)。”

GRC專家角色是如何演變的

就像任何新技術(shù)的出現(xiàn)一樣，也有利弊之分。Bandara警告說，雖然AI可以被用來做好事，但它也可以被用來制造新的攻擊和進(jìn)一步的風(fēng)險(xiǎn)，所有網(wǎng)絡(luò)安全專業(yè)人員都需要意識(shí)到這一點(diǎn)。“如果你有一名治理、風(fēng)險(xiǎn)和合規(guī)專家，他們有一個(gè)特定的項(xiàng)目放在他們的收件箱中進(jìn)行風(fēng)險(xiǎn)評(píng)估，他們以前就不必考慮基于AI的風(fēng)險(xiǎn)，例如，如果一名員工使用開放的AI平臺(tái)來生成報(bào)價(jià)，或者有人將公司知識(shí)產(chǎn)權(quán)復(fù)制粘貼到ChatGPT上。”他表示。

在這些新的考慮之后，KordaMentha網(wǎng)絡(luò)安全執(zhí)行董事Tony Vizza認(rèn)為，GRC專家正越來越多地為公司發(fā)揮更大的咨詢作用。“我認(rèn)為人們?cè)絹碓揭庾R(shí)到，網(wǎng)絡(luò)安全世界就像醫(yī)學(xué)，因?yàn)槿绻闵眢w不好，你會(huì)去看全科醫(yī)生……但全科醫(yī)生不會(huì)是那個(gè)無所不知的人，他們會(huì)把你送到專家那里，或者送你去做掃描或驗(yàn)血，”他說，“可以說，他們的工作實(shí)際上是協(xié)調(diào)不同醫(yī)學(xué)專業(yè)的顧問，然后帶著結(jié)果返回給你，告訴你這就是你需要做的……然而，在醫(yī)學(xué)領(lǐng)域，有一個(gè)由專注于不同領(lǐng)域的人組成的完整生態(tài)系統(tǒng)……我們?cè)诰W(wǎng)絡(luò)安全領(lǐng)域看到了完全相同的情況。”

Vizza解釋說，在過去，在GRC工作的人通常會(huì)被非常技術(shù)的人打電話給他們，他們會(huì)說“你不懂這項(xiàng)技術(shù)”，而GRC的人會(huì)說“你不懂這項(xiàng)技術(shù)不會(huì)解決一切問題。我認(rèn)為我們開始看到，實(shí)際上你兩者都需要。”

例如，GRC專家需要具備一些法律知識(shí)，才能成功地就治理計(jì)劃和框架的設(shè)計(jì)以及最佳網(wǎng)絡(luò)安全實(shí)踐向組織提供建議。認(rèn)識(shí)到這種需求，身為GRC專家的Vizza正在完成法律學(xué)位的學(xué)習(xí)。“在過去幾年里，從GRC的角度來看，我們看到了一種要求，即你需要了解監(jiān)管空間，而不是‘這是一個(gè)隱私法案問題’。當(dāng)你與組織合作時(shí)，你必須特別解釋，如果他們有數(shù)據(jù)泄露，這將如何影響他們，”他說，“你不需要成為一名律師，但你確實(shí)需要有足夠的理解力，真正了解法律和監(jiān)管領(lǐng)域。”

事件響應(yīng)者現(xiàn)在需要良好的溝通技能

預(yù)計(jì)將提供建議的不僅僅是GRC專家。事件響應(yīng)人員通常因其技術(shù)技能而受到重視，他們發(fā)現(xiàn)自己越來越多地與客戶直接互動(dòng)。CyberCX負(fù)責(zé)數(shù)字取證和事件響應(yīng)的高級(jí)執(zhí)行調(diào)查員David Ulcigrai表示，事件響應(yīng)人員被要求溫習(xí)他們的口頭和書面溝通技能。他說：“我們注意到的是，客戶不一定想在郵件發(fā)出之前等人審閱一封郵件或?qū)忛喴环輬?bào)告，這是過去的情況，我們會(huì)進(jìn)入進(jìn)行調(diào)查，找到一些結(jié)果，然后在結(jié)束時(shí)給他們一份書面報(bào)告。”

“現(xiàn)在，在這個(gè)過程中，客戶更多地參與進(jìn)來，并想知道更多，所以每個(gè)人都必須做出回應(yīng)，每個(gè)人都必須拿起電話進(jìn)行交談。我的背景是技術(shù)方面的，技術(shù)人員不一定是讓事情變得簡單的最佳溝通者，但這是一項(xiàng)學(xué)習(xí)技能，所以這就是我們現(xiàn)在試圖專注的地方。”

CISO在招聘時(shí)應(yīng)注意的事項(xiàng)

在尋找新員工時(shí)，有軍用機(jī)場(chǎng)背景的Ulcigrai說，他一直在尋找有學(xué)習(xí)能力的技術(shù)人員。他說：“我不一定在乎你來自哪個(gè)技術(shù)領(lǐng)域……只要它在網(wǎng)絡(luò)領(lǐng)域或技術(shù)領(lǐng)域的某個(gè)地方，特別是在事件應(yīng)對(duì)方面……但現(xiàn)在我也熱衷于人們與我交談的時(shí)候，只要聽他們說什么，他們是否能夠以一種我能理解的方式向我解釋任何話題，因?yàn)閺哪瞧涣魑恼轮校@變得越來越重要，”他說，“你知道，如果在五六年前，我會(huì)選擇那個(gè)技術(shù)專家。現(xiàn)在，如果我有一個(gè)職位，我有一個(gè)人可能技術(shù)不是很強(qiáng)，但我會(huì)溝通，我可能會(huì)選擇后者。”

思科澳大利亞和新西蘭網(wǎng)絡(luò)安全總監(jiān)Corien Vermaak同意，除了技術(shù)技能外，招聘軟技能的人正變得更加有利。她說：“我會(huì)考慮一位工程師或分析師，他們可以帶領(lǐng)利益相關(guān)者了解這次信息泄露的情況，而不是陷入技術(shù)討論的深淵，然后失去他們，因?yàn)椤袝r(shí)致力于此的工程師或SOC分析師會(huì)被拉到最前線，他們必須報(bào)告數(shù)據(jù)。”

Vermaak說，“這些專業(yè)人士必須溝通挑戰(zhàn)、問題陳述，他們還必須溝通和制定計(jì)劃，所以他們需要具備行業(yè)所缺乏的批判性思維、規(guī)劃、解決問題、溝通和技術(shù)寫作。因此，任何能向我展示自己在技術(shù)或?qū)W歷方面的軟技能豐富的人，在面試過程中的排名都會(huì)更高。”

交互技能在網(wǎng)絡(luò)行業(yè)變得更加重要，特別是在它繼續(xù)受到持續(xù)的技能短缺的全球困擾的情況下。“因?yàn)槲覀儧]有足夠的資源，所以我看到領(lǐng)導(dǎo)者在招聘方面非常有創(chuàng)意。在我的團(tuán)隊(duì)里，我也是這樣做的，因?yàn)橛刑嗖煌念I(lǐng)域可以為一個(gè)職位帶來豐富性。當(dāng)我看著一個(gè)候選人時(shí)，我真的會(huì)跳出框框。我在整個(gè)行業(yè)都看到了這一點(diǎn)，”Vermaak說，“我讓西澳大利亞州的一位CISO告訴我，他有一個(gè)巨大的技能問題，他去了護(hù)士協(xié)會(huì)，雇傭了因?yàn)獒t(yī)療原因不能護(hù)理的退休護(hù)士，他重新培訓(xùn)了她們。我還聽到另一位CISO對(duì)我說，我們正在為結(jié)束延長育兒假回來的媽媽們開車。”

歸根結(jié)底，公司如何聘用網(wǎng)絡(luò)專業(yè)人士的敘事正在發(fā)生變化，不再僅僅是關(guān)于他們已經(jīng)擁有的技能，還有他們對(duì)學(xué)習(xí)新技能的開放程度。Vermaak說：“我希望吸引那些具有利他主義觀念的人，他們想要打擊犯罪——但不是以血腥的方式——想要成為解決方案的一部分，想要進(jìn)行批判性思維和解決問題，”維爾馬克說，“因?yàn)橐坏┠阏业竭@些人，其他人就不重要了。你知道他們會(huì)投資于技能，他們會(huì)自我發(fā)展，這就是我們要面對(duì)的問題。”