行业新闻与博客

网络安全技能短缺:所有渗透测试人员在哪里?

安全行业严重缺乏技能,这已不是什么秘密。在许多网络安全职位中,公司目前面临的挑战是填补渗透测试人员的角色。然而,在所有需求量大和供应短缺的技能中,笔测试不应该是其中之一。笔测试者是信息安全的摇滚明星 - 每个人都想成为笔测试者。此外,公司清楚地认识到笔测试技能的必要性。那么,问题是什么?


根据企业战略集团(ESG)和信息系统安全协会(ISSA)进行的联合研究,23% 的组织报告称笔测试员短缺,将渗透测试排名在网络安全技能列表中排名第四,他们遭受的影响最大短缺。 


但问题不在于缺乏合格的候选人; 问题是公司如何进行渗透测试。一方面,一些公司无意中拒绝了合格的候选人,而另一方面,他们根本不愿意在内部努力发展笔测试技能。 

呼叫所有笔测试'专家'


公司需要生产力。他们希望能够与能够开展工作的人一起填补空缺职位,但是当涉及到IT技能时,人力资源部门对生产力转化为体验的方式抱有不合理的期望。 

就人力资源而言,“专家”在特定领域至少有 10 年的经验。当你雇用技术技能时,这是一个问题。一位招聘经理告诉人力资源部,他们想要一个编程语言的“专家” - 比如说,Swift--并立即转化为 10 年的经验。Swift 于 2014 年推出。该公司很幸运能找到一位有三年经验的候选人。 


您可以看到招聘人员对工作能力和要求的严格要求是如何人为地限制合格笔式测试人员的供应。合格的候选人甚至没有在求职网站上获得过去的关键字过滤器。结果,能够迅速提升速度的候选人将被遗弃。公司需要在发布工作要求时降低他们的期望,或者愿意为具有良好渗透测试员的基本技能和特征的人开枪。 


成长自己的笔测试员  


如果您愿意花时间和精力培养他们,可以使用渗透测试技能。 


IT 专业人员供应充足,他们的技能组成为网络渗透测试技能的坚实基础。企业应该在IT部门寻找愿意进行交叉培训的人员。有实际操作系统的人,而不是服务台的人员。五到七年的 IT 管理经验是可取的,因为它表明这个人的功能足以压低专业工作,他们不需要摆脱不良的学习习惯。


除了多年的经验,了解候选人的技术知识也很重要。例如,虽然IT管理员可能知道如何配置防火墙或路由器,但成功的笔式测试人员还需要了解防火墙实际工作方式的内部工作方式(就其开发而言)。我们都知道有加密算法,但笔测试者“想成为”也应该知道其中一些算法的内部工作原理。对于详细了解事物的渴望将驱使好奇心思考出现大多数安全问题的更广泛的情况。拥有软件开发背景是另一项重要技能,特别是那些也将评估应用程序的笔测试人员。开发背景不仅可以提供有关机器和框架如何工作的内部工作方式,


候选人还应该有快速学习和适应性的记录。没有两个笔测试是相同的,没有两个系统是相似的。笔式测试人员通常需要能够开发和定制工具,因此必须具备适应性和编程知识。优秀的钢笔测试人员有能力独立解决问题并习惯于独立学习和思考。 


理想的笔测试仪也表现出健康的畸形剂量。有些人受到系统规则的约束,以至于他们无法超越它。他们无法理解系统的故障模式。未来的渗透测试人员应该倾向于推动边界 - 特别是当他们被告知时,毫不含糊地说,不要这样做。这些是通过做最好的学习的人。 


了解您不会立即得到结果也很重要。您无法将您的 IT 管理员发送到周末训练营并将其变成笔测试器。开发笔测试技能需要时间。但是,组织可以通过建立适当的学徒制来促进这一过程。 

学徒模型曾被用于培训所有行业的专业人士,因为它起作用。人们通过与专家一起学习来学习。直到最近社会才放弃了大众教育的学徒模式,但学徒模式是经过验证的,它确实适用于笔测试。 


组织改变雇用笔测试人员的方法或花时间培养他们的IT专业人员的笔测试技能至关重要。替代方案 - 由于基础设施薄弱而遭受数据泄露 - 今天是不可接受的;  70% 的网络安全专业人员向ESG 和 ISSA 报告说,全球网络安全技能短缺已经影响了他们的组织。渗透测试不一定是其中之一。 

需要帮助吗?联系我们的支持团队 在线客服