隨著專(zhuān)門(mén)針對(duì)知識(shí)產(chǎn)權(quán)的數(shù)據(jù)外泄事件與大量黑客活動(dòng)的持續(xù)升溫，信息安全專(zhuān)家、尤其是那些迫于預(yù)算壓力而不得不在人才儲(chǔ)備方面做出妥協(xié)的管理者感到壓力倍增。

這也正是(ISC)2第六次全球信息安全人力研究的主要調(diào)查結(jié)果之一。這家認(rèn)證機(jī)構(gòu)于本周、也就是RSA大會(huì)的首日公布了這份報(bào)告。該機(jī)構(gòu)還于周一利用半天時(shí)間在大會(huì)上介紹了其最為知名的項(xiàng)目——認(rèn)證安全軟件生命周期專(zhuān)家(簡(jiǎn)稱(chēng)CSSLP)與認(rèn)證信息系統(tǒng)安全專(zhuān)家(簡(jiǎn)稱(chēng)CISSP)兩大培訓(xùn)課程。(ISC)2與承包業(yè)巨頭Booz Allen Hamilton以及研究企業(yè)Frost & Sullivan一道對(duì)全球范圍的超過(guò)一萬(wàn)兩千名信息安全專(zhuān)家開(kāi)展了調(diào)查。

黑客成為頭號(hào)安全隱患

正如大家所預(yù)料，黑客成為56%的受訪者最為關(guān)注的首要安全隱患，而網(wǎng)絡(luò)恐怖主義活動(dòng)的地位則日益提升、在此次調(diào)查中躍居次席。此類(lèi)有針對(duì)性的攻擊完全有能力破壞關(guān)鍵性基礎(chǔ)設(shè)施的正常運(yùn)轉(zhuǎn)：例如兩年前首次浮出水面的Stuxnet，更有一些惡意內(nèi)容很可能始終潛伏在機(jī)構(gòu)的系統(tǒng)或者成功繞開(kāi)了傳統(tǒng)安全技術(shù)的圍追堵截，在不知不覺(jué)中竊取著知識(shí)產(chǎn)權(quán)等其它一些寶貴信息。排在第三位的安全威脅則源自由“Anonymous”及其它一些零散黑客組織所帶來(lái)的攻擊活動(dòng)。

“威脅榜前三甲已經(jīng)觸動(dòng)了安全行業(yè)的危機(jī)點(diǎn)，”(ISC)2基金會(huì)主管Julie Peeler指出，她的主要工作是監(jiān)管機(jī)構(gòu)的培訓(xùn)及學(xué)員成績(jī)等事務(wù)。“我們正處于時(shí)代的轉(zhuǎn)折點(diǎn)，只有投入大量精力建立起值得信賴(lài)的員工隊(duì)伍并使其擁有專(zhuān)業(yè)化的培養(yǎng)及安全技能，新技術(shù)所引發(fā)的破壞才有可能被徹底控制住。”

超過(guò)八成的受訪者表示他們?cè)谶^(guò)去一年中沒(méi)有選擇過(guò)新的雇主或者供職單位，但(ISC)2宣稱(chēng)將按計(jì)劃以每年11%的增長(zhǎng)速度在未來(lái)五年內(nèi)持續(xù)提高從業(yè)安全專(zhuān)家的數(shù)量。不過(guò)，仍有超過(guò)一半的受訪者(56%)表示所在單位缺乏足夠的安全人才。

“當(dāng)我們問(wèn)及哪種額外支持最受歡迎時(shí)，受訪者表示希望能從高管層處了解到安全事務(wù)該如何在整個(gè)機(jī)構(gòu)中逐步鋪開(kāi)，”Taylor告訴我們。“他們認(rèn)為，最需要優(yōu)先解決的問(wèn)題是避免企業(yè)聲譽(yù)受到損害。”

還有一些受訪者覺(jué)得遭受攻擊后的恢復(fù)工作難以實(shí)施、成本高昂，將近四分之三的受訪者認(rèn)為服務(wù)停機(jī)時(shí)間才是最需要優(yōu)先處理的事項(xiàng)。28%的受訪者指出所在單位能夠在一天之內(nèi)修復(fù)由針對(duì)性攻擊造成的后遺癥。

應(yīng)用安全以及BYOD安全備受矚目

應(yīng)用程序安全漏洞則最終登上安全關(guān)注榜的第一位，Taylor同時(shí)指出這一趨勢(shì)在2011年的調(diào)查中就已經(jīng)顯露端倪。目前人才市場(chǎng)上經(jīng)過(guò)良好培訓(xùn)且具備安全軟件開(kāi)發(fā)知識(shí)的軟件開(kāi)發(fā)專(zhuān)家非常稀缺，而這已經(jīng)成為不容忽視的大問(wèn)題，她補(bǔ)充道。

“軟件工程師們真的需要對(duì)應(yīng)用、產(chǎn)品及平臺(tái)設(shè)計(jì)的安全知識(shí)多做一些深入了解，”Taylor表示。

除此之外，惡意軟件感染的控制工作、云環(huán)境中的數(shù)據(jù)直觀性、社交網(wǎng)絡(luò)弊端以及BYOD趨勢(shì)也紛紛登上關(guān)注榜前列。BYOD技術(shù)在78%的受訪者眼中成為重大安全風(fēng)險(xiǎn)的代名詞，更有74%的受訪者認(rèn)為要解決BYOD課題必須具備與之匹配的新型安全技能。68%的受訪者表示社交媒體也是一種長(zhǎng)期持續(xù)的安全威脅。

向云平臺(tái)遷移、基礎(chǔ)設(shè)施以及軟件即服務(wù)的長(zhǎng)期使用同樣給用戶(hù)帶來(lái)些許焦慮情緒，(ISC)2指出。49%的受訪者認(rèn)為云基礎(chǔ)服務(wù)將在2013年成為高危甚至最危險(xiǎn)的安全問(wèn)題，這一比例較2011年提高了6%。隨著兩年來(lái)云基礎(chǔ)服務(wù)部署的逐步鋪開(kāi)，報(bào)告發(fā)現(xiàn)人們?cè)絹?lái)越切身感受到這一趨勢(shì)的影響力以及由此帶來(lái)的安全隱患。

云安全專(zhuān)家成為人才缺口

根據(jù)調(diào)查結(jié)果，(ISC)2認(rèn)為目前人們“對(duì)于云相關(guān)風(fēng)險(xiǎn)的認(rèn)識(shí)還相當(dāng)模糊”;89%的受訪者會(huì)把云安全水平當(dāng)作安全專(zhuān)業(yè)人士的主要招聘標(biāo)準(zhǔn)。78%的受訪者表示正在尋求優(yōu)秀的安全專(zhuān)家來(lái)幫助自己了解云安全指導(dǎo)方針，并打算采用參考性架構(gòu)方案。根據(jù)他們的意見(jiàn)，安全專(zhuān)家還需要掌握合規(guī)性問(wèn)題、技術(shù)性知識(shí)，并熟悉合同義務(wù)及要求在安全層面的涵義。

“要想對(duì)供應(yīng)商的整體風(fēng)險(xiǎn)做出科學(xué)評(píng)估，用戶(hù)必須首先了解各家潛在云服務(wù)供應(yīng)商，”報(bào)告指出。“面對(duì)那些沒(méi)有遵循行業(yè)標(biāo)準(zhǔn)、最佳安全實(shí)踐以及相關(guān)規(guī)程要求的云服務(wù)供應(yīng)商，我們必須敏銳地意識(shí)到可能存在的潛在云風(fēng)險(xiǎn)、并堅(jiān)決將這類(lèi)合作對(duì)象拒之門(mén)外。”