AI,自动化工具推动一些网络安全角色的变化

经验丰富的IT和网络安全主管Sameera Bandara告诉记者,推动公司寻找网络安全专业人员技能转变的最大因素之一是AI和自动化工具的日益流行,特别是在过去两年。事实上,Tines Voice of the SOC的报告发现,10个安全团队中有9个正在实现至少部分工作的自动化。

Bandara说:“像微软这样的供应商,以及像Splunk和CrowdStrike这样的其他安全供应商,他们基本上已经把AI引入了他们的工具集中,这就消除了对安全分析师的需求,比如说,他们不需要具备一定的技能,因为他们不必做繁琐的工作,他们基本上可以得到工具来为他们做这件事。”他提到的其中一些技能是编码和脚本编写技能。他说:“由于供应商将AI集成到他们的工具中,以前需要Python脚本的东西现在可以使用自然语言进行查询。”

亲身经历这一变化的是Datacom的高级网络安全分析师David Vaughn,他描述了他的角色在过去两年中如何“显著”改变。“过去,我的工作重点是识别和应对网络攻击,” Vaughn告诉记者,“由于数据通信处于网络安全的前沿,我的角色得到了提升,加入了更积极主动的威胁搜索。我现在花费大量时间积极搜索对我们公司的威胁,包括内部和外部,实施基于行为和异常的用例,而不是更标准的基于签名的用例,以及通过引入安全协调、自动化和响应(SOAR)平台实现更多自动化。”

Vaughn补充说,获得新的自动化工具还意味着减少响应时间,以及越来越多的机会专注于更具战略性和复杂性的责任。他表示:“我们已经看到,这个行业的性质从被动转向主动,这应该体现在个人层面上。我不再等待威胁发生后才采取行动。”

Vaughn认为,为了跟上角色变化的步伐,他在过去几年里必须掌握一些特定的技能,包括学习如何查询、创建报告和使用剧本;新的查询语言,如Sentinel KQL,以创建有效的检测规则,威胁参与者使用的新战术和技术,以及不断扩大的AI工具的引入。

自动化使Darktrace亚太区分析师技术总监Oakley Cox摆脱了平凡的任务,他说,“这项工作传统上是非常二元的、基于知识的决策,而且非常重复,但现在,利用AI,它拥有更广泛的背景和理解,并为你做出决定,然后,作为一名人类分析师,它允许你从知识方面后退一步,转而专注于假设检验,并调查针对较少警报的方法,以便只关注重要警报。”

GRC专家角色是如何演变的

就像任何新技术的出现一样,也有利弊之分。Bandara警告说,虽然AI可以被用来做好事,但它也可以被用来制造新的攻击和进一步的风险,所有网络安全专业人员都需要意识到这一点。“如果你有一名治理、风险和合规专家,他们有一个特定的项目放在他们的收件箱中进行风险评估,他们以前就不必考虑基于AI的风险,例如,如果一名员工使用开放的AI平台来生成报价,或者有人将公司知识产权复制粘贴到ChatGPT上。”他表示。

在这些新的考虑之后,KordaMentha网络安全执行董事Tony Vizza认为,GRC专家正越来越多地为公司发挥更大的咨询作用。“我认为人们越来越意识到,网络安全世界就像医学,因为如果你身体不好,你会去看全科医生……但全科医生不会是那个无所不知的人,他们会把你送到专家那里,或者送你去做扫描或验血,”他说,“可以说,他们的工作实际上是协调不同医学专业的顾问,然后带着结果返回给你,告诉你这就是你需要做的……然而,在医学领域,有一个由专注于不同领域的人组成的完整生态系统……我们在网络安全领域看到了完全相同的情况。”

Vizza解释说,在过去,在GRC工作的人通常会被非常技术的人打电话给他们,他们会说“你不懂这项技术”,而GRC的人会说“你不懂这项技术不会解决一切问题。我认为我们开始看到,实际上你两者都需要。”

例如,GRC专家需要具备一些法律知识,才能成功地就治理计划和框架的设计以及最佳网络安全实践向组织提供建议。认识到这种需求,身为GRC专家的Vizza正在完成法律学位的学习。“在过去几年里,从GRC的角度来看,我们看到了一种要求,即你需要了解监管空间,而不是‘这是一个隐私法案问题’。当你与组织合作时,你必须特别解释,如果他们有数据泄露,这将如何影响他们,”他说,“你不需要成为一名律师,但你确实需要有足够的理解力,真正了解法律和监管领域。”

事件响应者现在需要良好的沟通技能

预计将提供建议的不仅仅是GRC专家。事件响应人员通常因其技术技能而受到重视,他们发现自己越来越多地与客户直接互动。CyberCX负责数字取证和事件响应的高级执行调查员David Ulcigrai表示,事件响应人员被要求温习他们的口头和书面沟通技能。他说:“我们注意到的是,客户不一定想在邮件发出之前等人审阅一封邮件或审阅一份报告,这是过去的情况,我们会进入进行调查,找到一些结果,然后在结束时给他们一份书面报告。”

“现在,在这个过程中,客户更多地参与进来,并想知道更多,所以每个人都必须做出回应,每个人都必须拿起电话进行交谈。我的背景是技术方面的,技术人员不一定是让事情变得简单的最佳沟通者,但这是一项学习技能,所以这就是我们现在试图专注的地方。”

CISO在招聘时应注意的事项

在寻找新员工时,有军用机场背景的Ulcigrai说,他一直在寻找有学习能力的技术人员。他说:“我不一定在乎你来自哪个技术领域……只要它在网络领域或技术领域的某个地方,特别是在事件应对方面……但现在我也热衷于人们与我交谈的时候,只要听他们说什么,他们是否能够以一种我能理解的方式向我解释任何话题,因为从那篇交流文章中,这变得越来越重要,”他说,“你知道,如果在五六年前,我会选择那个技术专家。现在,如果我有一个职位,我有一个人可能技术不是很强,但我会沟通,我可能会选择后者。”

思科澳大利亚和新西兰网络安全总监Corien Vermaak同意,除了技术技能外,招聘软技能的人正变得更加有利。她说:“我会考虑一位工程师或分析师,他们可以带领利益相关者了解这次信息泄露的情况,而不是陷入技术讨论的深渊,然后失去他们,因为……有时致力于此的工程师或SOC分析师会被拉到最前线,他们必须报告数据。”

Vermaak说,“这些专业人士必须沟通挑战、问题陈述,他们还必须沟通和制定计划,所以他们需要具备行业所缺乏的批判性思维、规划、解决问题、沟通和技术写作。因此,任何能向我展示自己在技术或学历方面的软技能丰富的人,在面试过程中的排名都会更高。”

交互技能在网络行业变得更加重要,特别是在它继续受到持续的技能短缺的全球困扰的情况下。“因为我们没有足够的资源,所以我看到领导者在招聘方面非常有创意。在我的团队里,我也是这样做的,因为有太多不同的领域可以为一个职位带来丰富性。当我看着一个候选人时,我真的会跳出框框。我在整个行业都看到了这一点,”Vermaak说,“我让西澳大利亚州的一位CISO告诉我,他有一个巨大的技能问题,他去了护士协会,雇佣了因为医疗原因不能护理的退休护士,他重新培训了她们。我还听到另一位CISO对我说,我们正在为结束延长育儿假回来的妈妈们开车。”

归根结底,公司如何聘用网络专业人士的叙事正在发生变化,不再仅仅是关于他们已经拥有的技能,还有他们对学习新技能的开放程度。Vermaak说:“我希望吸引那些具有利他主义观念的人,他们想要打击犯罪——但不是以血腥的方式——想要成为解决方案的一部分,想要进行批判性思维和解决问题,”维尔马克说,“因为一旦你找到这些人,其他人就不重要了。你知道他们会投资于技能,他们会自我发展,这就是我们要面对的问题。”