AI 與自動化驅使產業界對網路安全專業人員能具備軟技能的需求的日益加深,企業更當留意招募意外事件應變人員、GRC 專家與 SOC 分析師必備的要點。
文/Aimee Chanthadavong·譯/柳百郁
全球企業都在設法因應經常性技術變化帶來的影響,同時還必須跟上持續進化的網路安全處理能力。這直接影響處於這個產業工作的個人,與接下來招募意外事件應變人員、管控/風險/合規(governance, risk, compliance,GRC)專家與安全營運中心(Security Operations Center,SOC)分析師時,企業尋求的技能。
AI 與自動化工具令部份網路安全職責產生變化
經驗豐富的 IT 與網路安全主管 Sameera Bandara 表示,驅動企業尋求網路安全專業技術移轉最大因子之一(尤其近兩年),就是 AI 與自動化工具的盛行。事實上,《Tines Voice of the SOC》報告發現,有九成資安團隊至少已進行部份作業的自動化。
[ 熱門精選:隱私 AI 發展應受重視 ]
「像微軟這類業者,Splunk 與 CrowdStrike 這些資安廠商,基本上已將 AI 導入自有工具集裡,這麼一來資安分析師就不需要具備特定技能,因為不必做那些刻苦的工作,基本上利用工具為他們代勞即可。」Bandara 表示。他所指的這些技能有些就是編寫程式碼與 script。「先前必須 Python script 才能做的那些,如今可以利用自然語言查詢,因為廠商已將 AI 整合到工具裡了。」他如此表示。
親身經歷這種轉變的 Datacom 資深網路安全分析師 David Vaughn,敘述他的職責內容在近兩年如何發生了「戲劇性」轉變。
「過去,我的工作著重在識別與回應網路攻擊。」Vaughn 表示。「隨著 Datacom 營運走在網路安全第一線,我的職責已提升到結合更主動的威脅獵捕。現在我花相當多的時間主動搜尋針對我們企業組織的威脅(無論內部或外部)、實施以行為為基礎與異常的使用案例而非標準以簽章為基礎的使用案例,以及導入「資安協調自動化應變」(security orchestration automation and response,SOAR)平台實現更加自動化。」
Vaughn 補充說明,獲得新穎自動化工具,也表示減少歸類與應變時間,同時更有機會著重在偏策略性與較複雜的責任上。「我們發現,這個產業的性質,從被動移轉為主動的處理方式,也反映在個人層面上。我不再等待威脅發生才採取行動。」他表示。
[ 推薦文章:AI 對系統安全和 PQC 帶來的挑戰 ]
Vaughn 認為過去兩年必須努力獲得才能跟上職責變遷腳步的技能,包括學習如何查詢/建立報告與使用教戰守則、Sentinel KQL(Kusto 查詢語言)這類可以建立有效率偵測規則的新查詢語言、威脅行動者使用的新戰術與技巧,以及不斷擴展版圖的 AI 工具導入。
自動化讓 Darktrace APAC 分析師技術總監 Oakley Cox 擺脫平凡無趣的任務,他表示,這份工作通常極度二元化(研判究竟是誤判或是真正的風險),又相當高的比重是以個人背景知識為基礎進行重複的決策。
「但如今,充份利用 AI 能得到廣泛背景資訊與理解為你進行決策,繼而允許身為人類分析師的你從知識面倒推回來,你只要著重在疑點的檢驗、審查更少的警報,僅關注在最重要的風險上。」
GRC 專家職責演變
就像所有新興技術一樣,這也是有利有弊。Bandara 警告,雖然 AI 能用在好的地方,但也能用來創造新的攻擊與助長風險,這是所有網路安全專業人員必須有所警覺的。
「若你有治理/風險與合規專家,他們會有特定專案收件匣以便進行風險評估,之前無須考量以 AI 為基礎的風險。但現在會有例如:員工使用開放式 AI 平台產生報價,或某人將公司 IP 複製貼上 ChatGPT 等風險。」他表示。
[ 非讀不可:生成式 AI 不是資訊長唯一要做的事情 ]
這些新思維的背後,KordaMentha 網路安全執行總裁 Tony Vizza 認為,GRC 專家在公司企業裡的職責逐漸偏向著重顧問諮詢。
「我認為,網路安全的世界已漸漸類似醫學,當你不舒服的時候,會去找家醫科醫生…,但家醫科醫生並非無所不知,他們會把你交給專科醫生或送你去生理掃描或進行血液檢測。」他如此說道。
「他們的工作其實是顧問,這麼說好了,他們與不同醫學專科醫生協同合作,接著將結果帶回來給你,告訴你必須做的事是…,在醫學領域裡,整個生態系統是以專精不同領域的人所組成…我們如今看到的網路安全世界也正是如此。」
[ 推薦文章:生成式 AI 調查 ]
Vizza 解釋,過去 GRC 從業人員會被技術強者認為「你不懂技術」,而 GRC 的人則認為「技術無法解決一切。」「我們開始漸漸發現,其實兩者不可或缺。」
GRC 專家需具備一些法律知識才能順利為企業組織提供治理規劃與框架的設計,與最佳網路安全實作這類建議。
身為 GRC 專家的 Vizza 體認到這樣的需求,正在取得法律學位。「過去幾年,就 GRC 角度來看我們發現瞭解法規領域的必要性,不僅在於『這是隱私法議題』。在與企業組織合作時必須能夠解釋,當企業組織資料外洩時,會造成怎樣的影響。」他表示。「你不必是律師,但必須具備足夠的理解,確實瞭解整個法律與法規環境。」
意外事件應變人員如今需要更好的溝通力
不僅 GRC 專家被期望能提供建議。擁有寶貴技術能力的意外事件應變人員,也發現自己越來越常直接與客戶互動。
據 CyberCX 數位鑑識與事件應變資深管理調查員 David Ulcigrai 指出,意外事件應變人員被要求提升本身口頭與撰寫上的溝通技巧。「我們發現的是,客戶不見得想要等某人審閱電子郵件或檢視報告後再發出,那是過去的做法:進行調查、發現一些結果,接著最後提供一份書面報告。」他說道。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
「現在,客戶參與度更高,而且想要在過程中瞭解更多,因此每個人都必須回應、每個人都必須有能力拿起電話與客戶對話。我的背景極度偏技術,科技人不見得是能簡化事情的最佳溝通者,但是溝通是一項可以學習的技能,而這正是我們現在努力的方向。」
CISO 在招募時應該要看?
曾在軍用機場工作的 Ulcigrai 表示,在招募新員工時,他總是特別留意具有「學習能力」的技術人員。
「我不一定關心你來自哪個技術門派,只要是在網路或技術領域就行,尤其意外事件應變…,但現在我會在彼此對話時特別留意,聆聽對方說什麼,還有他們是否能以我能理解的方式解釋某個主題,因為『溝通』這領域已經變得越來越重要。」他說道。「你知道,五六年前我會選那個技術專家。現在,若有項職缺,有個技術性沒那麼強但能溝通的人出現,我可能會選後者。」
Cisco 澳洲與紐西蘭網路安全總監 Corien Vermaak 也認同逐漸開始偏好雇用具備軟技能並擁有技術能力的人。「我會想找一個能引領利益相關者通盤瞭解這次外洩事件發生了什麼事的工程師或分析師,而不是掉進技術討論深淵並失去他們的人,因為別忘了…,有時處理事件的工程師或 SOC 的分析師會被拉到前線,他們必須進行資料報告。」她表示。
[ 熱門精選:加快 AI 採用?]
這些專業人員,必須傳達挑戰、陳述問題,也要溝通與制定計劃,Vermaak 表示,因此他們必須具備這個行業所缺乏的批判性思維、規劃、解決問題、溝通與技術文件撰寫的能力。「所以,任何一個可以充份展示軟技能的合格技術或學術人員,一定會在面試過程取得較高排名。」
「跨技能」在網路領域越來越重要,尤其全球技術人員短缺的困局一直都在。
「由於無法得到應該有的資源,我發現領導者們『在招募方式上』非常有創意。我也對自身團隊這麼做,因為眾多不同領域可以為這個職位帶來豐富性,在尋覓候選人時我真的跳出思維框架。在這個產業我看到很多這樣的做法。」Vermaak 表示。「西澳大利亞的資安長告訴我,他面臨這個龐大技術性問題,前往護士協會,雇用因醫療原因無法護理的退休護士,重新培訓他們。還有另一個 CISO 則是告訴我,我們正在協助媽媽們從延長的育嬰假返回職場。」
最終,企業雇用網路專業人員的敘述方式逐漸改變,不再只關心他們已經具備的技能,還納入他們對於學習新事物的開放程度。「我想吸引那些擁有無私胸懷想打擊犯罪的人(以非血腥的方式)、想成為解決方案一部份的人、想進行批評性思考並解決問題的人。」Vermaak 表示。「因為一旦找到這些人,剩下的就沒那麼重要了。你知道他們會在投術上投資『並』自我提升,這就是我們正面對的現況。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)
