政府违规数据突出了网络技能误解
2019年网络安全漏洞调查显示了有多少组织未能理解其网络安全技能差距的程度,警告James Hadley,前GCHQ培训师和培训公司Medmersive Labs首席执行官。
调查显示,80%的企业和77%的慈善机构认为他们有足够的人处理网络安全,有效地管理风险,而77%的企业和69%的慈善机构认为与组织中的网络安全的人认为人们有正确的网络安全技能和知识有效地完成工作。
但该调查还表明,只有27%的企业和29%的慈善机构表示,他们的员工参加了内部或外部培训,包括过去12个月的网络安全。在企业中,只有36%的信息安全或治理人员参加了课程,但这比上年增加了10%。与前一年相比,参加此类培训的IT人员的比例持平,左右约为30%。
“这是一个常见的失败,”哈德利说。“组织假设通过添加肉体并在每隔几个月在教室里送回几天,风险减少。它没有。此外,由于威胁变化的速度,他们没有衡量其安全团队是否具有正确的技能和知识的实用方法。
“如果只有36%的信息安全或治理人员参加课程,则目前尚不清楚组织如何说他们有信心他们的安全团队有他们需要有效的技能和知识。”
即使是一个积极的培训计划,哈德利也争辩说,在人们离开课堂之前,所学到的技能已经过时,创造虚假的安全和人类漏洞,因为信息安全专业人员在攻击者身后滞后。
这是因为攻击者与企业和慈善机构不同,可以自由创新,并且不必在法律和安全预算的范围内工作,而少数培训计划或计算机科学和认证课程则准备每天更新或者每周依据包括已识别的新威胁。
“他们建立速度比开发团队更快,而不是传统培训可以应对的攻击更快,”哈德利说。“这是困扰基于签名的AV [防病毒]发动机的”时间差距“。
“培训需要持续,迭代。否则,您的网络人士成为风险而不是资产,因为他们的技能已经在未达到最新的知识方面进行了评估和认证,并且他们往往没有他们需要以与他们同样的速度移动的工具对手,“
根据哈德利的情况,根据Cyber攻击者使用的工具,技术和方法的快速变化,培训和技能认证的传统培训和技能认证方法“不要发出任何意义”。
他还认为多项选择的问题不是评估技能和知识的准确方式,因为这种考试通常可以通过在网上进行在线进行的考试,而不会与任何课程内容进行改善并提高他们的能力。
因此,哈德利表示,越来越多的公司雇用信息安全专业人员纯粹就认证,随后发现这些新员工没有他们在实践中所需的技能。
“公司越来越多地筛选候选人,以确保他们实际上有必要的能力和技术技能,而不是仅仅依靠认证,而是仍在努力寻找一种实用的衡量技能方式,”他说。
为了解决这个问题,沉浸式实验室已经制定了基于挑战的培训方法,侧重于能力,解决问题,坚持不懈和研究。2019年1月,该公司宣布了与数字阴影合作,已看到风险管理公司的每周威胁情报摘要和实时威胁智能饲料,并在全球威胁和漏洞中纳入沉浸式实验室的培训环境。
除了提供基于实时技能的学习的情况下,平台的分析和洞察功能提供了融资和团队网络功能的可见性,确定技能差距并确认已完成时间敏感的威胁情报实验室已完成。这旨在让业务领导者信心信心,即他们的安全团队的技能可以划伤和突出网络风险领域,以便可以采取适当的行动。
“随着市场成熟,我们看到更多培训提供商能够将最新威胁情报纳入必须完成而不是研究的练习,其次是多项选择考试,组织将越来越能够确保技能的能力哈德利说,达到数据并衡量这些技能,这太少的组织正在做。“
“组织需要知道他们的技能差距在哪里,以确定他们最有风险的地方,他们需要在追随安全团队成员的努力中努力。”
哈德利表示,采用国际网络技能框架是“关键”,以便在所有国家,行业,组织,员工和求职者中使用的语言是相同的。
“例如,沉浸式实验室将大量的内容和技能映射到美国国家标准和技术研究所(NIST)的网络安全信息(尼斯)框架的国家倡议,”他补充道。“拥有一个国际标准,每个人都将成为一个公平和开放的生态系统,让每个人在内部工作,以便人们更容易比较知识,技能和能力。”