其他
本文主要探讨网络安全认证的兴起,以及为何我们应该采用工程方法来进行安全教育。重新审视网络安全领域的专业认证——为何我们需要它们,它们预期的作用是什么,过多认证存在的问题,以及我们未来可以走向何方。网络安全认证的崛起这个行业中,大部分人都对厂商数量过多感到不满,但很少有人质疑安全认证的泛滥问题。令人费解的是,在这个以一个人的能力来确保组织安全、降低事故概率和影响为业绩评价标准的领域中,我们作为一个行业却花费了如此多的时间、金钱和精力来追求470多个专业认证(这个数字甚至不包括特定供应商的认证)。在这篇文章中,我将探讨网络安全领域的专业认证——我们为什么需要它们,它们预期能做什么,过多认证存在的问题,以及我们可以从这里走向何方。谈论专业认证的价值是困难的,原因有很多。首先,并非所有的认证都是相同的:有些要求候选人展示实际操作技能,而其他一些要求候选人拥有数年经验,完成100多道题目的考试,并得到有经验的从业者的认可,还有一些只需要支付费用并通过选择题考试即可。对于涵盖所有这些和其他类型证书的概括性论述具有有限的价值。其次,这个行业的人们往往将自己划分为三类:追求网络安全认证并在LinkedIn个人资料中列出成百上千个认证的人,获得一两个最广为人知的认证的人,以及没有任何认证的人。每个群体的动机也各不相同:许多从业者享受终身学习,寻找方法以跟上不断变化的安全领域。许多人寻找能带来成就感的东西,并发现获得认证能满足这种需求。许多安全专业人员需要通过一个或多个认证来满足公共部门招聘的要求。还有一些人想要为招聘人员和招聘经理提供简历上那几个字母的认证框打勾。有些人认为为证书付费并花时间准备选择题考试没有太大价值。还有一小部分人尝试并未能获得他们想要的认证,对专业认证的价值和必要性感到不满。这个列表并不完全反映个人状况和主观观点的多样性。与其试图弄清不同人对安全认证的看法,不如来看看为什么网络安全认证存在,以及它们所应该解决的问题。本文旨在客观地审视网络安全认证的泛滥现象,而不是宣称证书是“关键的”或“无用的”,也不是说那些获得认证的人在浪费时间。我个人在职业生涯中获得了一系列的认证,包括财产意外保险学位(CPCU)、风险管理副学位(ARM)、风险管理专业人士(PMI-RMP)、认证产品经理(CPM)、认证Scrum产品负责人(CSPO)、Security+等。为了明确起见,我必须补充一点,我让所有这些认证都过期了,我也没有在名字后面添加认证。在我职业生涯最自豪的经历列表中,没有任何位置留给认证,无论为了获得它们需要付出什么。追求网络安全认证的常见动因网络安全认证用于学习和人才发展网络安全面临的最大挑战之一是安全从业人员需要了解的知识体系每天都在演变。此外,一个人对某个安全领域的理解稍有偏差,就会妨碍他们保护受雇保护组织的能力。犯错或不了解某些知识的代价可能非常高昂。当一名软件工程师犯了错误、忽略了关键场景,或者忽视了重要的业务需求时,有一个系统旨在解决这个差距。典型的流程如下:有人会报告问题,质量保证或者产品人员会重现、排查并对其进行优先级排序,然后软件工程师会进行修复。质量保证团队会对修复进行测试,一切准备就绪后,将其发布到生产环境中。比过程更重要的是共同的认识,即错误会发生,但大多数错误可以在相对平静和无痛苦的情况下得到解决。对于安全专业人员来说,他们对于差距和错误的容忍度似乎较低:他们引入的任何“漏洞”或未能捕捉到的任何问题都可能导致公司遭到威胁。在许多组织中,安全人员不允许犯错,这会导致与失败和学习之间的不健康关系。与被鼓励“快速失败、频繁失败”的软件工程师不同,安全团队往往被要求以“永不失败”的心态工作。在科技领域工作的所有人都知道错失恐惧症是真实存在的:总是有新技术、更好的做事方式、新工具、新的市场推广方法等。虽然感受到学习和保持更新的压力是对科技行业现实的健康回应,但对于许多安全从业者来说,这意味着他们不断担心,除非他们获得每个可用的认证、每门课程,否则他们将无法保护、无法检测、无法响应,最终——无法履行责任。大多数网络安全组织都理解持续学习的重要性,并为员工提供预算,许多人用来获得多种安全认证。网络安全的现实情况是,认证并不是跟上瞬息万变的行业发展的唯一途径,最重要的是,它也不是最佳途径。首先,安全是一门技术学科,因此动手实践、在家庭实验室中不断尝试和测试新方法和新技术是与时俱进的最佳途径。其次,通过参与