六年來首次停滯!網絡安全就業市場提前入冬
責編:gltian |2024-11-04 15:23:43根據ISC2最新發布的2024年網絡安全人才研究報告,盡管全球約90%的企業網絡安全團隊存在職位空缺或技能不足,但網絡安全招聘職位數量六年來首次停止增長。報告顯示,全球網絡安全人才職位數量同比僅微增0.1%,維持在550萬人左右,這一增幅遠低于2023年的8.7%。
缺錢:預算成最大瓶頸
隨著企業整體支出縮減,網絡安全預算在IT支出中的占比雖有維持,但實際金額卻因削減而顯著減少。根據ISC2網絡安全人才報告,預算不足是2024年網絡安全人才短缺的首要原因,67%的受訪者表示預算不足是導致其網絡安全團隊空缺難以填補的主要原因,而這一問題在2023年的報告中被主要歸因于“缺乏合格人才”。
不同行業的網絡安全預算消減程度不同。根據ISC2的報告,托管/云服務(43%)、房地產(43%)、汽車(42%)、工程(40%)、建筑(40%)、娛樂/媒體(40%)、安全軟件(39%)和電信(39%)預計未來12個月網絡安全支出將進一步減少。公共部門行業,包括軍隊(16%)、政府(24%)和公用事業(25%),預計未來網絡安全支出減少速度會降低,總體趨于平穩。
2024年預算消減和裁員對不同行業安全人才的影響來源:ISC2
惡化:人手短缺、技能不足、滿意度下降
許多企業不得不在有限的預算下優先投入日常業務運營,而網絡安全,尤其是人才擴充和技能培訓,逐漸被視作“可以暫緩”的支出。這使得企業難以為團隊提供足夠的技能培訓和專業發展機會,導致現有員工技能更新速度減緩,進一步加劇了團隊的整體技能缺口。
缺乏時間是造成技能差距的第二個原因。網絡安全專業人員正在盡最大努力滿足工作要求。在理想情況下,員工會學習新技能以跟上市場步伐,但超過一半的受訪者表示,他們沒有足夠的時間學習新技能。
74%的受訪者表示當前的網絡威脅環境是過去五年中最具挑戰性的。然而,經濟壓力導致網絡安全投資下降,預算削減和裁員使團隊承受著更大的壓力。這不僅影響到員工滿意度(從2022年的74%下降到2024年的66%),還導致企業安全態勢的惡化。事實上,技能不足和人手短缺已成為企業面臨的首要難題,預計在未來兩年內,這一問題仍將困擾網絡安全行業。
ISC2代理CEO兼CFO黛布拉·泰勒(Debra Taylor)表示:“當前的經濟狀況對網絡安全團隊投資造成沖擊,許多企業將網絡安全團隊置于巨大壓力之下,導致員工倦怠與流失。”數據顯示,58%的受訪者認為技能短缺給組織帶來重大風險,59%則坦言這一缺口已經影響了企業的安全能力。數據顯示,存在顯著技能差距的企業出現重大數據泄露事件的風險是技能健全企業的兩倍。
熱點:大企業安全團隊增長迅猛
在網絡安全人才市場整體遇冷的背景下,一些大企業卻在網絡安全團隊建設上逆勢擴張,成為“寒冬中的一把火”。據Wavestone的《2024年網絡安全基準報告》顯示,年收入超過10億美元的大型企業今年都大幅擴充了網絡安全團隊,平均每1086名員工配備一位網絡安全專業人員,比2023年提高了15%(當時每1285名員工才配備一位)。金融行業在這一趨勢中尤為突出,平均每267名員工中就有一位網絡安全專家;相比之下,工業行業則相對滯后,平均每1390名員工才有一位網絡安全專業人員。
Wavestone合伙人杰爾蒙·比約瓦(Germone Billois)指出,這一變化反映了大型企業對網絡安全人才需求的高度重視,越來越多的企業啟動了人才保留計劃,以增強網絡防御。報告還指出,受訪組織的總體網絡安全成熟度達到53%,部分企業更是達到了80%-90%的高水平。各行業的網絡安全預算穩定在IT預算的6.6%左右,云安全和數據安全的成熟度相比2023年分別提升了5%和4%。
盡管大型企業在網絡安全投入上取得了一定進展,但第三方安全和工業系統安全(ICS)是兩大短板,二者平均成熟度分別僅為48.9%和39.9%。
解藥:AI能否拯救網絡安全人才危機
盡管面臨技能短缺的困境,報告指出生成式AI(GenAI)有望在未來成為網絡安全領域的“救星”。68%的受訪者預計,在未來兩年內他們能夠有效將生成式AI納入工作中;80%認為網絡安全技能在AI驅動的環境中將更為重要。黛布拉·泰勒表示,AI被視為“增強組織安全性和提升團隊效率”的關鍵工具,而管理AI帶來的風險也將成為員工職業發展的新機遇。
在接受調查的網絡安全團隊中,已有45%的團隊在使用AI網絡安全工具,主要應用場景包括:
- 輔助日常操作任務(56%)
- 加速報告生成與事件報告(49%)
- 簡化威脅情報分析(47%)
- 加速威脅搜尋(43%)
- 改善策略模擬(41%)
不過,45%的受訪者表示缺乏清晰的生成式AI戰略仍然是AI在企業內部普及的障礙。此外,AI將如何影響未來網絡安全崗位的技能結構尚不明朗。專家指出,AI將帶來兩大關鍵轉變:首先,AI可能取代部分網絡安全技術技能;其次,由于尚不確定AI將如何全面融入網絡安全領域,雇主在招聘時更傾向于選擇具備跨領域解決問題能力的員工,而非技術專才。
破局:網絡安全行業面臨技能重塑和升級
隨著AI逐步融入網絡安全,報告建議企業重視具備非技術性技能的人才,以應對未來技能需求的不確定性。同時,雖然AI可能在技術層面提供支持,但網絡安全行業仍需加強對技能不足的員工進行技能提升。約52%的受訪者表示,希望通過成為企業的戰略貢獻者從而穩固職位,48%希望掌握更多AI相關技能,以適應AI技術在網絡安全領域的應用。
結語
2024年網絡安全行業面臨技能短缺和經濟壓力的雙重挑戰,這導致企業安全人才短缺和技能不足的問題進一步惡化。AI也許將是企業網絡安全人才危機的一劑解藥,生成式AI為解決網絡安全技能不足問題提供了潛在的解決方案,但要在確保網絡安全團隊高效運作的同時合理引入AI,還需對未來新型網絡安全人才和技能升級需求的準確預判和規劃。
參考鏈接:
- https://www.isc2.org/Insights/2024/10/ISC2-2024-Cybersecurity-Workforce-Study
- https://www.wavestone.com/en/insight/cyber-benchmark-2024-progress-in-cyber-maturity-continues-yet-pace-is-slow/