本文主要探讨网络安全认证的兴起,以及为何我们应该采用工程方法来进行安全教育。重新审视网络安全领域的专业认证——为何我们需要它们,它们预期的作用是什么,过多认证存在的问题,以及我们未来可以走向何方。
网络安全认证的崛起
这个行业中,大部分人都对厂商数量过多感到不满,但很少有人质疑安全认证的泛滥问题。令人费解的是,在这个以一个人的能力来确保组织安全、降低事故概率和影响为业绩评价标准的领域中,我们作为一个行业却花费了如此多的时间、金钱和精力来追求470多个专业认证(这个数字甚至不包括特定供应商的认证)。
在这篇文章中,我将探讨网络安全领域的专业认证——我们为什么需要它们,它们预期能做什么,过多认证存在的问题,以及我们可以从这里走向何方。
谈论专业认证的价值是困难的,原因有很多。首先,并非所有的认证都是相同的:有些要求候选人展示实际操作技能,而其他一些要求候选人拥有数年经验,完成100多道题目的考试,并得到有经验的从业者的认可,还有一些只需要支付费用并通过选择题考试即可。对于涵盖所有这些和其他类型证书的概括性论述具有有限的价值。其次,这个行业的人们往往将自己划分为三类:追求网络安全认证并在LinkedIn个人资料中列出成百上千个认证的人,获得一两个最广为人知的认证的人,以及没有任何认证的人。每个群体的动机也各不相同:
许多从业者享受终身学习,寻找方法以跟上不断变化的安全领域。
许多人寻找能带来成就感的东西,并发现获得认证能满足这种需求。
许多安全专业人员需要通过一个或多个认证来满足公共部门招聘的要求。
还有一些人想要为招聘人员和招聘经理提供简历上那几个字母的认证框打勾。
有些人认为为证书付费并花时间准备选择题考试没有太大价值。
还有一小部分人尝试并未能获得他们想要的认证,对专业认证的价值和必要性感到不满。
这个列表并不完全反映个人状况和主观观点的多样性。与其试图弄清不同人对安全认证的看法,不如来看看为什么网络安全认证存在,以及它们所应该解决的问题。
本文旨在客观地审视网络安全认证的泛滥现象,而不是宣称证书是“关键的”或“无用的”,也不是说那些获得认证的人在浪费时间。
我个人在职业生涯中获得了一系列的认证,包括财产意外保险学位(CPCU)、风险管理副学位(ARM)、风险管理专业人士(PMI-RMP)、认证产品经理(CPM)、认证Scrum产品负责人(CSPO)、Security+等。为了明确起见,我必须补充一点,我让所有这些认证都过期了,我也没有在名字后面添加认证。在我职业生涯最自豪的经历列表中,没有任何位置留给认证,无论为了获得它们需要付出什么。
追求网络安全认证的常见动因
网络安全认证用于学习和人才发展
网络安全面临的最大挑战之一是安全从业人员需要了解的知识体系每天都在演变。此外,一个人对某个安全领域的理解稍有偏差,就会妨碍他们保护受雇保护组织的能力。犯错或不了解某些知识的代价可能非常高昂。
当一名软件工程师犯了错误、忽略了关键场景,或者忽视了重要的业务需求时,有一个系统旨在解决这个差距。典型的流程如下:有人会报告问题,质量保证或者产品人员会重现、排查并对其进行优先级排序,然后软件工程师会进行修复。质量保证团队会对修复进行测试,一切准备就绪后,将其发布到生产环境中。比过程更重要的是共同的认识,即错误会发生,但大多数错误可以在相对平静和无痛苦的情况下得到解决。
对于安全专业人员来说,他们对于差距和错误的容忍度似乎较低:他们引入的任何“漏洞”或未能捕捉到的任何问题都可能导致公司遭到威胁。在许多组织中,安全人员不允许犯错,这会导致与失败和学习之间的不健康关系。与被鼓励“快速失败、频繁失败”的软件工程师不同,安全团队往往被要求以“永不失败”的心态工作。
在科技领域工作的所有人都知道错失恐惧症是真实存在的:总是有新技术、更好的做事方式、新工具、新的市场推广方法等。虽然感受到学习和保持更新的压力是对科技行业现实的健康回应,但对于许多安全从业者来说,这意味着他们不断担心,除非他们获得每个可用的认证、每门课程,否则他们将无法保护、无法检测、无法响应,最终——无法履行责任。大多数网络安全组织都理解持续学习的重要性,并为员工提供预算,许多人用来获得多种安全认证。
网络安全的现实情况是,认证并不是跟上瞬息万变的行业发展的唯一途径,最重要的是,它也不是最佳途径。首先,安全是一门技术学科,因此动手实践、在家庭实验室中不断尝试和测试新方法和新技术是与时俱进的最佳途径。其次,通过参与 Discord、Slack 和类似的从业人员在线社区,以及参加 Defcon、FIRST、Blue Team Con 和 BSides 等以从业人员为主的活动并发表演讲,安全专业人员可以随时掌握每天发生的事情。另一方面,认证标准和内容通常每隔几年就会更新一次。第三,一旦一个人获得了最知名、最全面的一两个认证,他们通常会发现其他许多认证会重复相同的材料和/或提供微不足道的附加价值(对于那些为获得新的互补技能而定制学习旅程的人来说,情况并非总是如此)。
网络安全认证在招聘和人才评估中的作用
招聘和评估网络安全专业人员并不简单,这一事实一直是网络安全认证广泛流行的推动原因之一。经过几十年来招聘软件工程师的经验,我们已经学会了评估什么才是重要,即他们解决复杂问题的能力,构建高质量的代码以及与他人合作的能力。这种成熟度远远超越了软件工程:一名具有GCP经验的优秀基础架构工程师能够在相对短的时间内适应AWS,而数据工程师并不一定需要精通Scala,可以在工作中学习。然而,在网络安全领域,我们仍然没有掌握招聘的技巧,在缺乏普遍接受的招聘流程的情况下,我们依赖外部认证和学位来决定是否愿意面试某个人。
进一步增加在招聘中依赖网络安全认证的因素,是政府和私营部门之间的人才流动性。政府以官僚流程和正式手续著称,要求希望在公共部门工作的任何人都要达到特定要求,以实现专业认证。由于安全领域的人员经常在政府和私营公司之间流动,企业的招聘经理开始要求与公共部门同行具有相同的认证。网络安全在大多数地方被视为相当等级分明的学科(我们甚至将分层支持模式引入了SOC),为了获得晋升,许多组织中的人员需要勾选认证框,证明他们拥有高级安全认证。
对于那些试图将自己的职业转向网络安全并寻找令人渴望的入门级安全角色的人来说,这种对外部机构正式认证的依赖可能会特别痛苦。对于初涉安全领域的人来说,学习安全语言、掌握基本概念并通过一两个认证来表明自己的决心通常是个好主意。现实情况是,除此之外,为了证明自己已经为这份工作做好了准备,希望进入该行业的人将会从获得实践技能和经验中受益匪浅。与人们普遍认为的相反,这可以在求职时实现。
无论如何,证书在招聘过程中往往扮演着重要角色。值得注意的是,通常情况下,少即是多,如果列出超过 3-5项证书,就会被视为一个人对通过考试更感兴趣,而不是真正确保其组织的安全。
随着行业的发展,我认为我们需要制定更客观的方法来评估人们带来的技能、热情和能力,而不是依赖认证或其他外部的验证标签。有很多原因。首先,我们正在与对手竞争,他们投资于发展自己的实践技能,而我们却去 Prometric 中心参加选择题考试。如果防御方想要获胜,就需要开始优先考虑重要的事情。其次,阅读书籍、背诵卡片和通过考试所需的技能与识别异常行为和采取有效应对措施所需的技能截然不同。根据证书而不是业绩来晋升员工,我们正在制造错误的激励机制,让那些可能并不最适合新职位的人晋升。第三,认证并不便宜,如果我们不考虑那些没有任意缩写四个字母的简历,很可能会让那些勤奋、上进、足智多谋、背景较差的求职者更难进入这个行业。我想说的是,一个对这个行业充满热情的单身母亲花了几个小时学习实用技能并在CTF竞赛中获胜,她可能比那些幸运地获得了证书并参加了为期一周的准备课程的人更好,当然也更有动力。
要求申请人展示以工具为重点的认证的公司是最大的祸害。随着行业的成熟,我们需要摆脱对厂商特定认证的要求和依赖。随着行业的成熟,我们需要摒弃对特定供应商认证的要求和依赖。技术在不断发展,我们需要能够跟上这种发展的安全人才,而只有那些对该领域有很好的了解、不依赖供应商的人才才能做到这一点。就像我们希望人们拥有通用驾照,而不是简单地从"在阳光明媚的日子里在旧金山十个街区内驾驶自驾特斯拉"的课程中毕业一样,我们需要的是能够使用任何工具完成工作的安全从业人员,而不是简单地依赖于特定的自驾产品,并且只能在完美的条件下使用。这时,从软件工程中汲取灵感又能帮助我们。顶尖公司在招聘软件工程师时最看重的技能就是解决复杂问题的能力。解决算法等任务旨在展示批判性思维、将问题分解成小部分的能力、优先排序技能等。最好的工程团队知道,优秀的工程师会很快掌握新的工具(语言、技术堆栈等),熟悉特定的框架是很好的条件,而不是必要条件。在招聘时,安全团队可以也应该借鉴同样的思维方式。
网络安全认证作为多巴胺和心理缓解
尽管行业内的一些人可能会有不同的说法,但我认为导致网络安全认证不断增多的主要原因之一与行业心理有关。
保护个人和组织很难,而在这个过程中,明白一个小错误、一个小缺口可能会毁掉数月甚至数年的辛勤工作,这会更加困难。更糟糕的是,安全往往感觉像是一场失败的战斗:无论你做了什么,总会有东西出问题,而当它出现问题时,后果可能是灾难性的。持续不断的破坏性网络攻击威胁会对安全专业人员产生影响,无论他们的任职时间、工作领域还是职位头衔如何。在这种不确定性的大海中,安全认证为人们提供了一些成就感,一些验证,让他们知道自己不比同行差,他们确实知道自己应该知道的东西,即使每个地方的每个人都在喊着“你什么都不懂,漏洞随处可见,一切都可能失败”。
当我们考虑到这个行业中有多少人患有 "冒名顶替综合症 "时,拥有一些值得认可和庆祝的东西就显得尤为重要。那些没有安全教育背景的人情况更糟。很少有办法能让那些从其他领域转入网络安全领域的安全专业人士确信,他们确实足够优秀,他们的知识水平与学习安全和安全相关学科的同行相差无几。安全认证是实现这一目标的途径之一:通过获得公认的、受人尊敬的行业证书,许多安全从业人员会对自己的工作更有信心,并学会更好地理解自己辛勤工作的重要性。
来自认证机构的职业认可并不是网络安全专业人员渴望的唯一事物。更甚于此,安全领导者和从业人员寻求的是对他们工作的认可。在大多数公司中,负责产生收入并达到财务目标的人员(销售、营销、产品、软件工程等)的工作得到了赞扬。安全团队的人学会将他们的工作视为永无止境的事件、日志、威胁和攻击者。网络安全认证为他们提供了里程碑、庆祝的时刻和他们可以为之自豪的小胜利。
大多数人有相同的需求——我们渴望与同行社群接触,希望获得我们努力的认可,以及验证我们确实在生活中取得进步。网络安全认证有助于填补一些这些空缺,在缺乏可能的替代方案的情况下,这可能是一件好事。当我们最终开始认识到安全专业人员为使我们更安全而付出的巨大努力时,当我们改进我们的招聘实践以更加客观的方式评估时,以及(如果)安全压力减轻时,我们可以更积极地讨论是否需要470多个网络安全认证。就目前情况而言,这可能只是让网络安全专业人员应对沉重的冒名顶替综合症并保持头脑清醒的极少数事物之一。
满足相同需求的另一种选择是参与社群。现在几乎每个中等规模的城市都有Meetup、BSides活动或类似的社群,他们可以与之联系。积极参与社群使学习更容易,与同行建立关系,并通过帮助他人、指导和在安全活动中发表演讲来获得经验和专业知识的认可。
展望未来:采用工程方法进行网络安全教育
由于网络安全认证的需求,我们看到越来越多的教育提供者加入这一行列,提供“必备”的缩略词,供人们在名字后面添加。值得称赞的是,绝大多数机构是道德的,专注于教授重要的技能,并由高度诚信的安全从业人员监督。遗憾的是,并非所有机构都是如此。
在我看来,认证面临的最大挑战与教育提供者的诚信无关;相反,它是与专业资格的核心有关。认证是一种证明特定知识水平的工具。因此,它们可以用于为入门级安全专业人员建立基础的理解,但它们对于抵御攻击者并不太有帮助。攻击者是高度积极、技能娴熟且具有技术造诣的对手,寻找组织环境中的漏洞。为了抵御攻击者,防御方的从业人员仅了解安全理论是不够的;相反,他们需要具备独立思考和解决问题的能力——认证对这一点不一定有帮助。
我经常谈论采用工程方法来对待网络安全。我坚信,采用工程方法来处理安全问题正在改变安全的本质以及它的实施方式。最重要的是,它改变了我们对知识和网络安全教育的态度。
采用工程方法进行网络安全教育意味着将知识置于认证之上,将实际技能置于理论观念之上,将每日学习的能力置于完成结构化课程的能力之上。
软件工程师知道,他们在攻读计算机科学或软件工程学位时获得的技能对他们的职业生涯至关重要。获得基础理解,无论是通过学校还是自学,都是至关重要的:编程语言会变化,但理解技术如何运作以及如何解决技术问题的核心原则将推动人们在一生中的职业发展。大多数计算机科学本科学位往往不能为毕业生准备好实际世界:我见过许多学生去参加编程训练营和编码学校,或者加入大学社团学习如何创建原型和交付功能产品。
网络安全领域中很少有教育项目提供关于安全的全面基础性理解。相反,它们通常集中于要么提供就业所需的技能,要么使用特定工具来完成手头的任务。这个差距是真实存在的:我们有人获得了网络安全的文凭和学位,他们学会了如何使用工具X进行漏洞扫描,但对底层技术和没有工具X时何为漏洞管理一无所知。将使用特定产品的课程定位为“网络安全教育”的安全厂商并没有改善这种情况。安全从业人员必须理解工具只是工具;它们用于完成工作,但它们并不是工作本身。工具应该可以互换(如果您需要一个工单平台,那么GitHub和Jira都可以胜任工作),安全从业人员应该能够评估不同选项,并找到最适合工作的工具。如果没有关于安全如何工作的基础性理解,他们很可能会变得依赖于特定的小部件和厂商。
软件工程师每天都在学习新技能——总有新的方法、新的框架、新的编程语言和新的工具。为了学习,他们与同行交流,进行在线研究,在Stack Overflow上提问,为开源存储库做出贡献,并通过在业余时间构建兴趣项目来追求自己的想法。安全从业人员需要拥抱这种持续学习的方法,并意识到他们在家庭实验室中工作时所建立的技能,参加夺旗(CTF)比赛、参加安全会议的 "村落 "活动、参加 Chris Sanders 等人的实践培训、为开源计划做贡献以及紧跟新思想和新观点时所积累的技能,比通过另一项选择题测试并获得 "认证 "要有用得多。在过去的几年里,我们看到越来越多的会议提供了方便的实践实验室和培训,一些组织(如 Antisyphon Training)甚至提供免费或 "按需付费 "的课程。再加上开源工具的兴起,使安全从业人员有可能学习到日常工作中所需的实用技能,而所花的费用往往只是安全认证的一小部分。
我们数字世界的捍卫者所面对的对手正在不断掌握他们的实践技能,在我们的环境中发现新的漏洞,并迅速加以利用。他们不追求认证,不参加选择题测试,也不花钱来保持自己的 "良好声誉"。我以前曾详细谈到过采用安全第一思维的重要性,以及为什么合规性是安全的不良替代品。基于同样的想法,我们必须投入资金,帮助人们打下坚实的安全基础,同时提供强大的实践教育。我们需要的是了解代码如何工作、代码如何被颠覆去做它本不应该做的事情、组织基础架构的错综复杂之处以及如何保护这些基础架构的人。我们需要的是那些能够从事确保我们未来所需的工作的人;任何专业培训只有在帮助我们实现目标时才是有用的。
变革已经在进行中。在过去的几个月里,我看到越来越多的安全从业人员开始表示,认证是不够的。并不是说认证没有用,而是它们还不够,过于关注证书并不能帮助人们建立他们在网络防御中所需的技能。
结语
追求网络安全认证并没有本质上的好坏之分。有人想要将自己的职业转向网络安全,可能会发现大多数人力资源和招聘经理更喜欢能够展示自己对这个领域的奉献精神的候选人(即便在这种情况下,仅仅持有认证已经无法使候选人脱颖而出)。在大型组织中寻求晋升的人可能需要在晋升之前获得高级职业资格认证。每个人的经历都是不同的,在某种情况下合理的选择,在另一种情况下可能是一个不好的主意。
关于专业认证价值的争论类似于合规与安全的争论:检查FedRAMP、SOC2或类似的合规性要求可能是继续经营的必要条件,但一家公司不会因为获得认证而在经营上变得出色。追求专业资格并不会让任何人的工作变得更差;问题在于它会在多大程度上使他们变得更好。将认证一个接一个地堆叠的边际价值迅速减少。与此同时,获得安全认证的心理效益可能会产生相当大的影响。
寻求增长并在自己专业领域取得卓越成就的网络安全专业人员可能更好地将时间和金钱投入于提升实际技能。这可能意味着在业余时间构建产品或提供服务,组装工具并在自己的实验室进行研究,在CTF比赛中参与,“村落”中参加安全会议,为开源项目做出贡献,帮助非营利组织进行安全工作,参加安全会议等等。通过保持活跃所建立的实际技能,加上有意义的社交网络和专业同行社区的温暖,大大超过了在 LinkedIn 页面上写上三到五个字母缩写的价值。
Ross Haleliuk
Venture in Security专栏作者,天使投资联盟负责人,LimaCharlie产品总监。
原文链接:
https://ventureinsecurity.net/p/the-rise-of-cybersecurity-certifications
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。