你不需要技能来使自己在网络安全方面更加成功

你不需要技能来使自己在网络安全方面更加成功

原文：https://medium.com/hackernoon/forget-solving-the-cyber-security-skills-shortage-4ec8126dff56

这篇文章是关于信息安全行业在结构性和系统性方面做错了什么，以及我们可以做些什么的系列文章之一。

免责声明:我提倡终身学习，这包括专业培训、产品培训、研讨会、在线或面授课程以及学术研究。我所认识的那些自己创作和交付材料的专业培训师是我见过的思维最敏捷的人。世界上最好的教育家将是我克隆人实验的首选。

这是行不通的。

我们不会提高自己的技能。

现在不会，以后也不会。

我注意到，在多年来涉及知名企业、政府部门和公众个人的安全违规事件发生后，出现了大量文章、新闻报道，甚至政府举措，围绕着增加拥有网络技能的人数。**

这些条款的主旨是:

1. 组织和个人之所以在信息安全方面失败，是因为他们缺乏避免失败的技能。或者，如果失败是他们的自然状态，他们缺乏发现失败的技能，也不知道该怎么办。
2. 提高大量人员的技能将对他们的信息安全成果产生重大影响。他们会有较少的问题或不太严重的问题。他们会更快抓住他们，恢复得更快。

我将向你证明，无论(1)是真是假，这都是无关紧要的，因为(2)作为一种策略，除了在短时间内以小规模实现更好的安全结果之外，在任何情况下都是徒劳的。

升级技能不会对公司和个人经历的痛苦程度或攻击者找到易受攻击的系统的容易程度产生任何显著影响的原因是因为当今问题的规模、增长速度以及增长的多维度。

安全漏洞就像宇宙中的熵，总是在增加。多维度、多层次、同时、加速。这种熵的可见部分，即你读到的已报告的黑客攻击或已检测到的和已反击的漏洞，只是宇宙中最可观察到的部分。剩下的都是黑暗。我们没有通用的模糊望远镜来观察它。事实上，当我们今天检查系统时，我们实际上是在回顾过去，回顾很久以前设计、编写、实现并投入使用的软件。

每天都有更多的系统。它们更复杂。他们之间有更多的联系。这些联系涉及更多的信任关系，携带更多有价值的信息。

系统和软件将成为无处不在的 T2。不安全感的产生比强加安全或纠正错误的速度还要快。在你读这句话的时间里，世界上写了多少行代码？这些线路中有多少包含安全漏洞？你打算提高多少程序员的技能，让他们犯的错误稍微少一点？作为一种提高网络安全的策略，提高技能仅仅比教育最终用户稍微没那么没用，我们大多数人几十年前就放弃了。我差点忘了说，即使是最好的软件也可能安装不正确或配置不明智，让你更加不安全。我们将培训多少系统管理员，他们会比以前好多少？

还记得我们通过培训人员解决数据库管理员技能短缺的时候吗？

我也不知道

我有一种感觉，一个好的 DBA 现在可能比 80 年代或 90 年代更难找到，因为现在市场上有这么多一般到差的 DBA，而且有这么多资质可疑的人，他们可能或可能不表明候选人的真正能力。

然而，数据库无处不在，而且在很大程度上是有效的。为什么？

• 隔离和分片、预打包的应用和预打包的数据库。
• 包括内存在内的存储容量激增，成本大幅下降。不再有奇异的装置。
• 缓存层以减轻存储限制或构思不佳、浪费资源的查询。
• 面向企业应用的“即服务”，其中服务提供商拥有所有最好的数据库管理员，并为您提供 SLA。
• 新的数据库模式更适合某些应用程序，简化了它们。
• 有时候事实证明你并不真的需要 DB。

名单上没有增加熟练 DBA 的数量。我不知道在 80 年代和 90 年代，感兴趣的团体是否呼吁大量提高数据库管理人员的技能。他们可能是。我预计很多培训课程、学习指南和证书都卖出去了，很多搜索顾问也做得很好。虽然伟大的 DBA 在当时和现在都是有价值的(如果你需要的话)，但是 DBA 并没有对数据库的世界体验产生变革性的、持久的影响。单子上的东西做了。

记住我的免责声明，这不是反对拥有技能的理由。这是一个反对这样一种信念的论点，即从长远来看，技能可以显著提高大多数组织的信息安全成果，即使我们可以以某种方式培训大量人员达到高标准。我忘了说，你的组织也必须留住这样优秀的人。

我养成了一个习惯，从不在没有提出至少一个解决方案的情况下提出一个问题。

事实是，你可能已经知道如何应对网络安全技能短缺的问题。

我们需要获胜的系统，我指的是一词最广义的系统。我们如何确定一个可能获胜的系统？它将具有一个或多个高级特征:

• 如果它需要人的努力，这种努力将与力量倍增器相结合。
• 它将具有能够适应威胁的固有属性。
• 它将在一个假设的基础上运作，即失败是任何被认为安全的系统不可避免的状态。

在维多利亚时代的伦敦，霍乱并没有成为过去。只有几个聪明人，他们有知识，有成功的系统，有获得资本的途径，有使用廉价劳动力实现该系统的实际计划(他们中的大多数人甚至不识字)。20 世纪 50 年代非洲的麻风疫苗接种也是如此。注射器的尖端刺入病人体内，每个人都必须同时过来接受注射。疫苗有效，而注射器的失效模式范围非常有限。计划和系统必须足够简单，能够被新手重复和执行。

信息安全真的如此不同吗？

在研发的前沿，技能和知识至关重要。然而，大部分实际的安全措施将通过采用成功的系统来实现，这些系统是使用大规模的打包产品或服务实现的，可供新手使用。

喜欢通过实施成功的系统而不是仅仅熟练和努力工作来获得报酬的想法吗？

你可能会喜欢 [这个](https://blog.eutopian.io/winning-systems--security-practitioners-1.-introduction/) 。

如果没有，那么你只是浪费了 5 分钟宝贵的时间，而你本可以用这些时间熟练地修补一些东西。通过阅读 [这本](https://blog.eutopian.io/winning-systems--security-practitioners-1.-introduction/) 来安慰自己，因为这是参加过很多培训班的人写的。

原载于 2017 年 6 月 30 日[blog . eutopian . io](https://blog.eutopian.io/forget-solving-the-cyber-security-skills-shortage/)。

感谢阅读。如果你认为这篇文章很有趣，请在脸书、推特、LinkedIn 或其他社交媒体上与你的关注者分享。

在推特上关注我:尼克赫顿

喜欢这篇文章点击下面的心。

Every you click the heart an angel gets his wings