去年,关于网络安全攻击的头条新闻不绝于耳。外国政府篡改了软件供应链,瞄准了内部服务器,并入侵了敏感的政府文件。犯罪勒索软件集团攻击了学校,渗透到医院,并关闭了一个重要的国家管道。正如我们在最近的《微软数字防御报告》中所记录的那样,这些攻击正在增长,并变得更加复杂。我们已经进入了一个新的国际时代,它不属于战争,但外国网络安全攻击不断,不仅威胁到我们的企业,而且威胁到我们的学生、医疗保健和日常生活。
我们认识到,在应对网络安全威胁方面,没有人比领先的科技公司有更大的责任。这就是为什么我们增加了网络安全投资并扩大了我们在整个微软的努力,与全国各地的政府和企业领导人密切合作。今年早些时候,我们承诺在五年内投入200亿美元来推进我们的安全解决方案和保护客户,并投入1.5亿美元来帮助美国政府机构升级保护措施,并扩大我们的网络安全培训伙伴关系。正如我们本周早些时候所分享的,我们继续创新,为全球客户和个人带来新的解决方案,如无密码登录、身份管理、端点安全等。
但这项工作也带来了一个额外的、令人生畏的认识:国家的网络安全挑战部分反映了劳动力的严重短缺。除非我们解决网络安全劳动力短缺的问题,否则我们在加强国家的网络安全保护方面会有所欠缺。
这就是为什么今天微软与美国社区学院一起发起了一个全国性的活动,以帮助在2025年之前为网络安全劳动力培养和招募25万人,占全国劳动力短缺的一半。 虽然其中一些人将在微软工作,但绝大多数人将为全国各地成千上万的其他雇主工作。
但是,即使有这样的努力,要解决这个问题还需要更多的努力。这就是我写这篇博客的原因--分享我们迄今为止所学到的东西,并鼓励我们所有人相互学习,共同做更多的事情,以紧急解决我们需要作为国家危机对待的问题。
* * *
美国严重的网络安全劳动力短缺问题
让我从两个个人经历开始,说明我们需要解决的问题。
第一个时刻是在2月份,我们回顾了微软应对复杂的俄罗斯攻击的工作,这些攻击源于去年对SolarWinds的软件更新的篡改。在早期,我们得出结论,大多数客户可以通过部署网络安全最佳实践来保护自己免受攻击。这也是我们在与客户合作处理勒索软件攻击时反复看到的一个现象。我们对Solorigate事件的部分回应是发表了30多篇博客,以便网络安全专业人士能够了解技术问题并为他们的雇主解决这些问题。但我们发现,训练有素的网络安全工作者的短缺减缓了我们客户的反应。简而言之,没有足够的人受过必要的培训来阅读我们所写的一切。
第二个时刻是在今年秋天我在全国各地旅行的时候。在威斯康星州绿湾的一个周一早晨,一群当地的商业领袖谈到了他们在招聘方面的挫折。正如一个人所说,"我认识的每一个小企业和初创企业都在抱怨他们找不到具有网络安全技能的人"。当我从一个州转移到另一个州时,人和会议室都发生了变化,但对话仍然是一样的。
我们一直努力将我们听到的情况与更广泛的数据评估进行比较。因此,我们要求我们的一个数据分析团队汇集全国最好的劳动力数据集,包括来自LinkedIn和cyberseek.org。而结论是惊人的。
考虑到这一点-- 今天,在美国几乎每两个网络安全工作岗位中,就有三分之一的工作岗位因为缺乏技术人才而处于空缺状态。 这就像在棒球世界大赛中,当对方拥有全部9名球员时,只有6名球员在场上。(正如我们每天在微软遇到的那样,国家的网络安全对手正在派出完整的、世界级的团队)。 
目前,美国有464,200个需要网络安全技能的公开工作。它们占全国所有空缺职位的6%。
这是正确的 - 今天,美国每20个空缺职位中就有一个以上需要网络安全技能的工作。.每个预测都显示,这些工作的数量在未来几年将进一步增长。
而这些都是很好的工作!它们的年薪平均为105,800美元。有些是全职的网络安全工作,如首席信息安全官,或CISO。其他工作涉及网络安全和其他IT职能的结合。在我们自己(略带偏见)看来,这项工作是迷人和崇高的。无论你住在美国的什么地方,附近都有很多开放的网络安全工作。
我们已经创建了下面的Power BI仪表板,这样你就可以查看全国各州的细节。
还有一个好消息。许多这些开放的工作不需要四年制的大学学位。你可以通过获得行业认可的证书或从社区学院获得证书或副学位来获得资格。
总之,我们希望对国家网络保护感兴趣的所有年龄段的人都能将50万个开放的网络安全职位视为一个个人邀请,以获得一个有价值和令人兴奋的未来。而且,我们准备把微软的技术、财政资源、学习材料、关系和声音放在一个新的国家运动背后,以帮助迈出下一步。
统筹国家资源
几个月来,我们一直在努力制定一项计划,以帮助扩大和加强网络安全工作队伍。鉴于这一挑战的严重性,很快就可以看出,成功将需要国家调集其最重要的资源。这包括非营利团体和整个技术部门的公司的努力。它将需要国家的四年制学院和大学扩大工作。但是,比起所有这些,有一个结论一直高居榜首。这就是:
我们需要动员美国的社区学院,让他们加入网络安全的战斗。
社区学院是美国在扩大网络安全劳动力方面拥有的唯一最大的潜在资产。它们是美国最杰出和最普遍的资产之一,在一些有针对性的援助下,它们可以迅速采取行动,帮助解决网络安全劳动力短缺的问题。请考虑以下情况:
- 社区学院无处不在。有1,044所社区学院分布在每个州和地区,在每个环境中--城市、郊区、农村和部落。正如一位社区学院领导人最近对我们说的那样,"在美国,有三样东西你可以随处找到,一家面包店、一家银行和一所社区学院"。
- 社区学院为各个教育阶段的学生提供服务,从刚毕业的高中生到求职者再到劳动力中的人。目前有1180万美国人在社区学院上课。几乎三分之二(65%)的人是兼职上课,同时他们有工作或帮助养家(或两者都有)。这使他们成为那些想通过发展网络安全技能来增加其现有技能的人的理想场所。
- 社区学院是灵活的。有趣的是,58%的社区学院学生就读于可获得学分的课程,而其余42%的学生就读于无学分、劳动力和技能培训课程。他们很适合帮助美国工人以他们想要的方式获得他们想要的额外技能,从少量到大量。
- 社区学院是有效的。在2018-2019年,社区学院授予878,900个副学位,619,711个证书,以及20,700个学士学位。
- 社区学院的学费更实惠。社区学院平均每年的学杂费只有3,770美元,而四年制公立学院的学杂费为10,560美元。此外,59%的社区学院学生可以获得财政援助,包括33%的人获得佩尔补助金。
- 社区学院是多元化的。社区学院的学生反映了美国的多样性,包括40%的黑人或非洲裔美国人或西班牙裔美国人。此外,29%的学生是他们家庭上大学的第一代,20%是残疾学生,5%是退伍军人。社区学院的学生中有57%是女性。
最后一个方面很重要,还有一个原因。目前,国家的网络安全工作队伍明显缺乏多样性。今天,全国82.4%的网络安全工作由男性担任,80%由白人担任。我们需要建立一支规模更大、更加多样化的网络安全工作队伍。社区学院具有独特的优势,可以帮助国家实现这两点。
帮助社区学院加快发展的新伙伴关系
自1月以来,我们花时间与全国6个州的14所社区学院的行政人员、教师和学生合作,并听取他们的意见,具体而言:
我们的目标是更多地了解他们的需求以及我们如何能够提供最大的帮助。我们还与美国社区学院协会和国家网络安全培训和教育中心(NCyTE)的国家领导人一起度过了宝贵的时间,该中心位于华盛顿州贝灵汉市西雅图以北的Whatcom社区学院。
我们反复听到的一件事是,当社区学院在网络安全方面进行投资和创新时,对学生和社区的回报是很快的。例如,在怀俄明州的夏延市,拉莱米县社区学院开发了一个新的硬件实验室,它称之为网络城市和网络范围。学生们利用这两个网络环境来攻击和保卫一个模拟的城市,因为他们了解到网络犯罪的各种方式。作为微软数据中心学院计划的成员,该校利用部分资源进行部署,学生们的学习和进步速度甚至让强硬的网络安全专家都感到惊讶。
同样,我们已经与我自己的家乡威斯康星州阿普尔顿的福克斯谷技术学院的教师合作,推出新的网络安全举措。正如他们所报告的,"网络人才的需求量很大"。这些举措的参与者将很快在各行各业找到工作。
那么,社区学院面临的障碍是什么?
这个问题更加重要,答案有三个方面。
首先,社区学院需要获得最先进的课程材料,他们可以立即部署并广泛使用,以扩大他们的课程。
第二,培训更多的教师在网络安全项目中授课,以及教授他们以前没有教过的课程,以应对新出现的威胁。
第三,他们需要扩大财政援助和额外的学习服务,以帮助更多的学生追求网络安全学位和证书,特别是如果我们想让更多的多元化人群参与到今天的网络安全领域中来,他们的代表性并不高。
如果我们能够解决这三个障碍,我们就可以利用国家社区学院的力量来解决网络安全劳动力短缺的问题。
微软的新网络安全工作活动
今天,微软正在发起一项为期四年的活动,以帮助在本十年中期之前填补美国的25万个网络安全工作岗位。这将解决国家网络安全劳动力短缺的一半。我们的初步承诺将:
- 向全国所有的公立社区学院免费提供课程。
- 为150所社区学院的新老教员提供培训。
- 为25,000名学生提供奖学金和补充资源。
以下是一些具体细节:
- 为社区学院提供随时可教的、由行业开发的课程
通过微软教育工作者学习计划,我们将为全国每个社区学院(以及所有高等教育机构)提供免费课程、教育工作者培训和教学工具。这将包括微软安全、合规和身份基础(SC-900)和微软Azure安全技术(AZ-500)认证的统一课程材料。为了进一步支持微软准备好的教学课程的交付,我们还将为所有这些机构的教师提供额外的资源,包括免费的练习和认证考试、课程整合支持、由微软技术培训师领导的课程交付准备会议,以及进入我们致力于帮助学生成功的全球教育工作者社区。我们还将继续发展和扩大我们的工作,为教育机构提供通过LinkedIn Learning轻松获得课程的机会。
- 在网络安全学习道路上建立教育者和行政能力
我们将与150所社区学院进行更深入的合作,帮助这些机构培训和留住网络安全师资。我们将与国家网络安全培训和教育中心(NCyTE)合作,为教师提供更深入的专业发展机会,并支持这些机构获得网络防御学术卓越中心(CAE-CD)的称号。这种支持将为全美近15%的社区学院的网络安全培训打下基础。
我们还将与美国社区学院协会合作,为提供网络安全教育的机构启动一个实践社区。我们将提供赠款资助,并向42所正在加速其网络安全项目的社区学院提供技术援助。我们的目标是从这一努力中学习,并探索如何将有前途的做法推广到全国各地更多的社区学院。
- 宣布微软网络安全奖学金计划
最后,今天我们正在启动一个新的全国性的微软网络安全奖学金计划。我们将提供奖学金和额外的资源,在未来四年内将至少惠及25000名学生。这将提供资金以补充现有的联邦、州和其他财政援助,这些援助已经存在,但不足以满足学生的需求,特别是收入较低的学生。这笔资金将有助于解决学费问题,以及其他经常阻碍完成课程的财务挑战,包括认证考试费用和儿童保育费用。
我们的新计划还将包括对成功的关键工具的支持,包括微软员工的指导和学生的支持,以及免费的LinkedIn高级账户,以帮助缩小网络差距并将他们与工作联系起来。学生还将获得GitHub的教育福利,包括学生开发者包和参加GitHub赞助的当地活动。这项新计划将与 "最后一英里教育基金 "部分合作,通过该基金,我们将向社区学院的10,000名低收入学生(包括退伍军人)提供微软网络安全奖学金,以寻求网络安全职业道路和认证。
不仅仅是一个方案,而是一场运动
我们相信,我们今天所采取的措施可以为解决美国的网络安全劳动力短缺问题做出重要贡献。但我们也知道,还需要更多。这就是为什么我们认为这项工作不仅仅是一个项目,而是一场运动。在我们的 "微软就业技能 "全球倡议的基础上,这项新的活动可以迅速发展,让更多的公司、更多的非营利组织以及联邦、州和地方各级政府参与进来。有了来自其他公司的更多志愿者和更多的财政资源,我们可以扩展得更远,以达到我们的全部国家需求。
我们也认识到接触其他教育机构的重要性。我们已经在准备支持其他机构,包括四年制学院,包括国家的历史上的黑人学院和大学以及西班牙裔服务机构。请继续关注我们在未来几个月内采取的更多措施。
归根结底,这也是为了走出去,向全国人民宣传,让他们考虑从事网络安全职业的机会。这也是我们要做的事情--在校园里演讲,在商会里演讲,以及通过社交媒体和虚拟会议接触人们。
我们希望让全国人民有机会更清楚地看到我们每天在微软直接看到的东西。如果我们要保护国家的未来,我们需要加强网络安全保护。而且,我们需要一支更大、更多样化的网络安全工作队伍来取得成功。伟大的工作正等待着我们去填补。现在我们需要招聘人才,提供人们所需要的技能。
在许多日子里,在许多问题上,分歧会使我们的国家分裂。但是,我们需要一场网络安全就业运动,以保护国家并使我们所有人团结起来。我们致力于它的成功。