stubs Džeks Koziols, Infosec dibinātājs un izpilddirektors — Kiberdrošības intervijas — Unite.AI
Savienoties ar mums
   Intervijas  
Džeks Koziols, Infosec – kiberdrošības intervijas dibinātājs un izpilddirektors
 mm
 Atjaunināts on   
 
Džeks Koziols, uzņēmuma dibinātājs un izpilddirektors Infosec, viņi specializējas organizāciju un to darbinieku nostiprināšanā pret drošības apdraudējumiem ar godalgotu drošības un privātuma izglītību. Atzīt kiberdrošību ir ikviena cilvēka pienākums, viņi nodrošina IT un drošības profesionāļu prasmju pilnveidošanas un sertifikācijas apmācību, vienlaikus veidojot visas darbaspēka drošības spējas ar izpratnes apmācību un pikšķerēšanas simulācijām. Atzīts par a Gartner Peer Insights klientu izvēle Drošības apziņas datorizētai apmācībai Infosec ir arī apmācību nozares “20 labāko IT apmācību uzņēmums” un Drošības apmācības un izglītības programmas zelta ieguvējs Info Security Products Guide Globālās izcilības balvās.
Sākotnēji jūs sākāt strādāt kiberdrošības jomā Harris Bank 2003. gadā, ko ietvēra jūsu darbs un kā nozare kopš tā laika ir mainījusies?
2003. gadā es biju vienīgais kiberdrošības speciālists, kas strādāja bankā. Mūsu korporatīvajā mātesuzņēmumā BMO mums bija citas starpfunkcionālas lomas, taču tajā laikā es biju vienīgais pilnas slodzes darbinieks, kas nodarbojās ar kiberdrošību. Izmaiņas tehnoloģijās un ar tām saistītie riski ir dramatiski ietekmējuši nozari, kopš es strādāju Harris Bankā. Kiberdrošības budžeti un komandu skaits ir palielinājies vismaz desmitkārtīgi, lai neatpaliktu no kiberdrošības apdraudējumiem, kas vērsti uz finanšu pakalpojumu nozari. Pirms 15 gadiem man kā individuālajam līdzstrādniekam uzticēto uzdevumu tagad, visticamāk, pārvalda vairāk nekā 100 kiberdrošības speciālistu komanda.
Strādājot bankā, jūs izdevāt “The Shellcoder's Handbook”, kas ir viena no pirmajām grāmatām par ētisku uzlaušanu. Kāds bija jūsu domāšanas veids šīs grāmatas rakstīšanas laikā?
Kad es rakstīju grāmatu, galvenais forums ar izmantošanu saistītās informācijas apmaiņai bija adresātu saraksts ar nosaukumu BUGTRAQ. Shellcoder rokasgrāmata padarīja šo nedaudz slepeno informāciju pieejamāku, viegli saprotamā veidā kopīgojot to ar daudz plašāku auditoriju. Tik daudzi cilvēki tajā laikā vēlējās un vajadzēja uzzināt par rakstīšanas izmantošanu. Es zināju, ka varu iemācīt citiem, kā rakstīt programmatūras eksplozijas, izmantojot praktiskus piemērus no savas pieredzes. Egoistiski vēlējos arī aiziet no darba bankā un virzīt karjeru citā virzienā.
Vai jūs varētu dalīties ar Infosec ģenēzes stāstu?
Tas viss sākās pēc tam, kad es publicēju Shellcoder rokasgrāmatu. Tā popularitāte izraisīja nepieciešamo interesi un izpratni par ētisku uzlaušanu un programmatūras ievainojamību, kā rezultātā tika saņemti vairāki pieprasījumi mācīt sāknēšanas nometnes par programmatūras izmantošanu, kas aprakstīta grāmatā. Es izmantoju atvaļinājuma laiku, lai mācītu dažus kursus, bet galu galā man beidzās jūgvārpstas, tāpēc es pametu savu ikdienas darbu bankā un pavadīju nākamos pāris gadus, ceļojot pa pasauli, mācot cilvēkiem, kuri strādā korporatīvajos darbos, kā uzlauzt datoru. Tas bija diezgan jautri.
Šajā laikā programmatūras industrija strauji pieauga. Jauni rīki un platformas ieviesa vairāk drošības risku, kas rada vēl lielāku vajadzību pēc kiberdrošības apmācības. Un, tā kā kibernoziedznieki paplašināja mērķus no programmatūras, iekļaujot programmatūras lietotājus, pieprasījums pēc lomām balstītas, mērogojamas kiberdrošības izglītības strauji pieauga.
Tajā brīdī Infosec paplašināja mūsu izglītības pakalpojumus, izmantojot programmatūru kā pakalpojumu, un izstrādāja pasaulē lielākās kiberdrošības izglītības platformas, Infosec prasmes un Infosec IQ. Abas platformas nodrošina ar lomu saistītu, praktisku apmācību visam uzņēmumam, lai sniegtu darbiniekiem zināšanas, prasmes un pārliecību, lai pārspētu kibernoziegumus. Šobrīd vairāk nekā 70% no Fortune 500 ir paļāvušies uz Infosec Skills, lai attīstītu savus drošības talantus un komandas, un vairāk nekā 5 miljoni apmācāmo visā pasaulē ir vairāk izturīgi pret kibernoturību no Infosec IQ drošības izpratnes un pikšķerēšanas apmācības.
Vai jūs varētu apspriest dažus populārākos kiberdrošības sertifikātus un kursus, ko piedāvā Infosec?
Infosec nodrošina uz lomām balstītu kiberdrošības izglītību visai organizācijai — no grāmatvedības nodaļas līdz SOC komandai. Tā kā Infosec ir pārdevēju neitrāla, iespējams, nav pārsteidzoši uzzināt, ka dažas no mūsu populārākajām sāknēšanas nometnēm ir tās, kas sagatavo studentus pieprasītiem sertifikātiem, piemēram, CISSP, Security+ un Certified Ethical Hacker (CEH). Infosec unikālu padara tas, kā mēs sagatavojam studentus eksāmeniem. Mēs izmantojam ieskaujošu lekciju un praktisku laboratoriju kombināciju kiberapjomā, lai palīdzētu studentiem mācīties darot un iemācīt vērtīgas prasmes, kuras var nekavējoties pielietot savā darbā. The Infosec Skills kiberdiapazons ir viena no populārākajām mācību pieredzēm platformā, un mēs šogad ļoti ieguldām tajā.
Attiecībā uz drošības izpratni un apmācību, mūsu tikko izlaista Izvēlieties savas Adventure® drošības izpratnes spēles ir pilnībā mainījuši veidu, kā mūsu klienti sniedz saviem darbiniekiem drošības izpratni un apmācību. Mēs sadarbojāmies ar komandu, kas veido zīmolu Choose Your Own Adventure®, lai populārās spēļu grāmatu sērijas aizrautību un noslēpumus nodrošinātu drošības izpratnes un apmācību programmās visā pasaulē. Spēles liek audzēkņiem vadīt savu drošības izpratnes apmācības programmu ar interaktīviem sižetiem, kas veicina kritisko domāšanu un lēmumu pieņemšanu, vienlaikus saglabājot apmācību prieku.
Cik svarīgi ir veidot darbinieku izpratni par kiberdrošības apdraudējumiem?
Darbinieku izpratnes veidošana par kiberdrošības apdraudējumiem sniedz priekšrocības, kas pārsniedz korporatīvo datu drošību un atbilstību. Papildus acīmredzamajām priekšrocībām, palīdzot organizācijām izvairīties no dārgiem, bieži vien kaitīgiem drošības incidentiem, kiberdrošības izglītības programmas aizsargā darbiniekus gan darbā, gan mājās. Zinot, kā izvairīties no pikšķerēšanas uzbrukumiem vai aizsargāt IoT ierīci, darbinieki var pasargāt no postošiem personiskiem zaudējumiem un pat draudiem viņu ģimenēm. Izpratne par to, kā saglabāt drošību tiešsaistē, vairs nav tikai darba lieta — tā ir dzīves prasme. Mēs nevarētu būt lepnāki, palīdzot saviem klientiem aizsargāt savus uzņēmumus, klientus un darbiniekus no kiberdraudiem un sliktiem dalībniekiem.
Kāda ir visizplatītākā metode, kad darbinieki kļūst par upuriem ļaunprātīgiem vai hakeriem?
Lielākā daļa kiberdrošības pētnieku piekrīt, ka lielāko daļu datu pārkāpumu var saistīt ar cilvēka kļūdām. The jaunākais IBM X-Force Threat Intelligence Index pētījums ziņo par izspiedējvīrusu programmatūru, datu zādzību un piekļuvi serveriem kā trīs visizplatītākos uzbrukumu veidus 2020. gadā, bet skenēšanu un izmantošanu, pikšķerēšanu un akreditācijas datu zādzību kā trīs galvenos sākotnējos uzbrukumu vektorus. Pikšķerēšana ir ļoti nopietns un izplatīts drošības apdraudējums, tāpēc plašsaziņas līdzekļi to plaši atspoguļo. Patiesībā, lai gan daudzi pārkāpumi sākas ar pikšķerēšanu un ļaunprātīgu programmatūru, tas, cik lielā mērā hakeri iegūst piekļuvi sensitīvai informācijai un sistēmām, bieži vien atspoguļo organizācijas IT infrastruktūru un vispārējo drošības stāvokli. Nesenais SolarWinds incidents ir tikai viens no daudzajiem piemēriem, kur kaut kas tik vienkāršs kā spēcīgāka paroļu politika vai efektīvāka drošības izpratnes programma, iespējams, ir novērsis nopietnu pārkāpumu.
Secinājums: kiberdrošības zināšanu nepilnības jebkurā organizācijas līmenī rada drošības riskus organizācijai, un tās ir jāmazina ar darbinieku izpratni par drošību un izglītošanu.
Kiberdrošība vienmēr attīstās. Cik bieži darba devējiem un darbiniekiem ir atkārtoti jāiepazīstas ar iespējamiem kiberdraudiem?
Kā drošības speciālisti mēs nekad neesam beiguši mācīties. Mūsu pienākums ir attīstīties līdztekus tehnoloģiju vajadzībām un jaunajām ievainojamībām, ko tās var ieviest, lai apsteigtu kibernoziedzību. Mēs iesakām vismaz 1–3 stundas īpašas apmācības nedēļā kiberdrošības profesionāļiem un ikmēneša informēšanas apmācību un pikšķerēšanas simulācijas tiem darbiniekiem, kas nav tehniski.
Pieaugušo izglītības eksperti bieži citē Ebinhausa aizmirstības līkne lai vadītu mājās, cik svarīgi ir bieži apmācīt darbiniekus. Teorija būtībā nosaka, ka bez periodiskas atkārtošanas, lai nostiprinātu jaunas zināšanas, darbinieki viena mēneša laikā aizmirsīs 90% jaunas informācijas.
Praktiskas tehniskās apmācības, izmantojot kiberdiapazonu, vai spēļu drošības izpratne, izmantojot a Izvēlieties savu Adventure® drošības izpratnes spēli ir tikai daži veidi, kā mēs palīdzam saviem klientiem mācīties darot un maksimāli palielināt zināšanu saglabāšanu. Šādas nepārtrauktas apmācības programmas iedvesmo drošus ieradumus, vienlaikus palīdzot veidot drošības kultūru darba vietā.
Paldies par lielisko interviju, lasītājiem, kuri vēlas uzzināt vairāk, vajadzētu apmeklēt Infosec.
       
 Saistītās tēmas:
 mm
Unite.AI dibinātājs un biedrs Forbes tehnoloģiju padome, Antuāns ir a futūrists kurš aizraujas ar AI un robotikas nākotni.
Viņš ir arī dibinātājs Vērtspapīri.io, vietne, kas koncentrējas uz ieguldījumiem traucējošās tehnoloģijās.