Jack Koziol，Infosec 创始人兼首席执行官 – 网络安全访谈

杰克·科齐奥尔，创始人兼首席执行官 信息安全， 他们专注于通过屡获殊荣的安全和隐私教育来加强组织及其员工抵御安全威胁。 认识到网络安全是每个人的工作，他们为 IT 和安全专业人员提供技能开发和认证培训，同时通过意识培训和网络钓鱼模拟培养整个员工的安全能力。 被认定为 Gartner Peer Insights 客户选择 在基于计算机的安全意识培训方面，Infosec 也是培训行业“20 强 IT 培训公司”，并且是《信息安全产品指南》全球卓越奖中的安全培训和教育项目金奖获得者。

您最初于 2003 年开始在哈里斯银行从事网络安全工作，您的工作内容是什么？此后该行业发生了怎样的变化？

2003 年，我是该银行唯一的网络安全专业人员。我们在母公司 BMO 还担任过其他跨职能角色，但我是当时唯一致力于网络安全的全职员工。 自从我在哈里斯银行任职以来，技术的变革及其相关风险对整个行业产生了巨大的影响。 网络安全预算和团队规模至少增加了十倍，以应对针对金融服务行业的网络安全威胁。 15 年前，我被指派为一名个人贡献者，现在可能由一个由 100 多名网络安全专业人员组成的团队来管理。

当您在银行工作时，您出版了《The Shellcoder's Handbook》，这是最早有关道德黑客的书籍之一。 您在写这本书时的心态是什么？

当我写这本书时，与漏洞利用相关的信息共享的主要论坛是一个名为 BUGTRAQ 的邮件列表。 Shellcoder 手册通过以易于理解的方式与更广泛的受众共享这些有点神秘的信息，使这些信息变得更容易理解。 当时有很多人想要并且需要学习漏洞利用编写。 我知道我可以教其他人如何通过我自己的经验中的实践示例来编写软件漏洞利用程序。 自私地，我也想摆脱在银行的工作，并以不同的方向发展我的职业生涯。

您能分享一下 Infosec 背后的起源故事吗？

这一切都始于我出版《The Shellcoder's Handbook》之后。 它的受欢迎程度激发了人们对道德黑客和软件漏洞的兴趣和认识，导致多次要求向新兵训练营教授书中介绍的软件漏洞。 我利用假期时间教授了几门课程，但最终用完了 PTO，因此我辞去了银行的日常工作，并在接下来的几年里环游世界，教在公司工作的人们如何黑客攻击。 非常有趣。

在那段时间，软件行业蓬勃发展。 新的工具和平台带来了更多的安全风险，从而导致对网络安全培训的需求更大。 随着网络犯罪分子将目标从软件扩大到软件用户，对基于角色、可扩展的网络安全教育的需求猛增。

正是在那时，Infosec 通过软件即服务扩展了我们的教育服务，并开发了世界上最大的网络安全教育平台， 信息安全技能 和 信息安全智商。 这两个平台都为整个企业提供与角色相关的实践培训，使员工掌握知识、技能和信心，以智取网络犯罪。 如今，超过 70% 的财富 500 强企业依靠 Infosec Skills 来发展其安全人才和团队，全球超过 5 万学习者通过 Infosec IQ 的安全意识和网络钓鱼培训提高了网络弹性。

您能否讨论一下 Infosec 提供的一些更受欢迎的网络安全证书和课程？

Infosec 为整个组织（从会计部门到 SOC 团队）提供基于角色的网络安全教育。 由于 Infosec 是供应商中立的，因此得知我们最受欢迎的一些训练营是那些为学生准备 CISSP、Security+ 和认证道德黑客 (CEH) 等热门认证的训练营，这可能并不奇怪。 Infosec 的独特之处在于我们为学生准备考试的方式。 我们在网络范围内结合使用沉浸式讲座和实践实验室，帮助学生边做边学，并教授可立即应用于工作的宝贵技能。 这 信息安全技能网络范围 是该平台上最受欢迎的学习体验之一，也是我们今年大力投资的内容。

在安全意识和培训方面，我们新发布的 选择您自己的 Adventure® 安全意识游戏 彻底改变了我们的客户向员工提供安全意识和培训的方式。 我们与 Choose Your Own Adventure® 品牌背后的团队合作，将流行游戏书系列的刺激和神秘带入世界各地的安全意识和培训计划中。 这些游戏让学习者负责自己的安全意识培训计划，并通过互动故事情节鼓励批判性思维和决策，同时保持培训的乐趣。

培养员工对网络安全威胁的认识有多重要？

培养员工对网络安全威胁的认识提供的好处超出了公司数据安全和合规性的范围。 除了帮助组织避免昂贵且通常有害的安全事件的明显优势之外，网络安全教育计划还可以保护工作和家庭中的员工。 了解如何避免网络钓鱼攻击或保护物联网设备的安全可以保护员工免受毁灭性的​​个人损失，甚至家人的威胁。 了解如何保持上网安全不再只是一项工作，而是一项生活技能。 我们非常自豪能够帮助我们的客户保护他们的企业、客户和员工免受网络威胁和不良行为者的侵害。

员工成为漏洞或黑客攻击受害者的最常见方法是什么？

大多数网络安全研究人员都认为，大多数数据泄露可归因于人为错误。 这 最新的 IBM X-Force 威胁情报指数研究 报告称，勒索软件、数据盗窃和服务器访问是 2020 年最常见的三种攻击类型，扫描和利用、网络钓鱼和凭证盗窃是前 3 大初始攻击媒介。 网络钓鱼是一种非常严重且常见的安全威胁，因此被媒体广泛报道。 现实情况是，虽然许多违规行为都是从网络钓鱼和恶意软件开始的，但黑客访问敏感信息和系统的程度通常反映了组织的 IT 基础设施和整体安全状况。 最近的 SolarWinds 事件只是众多例子之一，像更强大的密码策略或更有效的安全意识计划这样简单的事情就可能阻止重大漏洞。

底线：组织任何级别的网络安全知识差距都会给组织带来安全风险，应通过员工安全意识和教育来缓解。

网络安全总是在不断发展，雇主和雇员需要多久重新熟悉潜在的网络威胁？

作为安全专业人员，我们的学习永远不会停止。 我们有责任随着技术的需求以及技术可能引入的新漏洞而发展，以领先于网络犯罪。 我们建议网络安全专业人员每周至少进行 1-3 小时的专门学习，并为非技术人员每月进行意识培训和网络钓鱼模拟。

成人学习专家经常引用 艾宾浩斯遗忘曲线 让人们认识到频繁的员工培训的重要性。 该理论的本质是，如果没有间隔重复来强化新知识，员工将在一个月内忘记 90% 的新信息。

通过网络靶场进行实践技术培训，或通过游戏化的安全意识 选择你自己的冒险® 安全意识游戏 这只是我们帮助客户边做边学并最大限度地保留知识的几种方法。 此类持续学习计划可以激发安全习惯，同时帮助在工作场所建立安全文化。

感谢您的精彩采访，想要了解更多信息的读者可以访问 信息安全。