网络安全

Infosec创始人兼CEO Jack Koziol – 网络安全访谈

mm

Infosec创始人兼CEO Jack Koziol,他们专门为组织和员工提供获奖的安全和隐私教育,帮助他们抵御安全威胁。他们认识到网络安全是每个人的责任,因此为IT和安全专业人员提供技能开发和认证培训,同时通过意识培训和钓鱼模拟建立整个工作人员的安全能力。作为Gartner Peer Insights客户的选择,Infosec是安全意识计算机基础培训的领先者,也是Training Industry“前20名IT培训公司”和Info Security Products Guide全球卓越奖的安全培训和教育计划金奖得主。

您最初在2003年开始在Harris Bank工作网络安全,什么是您的工作内容,行业如何变化?

2003年,我是银行唯一一名全职网络安全专业人员。我们的母公司BMO有其他跨职能角色,但我是银行唯一一名专门从事网络安全的员工。自那时以来,技术的变化和相关风险对行业产生了重大影响。网络安全预算和团队规模增加了十倍以上,以应对针对金融服务行业的网络安全威胁。15年前,我作为个人贡献者所做的工作,现在可能由100多名网络安全专业人员管理。

在银行工作期间,您出版了《Shellcoder的手册》,这是第一批关于道德黑客的书籍之一。在写这本书时,您的想法是什么?

当我写这本书时,主要的漏洞信息共享论坛是一个叫做BUGTRAQ的邮件列表。《Shellcoder的手册》使这种信息更容易被更广泛的受众理解。很多人当时想学习漏洞利用,我知道我可以教他们如何编写软件漏洞利用代码,使用我自己的经验中的实例。同时,我也想离开银行,改变我的职业方向。

您能分享Infosec的创立故事吗?

一切都始于我出版《Shellcoder的手册》之后。这本书的受欢迎程度引发了人们对道德黑客和软件漏洞的兴趣和认识,导致我收到了很多请求,要求我教授有关书中内容的培训班。我利用假期教了几门课程,但最终我用完了假期,所以我辞去了银行的工作,花了接下来的几年时间在世界各地旅行,教导企业职员如何黑客。很有趣。

在那段时间,软件行业爆发了。新的工具和平台引入了更多的安全风险,这导致了对网络安全培训的需求大幅增加。随着网络犯罪分子将目标从软件扩展到软件用户,针对特定角色的、可扩展的网络安全教育的需求激增。

正是在那时,Infosec通过软件即服务扩大了我们的教育服务,并开发了世界上最大的网络安全教育平台,Infosec SkillsInfosec IQ。这两个平台为整个企业提供了针对特定角色的、实践性的培训,赋予员工知识、技能和信心,以智胜网络犯罪。今天,超过70%的财富500强公司依靠Infosec Skills来培养他们的安全人才和团队,全球超过500万名学习者通过Infosec IQ的安全意识和钓鱼培训变得更加网络安全。

您能讨论一下Infosec提供的一些最受欢迎的网络安全证书和课程吗?

Infosec为整个组织提供了针对特定角色的网络安全教育,从会计部门到安全运营中心(SOC)团队。由于Infosec是供应商中立的,因此我们的热门培训营可能是为像CISSP、Security+和认证道德黑客(CEH)这样的热门认证做准备。Infosec的独特之处在于我们如何为学生准备考试。我们使用沉浸式讲座和网络范围内的实践实验室来帮助学生通过实践学习和教授有价值的技能,这些技能可以立即应用于他们的工作。 Infosec Skills网络范围是平台中最受欢迎的学习体验之一,我们今年将大量投资于此。

在安全意识和培训方面,我们刚刚发布的Choose Your Own Adventure®安全意识游戏彻底改变了我们的客户向员工提供安全意识和培训的方式。我们与Choose Your Own Adventure®品牌团队合作,将流行的游戏书系列的激动和神秘带到了全球的安全意识和培训计划中。这些游戏让学习者掌控自己的安全意识培训计划,具有交互式的故事情节,鼓励批判性思维和决策,同时使培训变得有趣。

建立员工对网络安全威胁的认识有多重要?

建立员工对网络安全威胁的认识不仅有助于企业数据安全和合规,还能保护员工在工作和家庭中的安全。了解如何避免钓鱼攻击或保护物联网设备可以保护员工免受毁灭性的个人损失,甚至家庭威胁。了解如何在网上保持安全不仅仅是工作相关的问题,也是一项生活技能。我们为能够帮助客户保护他们的业务、客户和员工免受网络威胁和恶意行为者而感到自豪。

员工最常见的被利用或被黑客攻击的方法是什么?

大多数网络安全研究人员都同意,绝大多数数据泄露都可以归因于人为错误。最新的IBM X-Force威胁情报指数研究报告称,2020年,勒索软件、数据盗窃和服务器访问是最常见的攻击类型,而扫描和利用、钓鱼和凭证盗窃是最常见的初始攻击向量。钓鱼是一种非常严重和常见的安全威胁,因此被媒体广泛报道。然而,虽然许多泄露事件始于钓鱼和恶意软件,但黑客获得敏感信息和系统的程度往往反映了组织的IT基础设施和整体安全状况。最近的SolarWinds事件只是一个例子,一个更强的密码策略或更有效的安全意识计划可能会阻止一次重大泄露。

总之,组织内任何级别的网络安全知识缺口都对组织构成安全风险,应该通过员工安全意识和教育来缓解。

网络安全始终在不断发展,雇主和员工需要多久重新熟悉潜在的网络威胁?

作为网络安全专业人员,我们永远不会停止学习。我们的责任是与技术的需求和新引入的漏洞一起进化,以保持领先于网络犯罪。我们建议网络安全专业人员每周至少进行1-3小时的专门学习,每月进行一次安全意识培训和钓鱼模拟,针对非技术人员。

成人学习专家经常引用Ebbinghaus的遗忘曲线来强调频繁员工培训的重要性。该理论本质上指出,没有间隔重复来强化新知识,员工将在一个月内忘记90%的新信息。

通过网络范围或游戏化安全意识(如Choose Your Own Adventure®安全意识游戏)进行实践技术培训,只是我们帮助客户通过实践学习和最大化知识保留的几种方式。像这样的持续学习计划激发了安全习惯,同时帮助建立工作场所的安全文化。

感谢这次精彩的采访,希望了解更多的读者可以访问Infosec

安托万是一位具有远见的领导者和Unite.AI的联合创始人,他对塑造和推广人工智能和机器人技术的未来充满热情。作为一位连续创业者,他相信人工智能将对社会产生电力的影响一样的颠覆性影响,并经常被发现对颠覆性技术和通用人工智能的潜力大肆赞扬。

作为一位未来学家,他致力于探索这些创新将如何塑造我们的世界。另外,他还是Securities.io的创始人,这是一个专注于投资尖端技术的平台,这些技术正在重新定义未来并重塑整个行业。