Джек Козиол, Infosec Institute: «Пробелы в знаниях о кибербезопасности на любом уровне организации создают риски»

Компании по всему миру обеспокоены проникновением посторонних в их пространство. Они обновляют свои системы и вкладывают большие деньги в средства защиты, часто забывая, что основная уязвимость уже имеет доступ к их важным данным: их сотрудники.

Согласно исследованию Стэнфордского университета, человеческая ошибка остается самой серьезной проблемой в области кибербезопасности: до 88% нарушений связаны с ошибками, допущенными сотрудниками. Однако сделать ваших сотрудников более опытными в киберпространстве - непростая задача, поэтому ее часто передают на аутсорсинг другим организациям.

Джек Козиол, генеральный директор и основатель Infosec Institute, рассказал изданию CyberNews, почему образование остается самой важной практикой кибербезопасности, и как Infosec Institute поможет в обучении сотрудников.

Как возникла идея Infosec?

Infosec обеспечивает ролевое обучение кибербезопасности для всей организации - от бухгалтерии до работников сферы информационной безопасности. Мы помогаем ИТ-специалистам и специалистам по безопасности продвигаться по карьерной лестнице, развивая навыки и получая сертификаты, а также предоставляем всем сотрудникам возможность пройти курс обучения по вопросам безопасности и конфиденциальности, чтобы они сохраняли высокий уровень информационной защищенности на работе и дома. Наша миссия - вооружить все организации и отдельных лиц ноу-хау и уверенностью в том, что они могут перехитрить киберпреступников.

История Infosec началась вскоре после того, как я опубликовал The Shellcoder’s Handbook. Популярность книги вызвала интерес к этическому взлому и уязвимостям программного обеспечения, что привело к многочисленным просьбам создать учебные лагеря для использования программных эксплойтов, описанных в книге. Я использовал отпуск, чтобы провести несколько курсов, но в конце концов у меня закончился отпуск, поэтому я бросил свою дневную работу в банке и провел следующие пару лет, путешествуя по миру, обучая людей в корпорациях этичному взлому.

В то время кибериндустрия бурно развивалась. Новые инструменты и платформы создали больше рисков для безопасности, что привело к еще большей потребности в обучении по кибербезопасности. А поскольку киберпреступники расширили круг своих целей с программного обеспечения на пользователей программного обеспечения, спрос на образование в области кибербезопасности резко вырос.

Мы разработали Infosec Skills и Infosec IQ, чтобы удовлетворить этот спрос, помогая организациям масштабировать эффективное киберобразование на основе ролей для каждого сотрудника. Обе платформы обеспечивают практическое обучение для всего предприятия, наделяя сотрудников знаниями, навыками и уверенностью для того, чтобы перехитрить киберпреступность. Сегодня более 70% компаний из списка Fortune 500 полагаются на знания Infosec для развития своих специалистов и команд в области безопасности, а более пяти миллионов учащихся по всему миру стали более устойчивыми в киберпространстве благодаря обучению Infosec IQ по вопросам безопасности и фишингу.

Какие методы вы используете, чтобы сделать обучение по вопросам кибербезопасности интересным и увлекательным?

В первые дни наших учебных лагерей по кибербезопасности мы быстро увидели, что практические занятия и фиксирующие упражнения не только привлекают учащихся, но и помогают им сохранять полученный опыт. В то время Infosec была одной из первых компаний, которая переключилась с «экзаменационной зубрежки» на обучающие навыки в увлекательной форме, что позволило студентам уйти с практическими навыками, которые они могли сразу применить на работе. Сегодня мы применяем ту же философию к каждому тренингу по кибербезопасности, который мы разрабатываем, чтобы помочь учащимся получить удовольствие и усвоить важные уроки.

Для технической подготовки мы используем сочетание лекций с эффектом присутствия и практических занятий в киберпространстве, чтобы помочь студентам учиться на практике и приобретать ценные навыки. Чтобы дать учащимся больше возможностей для практического технического обучения, в этом году мы запустили нашу новую кибер-линейку Infosec Skills. Параллельно с запуском наших кибербезопасных диапазонов мы учредили ежемесячный конкурс Infosec Skills для всех энтузиастов или профессионалов в области кибербезопасности, которые каждый месяц бесплатно приобретают новые навыки. На сегодняшний день тысячи людей приняли участие в нашем ежемесячном испытании и поделились своими сертификатами о прохождении курсов через Интернет. Это показало, что даже для технической подготовки вовлечение учащихся и создание элемента веселья, конкуренции и сообщества имеет большое значение.

Что касается осведомленности о безопасности и обучения, наши недавно выпущенные игры для ознакомления с безопасностью Choose Your Own Adventure изменили то, как наши клиенты обеспечивают осведомленность о безопасности и обучение своих сотрудников. Мы заключили партнерские отношения с командой, стоящей за брендом Choose Your Own Adventure, чтобы привнести азарт и тайну популярной серии книг-игр в программы обучения и повышения осведомленности о безопасности по всему миру. В играх учащиеся отвечают за собственную программу обучения вопросам безопасности с интерактивными сюжетными линиями, которые поощряют критическое мышление и принятие решений, при этом сохраняется удовольствие от обучения.

Поскольку в настоящее время фишинг становится серьезной проблемой, не могли бы вы рассказать, что выдает вредоносное электронное письмо?

Несмотря на постоянное внимание к обучению по вопросам безопасности и инвестициям в технологии кибербезопасности, фишинг по-прежнему является предпочтительным и эффективным вектором атак для киберпреступников.

Когда дело доходит до любого типа фишинг-атаки, лучший способ - притормозить и подумать, прежде чем нажать на какую-либо ссылку.

В случае фишинговых писем люди должны остерегаться следующих вещей:

1. Ощущение срочности с призывом к действию. Киберпреступники ищут людей, которые могут быстро среагировать или выполнить определенные действия, после чего злоумышленники получат доступ к вашей системе и информации. Они часто используют тактику запугивания или срочные выражения, такие как «обновить немедленно», чтобы заставить людей перейти по вредоносным ссылкам.

2. Неожиданное или нежелательное электронное письмо. Если вы не ожидали электронного письма от генерального директора или не заказывали посылку в FedEx, вам не следует отвечать на электронное письмо об этом. Часто киберпреступники выдают себя за людей и компании, которых вы знаете, чтобы побудить вас нажать кнопку или ответить.

3. Использование безличного или общего языка. Во многих попытках фишинга вы будете видеть общие выражения, где вас могут назвать «пользователем» или «покупателем», а не вашим реальным именем. Их просьба также может быть расплывчатой, чтобы побудить вас к участию.

4. И последнее, но не менее важное: слова с ошибками, несоответствующие URL-адреса и неверная информация, такая как дата или место, где компания пытается связаться с вами. Если что-то выглядит не так или не совпадает, лучше всего сообщить об этом электронном письме своему ИТ-отделу или поставщику услуг электронной почты, чтобы они расследовали этот инцидент.

Вы заметили какие-то новые угрозы во время пандемии? Были ли в результате добавлены какие-либо новые функции в ваши образовательные программы?

В прошлом году мы стали свидетелями появления новых киберугроз - фишинговых писем, выдававших себя за обновления информации о вакцинах, или приглашений в Zoom киберпреступникам, нацеленных на больницы, ограниченные в ресурсах. Соответственно, обучение и тренинг по кибербезопасности, которые Infosec предоставляет отдельным лицам и организациям, крайне важны.

Мы также увидели рост спроса на онлайн-образование в области кибербезопасности, чтобы помочь организациям защититься от этих новых угроз. Аналогичным образом, Infosec быстро разработала серию учебных курсов по вопросам безопасности и бесплатный комплект ресурсов для обеспечения кибербезопасности сотрудников при работе из дома, охватывая такие темы, как защита вашей сети Wi-Fi, регулярное обновление устройств и практика защиты паролей. Мы также внедрили новую серию игровых тренингов, чтобы повысить вовлеченность сотрудников в вопросы кибербезопасности, несмотря на то, что сотрудники рассредоточены.

Это сопровождалось запуском сотен новых онлайн-курсов по практической безопасности и ИТ, чтобы киберпрофессионалы могли гарантировать, что их навыки остаются актуальными в условиях быстрых изменений в киберпреступности и технологиях, а также в киберпространстве Infosec Skills. Новый кибер-диапазон позволяет учащимся запускать сценарии из реальной жизни и применять полученные знания на практике одним нажатием кнопки, избавляя от необходимости настраивать учебные среды или домашние лаборатории.

Очевидно, что отдача сообществу - важная часть Infosec. Каковы ваши основные социальные инициативы?

В Infosec вклад в сообщество, в котором мы работаем и живем, так же важен, как и работа, которую мы делаем для образования в области кибербезопасности. Программа Infosec Gives - это благотворительное обязательство нашей компании делиться одним процентом нашей прибыли, продукта и времени, чтобы оказывать долгосрочное влияние. Наши сотрудники оплачивают волонтерское время, и мы дополнительно вносим пожертвования. Сотрудники Infosec пожертвовали свое время более чем 42 организациям и сделали финансовые пожертвования более чем 50 компаниям.

Возвращаясь к нашему сообществу специалистов по кибербезопасности, мы учредили программу стипендий Infosec Accelerate Scholarship Program, чтобы повысить осведомленность о проблемах, связанных с разнообразием кадров, и о растущем дефиците навыков в области кибербезопасности. На сегодняшний день в рамках этой четырехлетней программы было выделено более 530 000 долларов на образование в области безопасности для поощрения новых талантов из традиционно недопредставленных групп к изучению и развитию карьеры в области кибербезопасности. Стипендии Infosec Accelerate предоставляются широкому спектру населения.

В связи с ростом числа атак программ-вымогателей, кто, по вашему мнению, обычно виноват - недостаточно информированная рабочая сила или слабые меры кибербезопасности?

Большинство исследователей кибербезопасности согласны с тем, что большинство утечек данных может быть связано с человеческим фактором. Последнее исследование IBM X-Force Threat Intelligence Index сообщает о трех наиболее распространенных типах атак в 2020 году: программы-вымогатели, кража данных и несанкционированный доступ, а тремя основными направлениями атак являются сканирование и эксплойты, фишинг и кража учетных данных. Фишинг - это очень серьезная и распространенная угроза безопасности, поэтому эту проблему широко освещают средства массовой информации.

Реальность такова, что, хотя многие взломы начинаются с фишинга и вредоносного ПО, степень, в которой хакеры получают доступ к конфиденциальной информации и системам, часто является отражением ИТ-инфраструктуры организации и общего состояния безопасности. Недавний инцидент с SolarWinds - лишь один из многих примеров, когда такая простая вещь, как более строгая политика паролей или более эффективная программа обеспечения безопасности, могла предотвратить серьезное нарушение.

Итог: пробелы в знаниях о кибербезопасности на любом уровне организации создают риски безопасности для всей компании и должны устраняться с помощью осведомленности в области безопасности в масштабах всего предприятия и обучения.

Вы недавно заметили тренд красных флажков в социальных сетях. Поделитесь с нами, каковы наиболее распространенные индикаторы некорректных практик кибербезопасности на социальных сайтах и ​​в приложениях?

«Красные флажки» кибербезопасности на социальных платформах и в приложениях часто включают такие вещи, как отсутствие настроек конфиденциальности, сомнительные положения и условия, разрешающие использование ваших данных (часто данные, которые не нужны для приложения) и сторонних приложений - например, ваши любимые игры для смартфона или инструмент для редактирования фотографий, которые не имеют тех же политик безопасности, которые вы приняли в исходном социальном приложении. Приложения, в которые вы входите, в конечном итоге могут предоставить киберпреступникам доступ к вашим устройствам и сетям, поэтому важно помнить, каким приложениям вы разрешаете доступ к своим данным. С другой стороны, зеленые флажки могут быть вариантом многофакторной идентификации или расширенного контроля конфиденциальности.

Также важно убедиться, что вы практикуете надлежащее поведение в области кибербезопасности в самих приложениях. Люди часто передают слишком много личной информации, которая затем может стать золотым билетом киберпреступника в ваши аккаунты. Хорошая новость заключается в том, что пользователи могут активно снижать этот риск, используя уникальные безопасные пароли для каждого сайта или приложения, которые они используют, включая многофакторную аутентификацию и помня о том, какие разрешения они предоставляют приложениям или социальным платформам. В общем, лучше потратить время на аудит всех трех этих элементов, чтобы убедиться, что приложение имеет доступ только к тем данным, которые ему нужны.

По вашему мнению, какие меры кибербезопасности необходимы в наши дни, особенно для защиты удаленных рабочих нагрузок?

При обеспечении безопасности все более удаленного персонала на ум приходят три меры кибербезопасности. Во-первых, реализация безопасности конечных точек для обеспечения видимости и контроля с учетом роста количества устройств и угроз, которые естественным образом возникают при гибридной или удаленной работе. Во-вторых, включение и обеспечение использования многофакторной аутентификации. Этот простой шаг может сэкономить время, деньги и репутацию бренда организациям и частным лицам в долгосрочной перспективе, затрудняя проникновение в системы. Наконец, внедрите стратегию защиты от потери данных (DLP). DLP позволяет руководителям видеть свои данные, их использование в сети и гарантировать правильное применение политик безопасности. Особенно в связи с возросшим оттоком рабочей силы крайне важно иметь методы предотвращения потери или раскрытия данных.

Поделитесь с нами, что ждет Infosec дальше?

Заглядывая в будущее, Infosec продолжает фокусироваться на разработке продуктов, которые делают образование в области кибербезопасности более доступным и интересным. Это будет включать в себя продолжение наших инвестиций в практические кибер-диапазоны Infosec Skills, развертывание новых технических учебных курсов, соответствующих последним угрозам и навыкам кибербезопасности, а также запуск новой серии по повышению осведомленности о безопасности, которая предоставит учащимся дополнительные игровые возможности. Сделав кибербезопасность более доступной, мы продолжим нашу интеграцию с мировыми обучающими платформами, такими как Coursera и Microsoft Viva Learning. Мы рады расширить нашу инициативу Infosec Gives новой стипендиальной программой, о которой мы объявим в ближайшие месяцы.