Campus cybersecurity ransomware

格雷格Kovich

2022年5月9日

采用减少校园网络安全威胁的策略可以帮助限制恶意行为者的访问并减少您的曝光率.

Long before the term ‘nation-state hackers’ was coined, the education industry had been in the crosshairs of opportunistic cyber threats. 根据最近的 Verizon数据泄露报告, 这些攻击已经从执行恼人的拒绝服务和访问敏感信息转变为攻击, to being motivated by financial gain, 最常见的是犯罪黑客，他们用该机构或地区的加密数据勒索赎金. Attacks of this nature can disrupt operations for months, and take money sorely needed for programs and educational missions. Fortunately, t在这里 are strategies that can be taken to reduce your threat surface area.

When analysing how attackers entered education networks, the Verizon report identifies ‘Social Engineering’ (46%) as the top vector. Next are, ‘Miscellaneous Errors’ and ‘System Intrusion’ (20% each). 社会工程学主要利用“借口”进行欺诈性支付或资金转移, 和钓鱼, 哪个尝试获取凭据或访问可以安装恶意软件的系统. 其他错误是由于服务器配置错误，没有适当的访问控制. 而系统入侵则是利用在暗网上公开的凭证进行黑客攻击和恶意软件攻击，这些凭证从未改变过，也从未通过社会工程获得过.

有了这些知识, 以下是我们提出的四种策略，可以用来帮助限制访问或曝光.

1. 培训: While the month of October has been designated as cybersecurity awareness month, diligence should not stop t在这里. 教育学生, 教师, 工作人员, and administration on how to recognise phishing has been extremely effective. 然而, 对于那些继续被越来越复杂和专业的电子邮件“愚弄”的人，应该提供进一步的培训. In addition to phishing training, 负责处理付款或资金转移的员工需要接受针对金融目标攻击的特殊培训. 也, 应当对转移资金所需的工作流程和凭证进行审计. 说到工作流——服务器配置错误在攻击面中排名第二——实现正确的访问控制必须是数据中心运营工程师和研究IT团队的首要任务.

2. Multi-Factor Authentication (MFA): MFA is becoming a standard requirement from cybersecurity insurance companies. Almost everyone has used MFA when accessing an online account, and for universities and school districts, your Microsoft® or Google licensing should include this feature. 对于更高级的MFA功能，如有条件访问，您可能需要支付额外的许可费用.  Employing MFA creates an additional barrier the bad guys must hurdle. 最终用户很幸运, the prevalence of smart phones and tablets make it easy to implement for end users.

3. 特权: 在很多情况下, 一旦您对网络进行了身份验证，您就被置于VLAN中，并且期望防火墙将防止未经授权的访问. 这种结构是有问题的，应该用允许用户访问其角色所需的所有内容和资源的微分割策略来取代, 再也没有了. 类似于一艘游轮是如何被分隔的，这样船体的裂口就不会把整艘船都灌满水, micro-segmenting users can limit the damage incurred by a compromised account. 实施统一的网络策略，无论用户是否从校园Wi-Fi接入，都要对其实施微段规则, 以太网, 或VPN, will reduce the network administration burden.

4. 安全体系结构: 传统上, 深度防御架构是保护数字资产最流行的范例. 在“城堡和护城河”的设计中，“城堡”里的每个人都被认为是“值得信任的”，而外面的人则被“护城河”隔离在外面，“护城河”可能包括防火墙, vpn, 以及其他技术. 不幸的是, with the rise and sophistication of phishing, these trusted individuals could actually be the unwilling threat vector. Another architecture seeing renewed discussion and popularity is ‘零信任’. 美国国家标准与技术研究所(NIST)已经发表了一些关于 零信任 以及如何实现它. 零信任 Architecture aligns with previous advice about privilege and access, 其根源在于验证设备或用户访问资源或网段的需求.

Additional resources you may want to check out

在他们的社区和支持他们的组织中，教育工作者可以获得许多资源. EDUCAUSE是一个以利用信息技术促进高等教育为使命的非营利性协会. 该协会有社区团体，可以就网络安全进行点对点的对话, 网络管理, privacy and wireless networking. 的 group provides information on how to subscribe to a free service (for educators, 非营利组织, 政府)呼吁 Dorkbot which can help identify high-risk vulnerabilities in your web applications.

Another valuable resource is the Research and 教育 Networks Information Sharing and Analysis Center (REN-ISAC)，通过促进网络安全运营保护和响应，为高等教育和研究界的650多家成员机构提供服务.

的 Council of Australasian University Directors of Information Technology (CAUDIT) is another organisation that provides leadership for educators. 他们的高等教育参考模型是在进行数字化转型时考虑的有价值的文件. 另外, 他们的网络安全倡议帮助成员采用适当的风险概况，应对日益增长的网络安全威胁, 这样做的时候, helps safeguard Australasia’s universities’ intellectual property and reputations.

有关此主题的更多信息，请关注我即将发布的白皮书，该白皮书将分享阿尔卡特朗讯企业如何成为您纵深防御安全计划的一部分的见解. It will focus on enabling a 零信任 Architecture to the edge of the network, including Internet of Things (物联网) devices, 客人, 和BYOD.