在勒索软件时代处理校园网络安全(网络安全)

格雷格Kovich

2022年5月9日

采取策略减少校园网络安全威胁可以帮助限制有害行为者的访问，并减少他们的暴露.

早在“民族国家黑客”这个词被创造之前, 教育部门是机会主义网络威胁的目标. 根据最新的 Verizon数据泄露调查报告, 这些攻击已经从令人讨厌的拒绝服务和访问机密信息转变为, 由经济收益驱动, 最常见的是犯罪黑客从机构或地区抢救加密数据. 这种性质的攻击可能会使行动中断数月，并剥夺教育项目和任务急需的资金。. 幸运的是，可以采取一些策略来减少威胁的范围.

通过分析入侵者是如何进入教育网络的, Verizon的报告将“社会工程”(46%)列为主要载体. 其次是“杂项错误”和“系统入侵”(各20%). “社会工程”主要利用“借口”进行欺诈性支付或资金转移, 和钓鱼, 试图获取凭证或访问可能安装恶意软件的系统. “杂项错误”是由不正确的服务器配置引起的, 没有适当的访问控制. “系统入侵”指的是黑客和恶意软件使用的凭据被暴露在暗网中，从未被更改。, 或通过“社会工程”获得.

有了这些知识, 以下是我们创造的四种策略，可以用来帮助限制访问或暴露.

1. 培训: 虽然10月份被指定为网络安全意识月, 勤奋不能止步于此. 教育学生, 老师, 员工和管理层如何识别网络钓鱼是非常有效的. 与此同时, 对于那些继续被越来越复杂和专业的电子邮件“欺骗”的人，应该提供额外的培训. 除了网络钓鱼培训, 负责处理付款或资金转移的员工需要接受针对金融攻击的专门培训. 此外, 必须对转移资金所需的工作流程和凭证进行审计. 说到工作流——错误的服务器配置在攻击区域排名第二——实现正确的访问控制应该是数据中心运营工程师的首要任务, 研究及资讯科技团队.

2. 多因素认证(MFA): MFA正在成为网络安全保险公司的标准要求. 几乎每个人都在访问在线账户时使用过MFA, 大学和学区, 您的Microsoft®或谷歌许可必须包括此功能. 更高级的MFA功能, 作为条件访问, 您可能需要支付额外的许可费用.  使用MFA创造了一个额外的障碍，坏人必须打破. 对终端用户来说是幸运的, 智能手机和平板电脑的普及使得终端用户更容易实现.

3. 特权: 在许多情况下, 一旦你在网络上验证了自己, 您被放置在一个VLAN中，期望防火墙保护您免受未经授权的访问. 这种结构是有问题的，应该被允许用户访问其功能所需的所有内容和资源的微分割策略所取代。, 没有别的了. 类似于游轮的划分方式，这样船体上的一个缺口就不会让整艘船充满水, 微目标用户可以限制被泄露的帐户所造成的损害. 实现统一的网络策略，将微分割规则应用于用户, 无论你的接入来自校园Wi-Fi, 以太网或VPN, 减少网络管理负担.

4. 安全架构: 传统上, 深度防御架构是保护数字资产最流行的范例. “城堡和坑”模型是指“城堡”中的每个人都被认为是“可靠的”，而其他人则被“坑”关押在外面, 这可能包括防火墙, vpn和其他技术. 不幸的是, 随着网络钓鱼的兴起和复杂性, 这些值得信赖的人实际上可能是无意威胁的载体. 另一个重新引起讨论和流行的架构是“零信任”架构。. 美国国家标准与技术研究所(NIST)发表了几篇关于 信任零，以及如何实现它.  零信任架构与之前关于特权和访问的建议一致, 在它的根, 检查设备或用户是否需要访问网络资源或段.

您可能想要查看的其他功能

在他们的社区和支持他们的组织中，教育工作者可以获得许多资源. EDUCAUSE是一个非营利组织的例子，其使命是利用信息技术促进高等教育. 该协会有社区团体，允许就网络安全进行点对点对话, 网络管理, 隐私与无线网络. 该组织提供了如何订阅免费服务(针对教育工作者)的信息, 非营利组织和政府)呼吁 Dorkbot，这可以帮助识别web应用程序中的高风险漏洞.

另一个有价值的资源是 研究与教育网络信息共享与分析中心 (任-ISAC), 为650多所高等教育和研究界的成员机构提供服务, 促进网络安全保护和操作响应.

O 澳大拉西亚大学信息技术理事会 (CAUDIT)是另一个为教育工作者提供领导力的组织. 它的高等教育参考模型是一份有价值的文件，在进行数字化转型时需要考虑. 此外, 他们的网络安全倡议帮助成员采取适当的风险概况，并应对日益增长的网络安全威胁, 通过这样做, 帮助保护大洋洲大学的知识产权和声誉.

有关此主题的更多信息, 请继续关注我的下一份白皮书, 谁将分享阿尔卡特朗讯企业如何成为您深入的安全和防御计划的一部分的见解. 本白皮书将重点关注在网络边缘实现零信任架构, 包括物联网(物联网)设备, 访客和BYOD.