教育行业网络安全引发担忧 勒索攻击和疫情是最大威胁
Jisc是一家英国高等教育IT综合服务机构,为非营利组织,帮助教育和研究部门了解数据保护、风险管理和网络安全领导力方面的战略责任,他们于2020年11月发布了一份网络影响报告,最近(2022年4月)他们对该报告进行了修订和更新,更新最大的三部分内容聚焦点分别是勒索软件攻击、疫情对网络安全的影响、以及安全事件背后的恢复成本及潜在影响,同时给出了相应的安全建议。
勒索攻击组织已将教育行业视作主要目标之一
报告根据总体攻击画像数据给出观点,勒索软件攻击已成为教育行业最大安全威胁,2020年仅英国就有15家教育行业机构受到了勒索软件攻击影响,到2021年,这一数字上升到了18个。在2022年报告更新截止前,也已经爆发了3起勒索软件攻击事件。以上为已经发生的勒索攻击事件,报告认为,潜在的攻击影响可能对超过100所教育行业机构造成影响。
Jisc安全团队强调,勒索软件攻击随着时间的推移而发展,越来越多的勒索攻击实施“双重勒索”,这意味着他们不仅要求勒索以提供解密秘钥,还会以受害者不支付赎金就公开敏感数据为由胁迫其支付赎金。还有一些情况也正在发生,攻击者会寻找其他攻击点如受害者的数据备份等以阻碍其恢复数据,并对受害组织施加进一步压力,迫使其屈服于赎金诉求。
他们认为,对教育机构而言,在关键时刻防范和管理攻击是其优先事项,比如毕业季、入学季。而在更多的日常环节,让人们感到头痛的是如何应对攻防的不对称性,除了安全能力上的不对称性,更多的是攻击者经常在夜晚或是周末、节假日发起攻击,这对检测与响应造成困难,因为没有人员愿意为此加班。
教育行业网络攻击面受疫情影响进一步扩大
教育系统是受疫情冲击最大的行业之一,报告注意到随着远程教育工作的普遍应用,也正在对教育生态系统带来全面挑战。其中最大的问题是越来越多的个人数据正在外部设备所访问,正确的做法是无论数据在哪都应得到保护,但如何建立这种保护机制是关键。例如远程桌面协议 (RDP) 的不安全配置允许勒索软件攻击者访问受害者的设备。
这强调了实施基本安全控制的重要性,例如坚持使用高强度密码、唯一的密码、限制登录尝试次数和实施多因素身份验证 (MFA)。事实上,基于2021年的全年调查显示,针对MFA的应用建设投入的机构数量急剧增加。
但同时,这增加了安全管理人员的工作量,因为传统安全风险仍然没有任何减少的迹象,比如来自漏洞方面的安全威胁,以及DDoS攻击等等,疫情的影响是全面的,远程教学增加的外部使用量正在加大数据泄露风险,并且还可能进一步引起来自监管的合规处罚。
教育行业遭网络攻击事件频发 整体影响严重程度较高
报告引用了大量的数据以及真实案例,以来阐述安全事件对教育机构造成的损失。
IBM 和 波耐蒙发布的 2021 年数据泄露成本报告显示,教育行业数据泄露的平均成本为 379 万美元(与 2020 年的 390 万美元相比略有下降)。(医疗保健行业则继续以 923 万美元的平均成本成为全球受数据泄露影响最高的行业。)
美国加利福尼亚大学在2020年的勒索攻击事件中向黑客支付了114万美元。荷兰马斯特里赫特大学在2019年的勒索攻击中被认为支付了23万英镑赎金。与此同时,该大学为此作出了全方面应对措施,以降低攻击带来的进一步影响,比如确保开学之后IT系统可用,因此支出的潜在损失远不止赎金数字。
此前Jisc安全团队帮助某组织从勒索软件攻击事件中完全恢复,据透露其恢复成本超过 200 万英镑。
2020年某大学受到黑客攻击,起初大学内约有1000个学生账户被泄露,事件最终通过长达80天的努力才得以解决,该事件也影响了其IT转型等相关项目以及内部的诸多服务。而且校方担心,如果内部数据被泄露,可能影响更为严重。
一所大学在2019年的数据泄露事件中,雇佣了由15名工作人员组成的响应团队,执行应急响应的周期达到了三个星期,其后又通过一个由5人组成的应急团队进行三周的工作,最终为此花费了65000英镑,同时学校还支出了大量的法律费用。
2021年1月,一名学校的前员工访问了学校的IT系统,删除了学校和个人数据,造成了远程教学系统长达10天的中断。该事件当中,125台设备上的数据被删除,其中还包含科研数据,好在学校执行了备份,并通过各种努力最终得到了恢复。
2020年5月,欧洲十几台超级计算机被迫关闭,原因源于加密货币挖掘恶意软件相关的安全事件。报告没有披露进一步详情,但数据显示有多家研究机构受到了影响,因为他们需要数周时间来进行补救,同时报告认为如果黑客不仅仅是以超级计算机挖矿为目的,那么其影响可能会进一步升级。
报告指出,对于任何行业组织而言,面对网络攻击,首先要回答的几个问题是——自身业务能否承受需要数周或数月的恢复期,不同的关键时期对我们的业务有何影响?是否有过应急的灾难计划?
所以关于因网络攻击造成的损失需要全面的评估,一方面是事件之后的应急安全建设,以及恢复成本。同时数据泄露还会进一步引发相关的合规惩罚,在欧美,应对诉讼的支出费用(包含高额处罚)更为惊人,而国内这方面的成本其实也并不低。
内部培训+外部专业安全力量引入 教育行业安全建设需全面加强
更新后的报告显示,从具体的安全事件案例来看,对某些组织而言,只有在发生某种形式的违规或事件后,他们才会想起网络安全投入具有积极作用。基于Jisc在2021年的调查数据也同样支撑该言论,只有17%的高校组织在网络安全方面有较高认知,尽管这一数据仍比上一年增长了7%。
这也意味着,绝大多数教育行业机构必须提高认识,管理者需要认识到网络安全不仅仅是一个IT问题,必须以协调一致的战略以确保安全方面的投资得以顺利执行。同时还需要革新现代化IT系统,以降低对分散IT资产保护的复杂性。
报告再次强调了需要有充足的资金建设“基础”安全,以保障师生可以从任何地方安全访问系统、数据。同时还必须投入资源以保证有充足的、技术娴熟的网络安全人员来贯彻执行“基础”安全防护能力能够顺利执行,如果觉得难以执行,可以把工作交给专业的安全服务提供商来执行安全托管服务。
需要延伸解读的是,通常安全托管服务工作能够覆盖7*24小时,这也解决了前文提及的高校一侧在对应攻击不对称性上的难题。同时,安全托管服务在全行业应用价值同样较高,教育行业的组织规模普遍较大,而在中小型企业当中,可能根本没有设置网络安全人员来执行日常防御建设。
报告数据还显示,在2021年44家投保高等教育机构就有7家提出了索赔。报告强调了保险对于网络安全的高价值。
此外,针对持续的疫情影响,教育行业的组织有必要持续加大各风险场景下的安全意识培训工作,让师生们养成安全意识,因为这些安全风险会造成个人数据的泄露,对自身造成安全风险。
来源:安全419
