K-12学校需要什么来支持网络安全- Malwarebytes Labs | Malwarebytes必威平台APP必威官方登录备用 Labs

摇摇欲坠的基础设施。空白的课程。陈旧的设备。困难的法律杯。缺乏资金。这些只是K-12学校在寻求将技术应用到21年级时面临的一些障碍^圣世纪学习举措。

现在再把安全问题加到清单上，你就会明白为什么许多学校不仅要努力跟上消费者技术的发展趋势，还要防范针对它们的威胁。

尽管战斗艰巨，但学校知道确保学生数据的重要性，许多人已经找到了安全地融入网络安全意识，以及实惠的技术，以保护该数据的方法。我们与学校董事会，管理员，教育工作者和安全董事的成员交谈，讨论了K-12学校（私人和公共）特定的网络安全挑战，以及可以克服什么。

的挑战

在我们的2019年恶意软件状态报告，我们发现教育在网络犯罪分子目标的十大行业中持续一致。但是，当我们放大时，以期待2018年占主导地位的主要威胁，包括information-stealing木马和更复杂的赎金软件攻击，列表中的学校甚至更高，分别排名第一和第二号。

除了K-12学校系统，关键学术服务，比如SAT和ACT，易于数据违规行为，这可能会破坏大学招生过程的合法性。

美国学校是富含网络犯罪分子的数据目标，包括学生的名称，社会安全号码和电子邮件地址，学术和健康记录，财务信息等。根据EdWeek在美国，K-12学校经历了425次公开报道自2016年1月以来的网络安全事件;实数可能更高。

挖掘此数据，呈现互动地图从K-12网络安全资源中心（如下图），学校最受影响（紫色标志），网络钓鱼攻击（蓝色）和赎金软件感染（黄色）受到影响。

地图由K-12网络安全资源中心提供

知道他们是威胁演员的目标，哪个主要障碍必须学校跳过以落户他们的网络安全？

第一是缺乏专业发展。教师、管理员和后勤人员可以访问存储在网上的高度机密的学生数据，由于他们对网络安全了解不够，他们可能会在无意中允许泄露。然而，职业发展几乎总是与课程采用的变化、学校活动和偶尔的技术培训课程有关，这些培训课程涉及如何使用特定的软件程序或与互联网相连的教室设备，如智能板。

在一个有关的问题中，虽然学生通常比其老师更重要的技术，但他们往往没有在家中教授基本的网络安全意识。

“我们可能会假设当学生从家里获取设备，例如手机或桌子，所以提供的限制或给出的指导方针，但非常往往没有，“吉尔罗伊·吉尔市的校长TamiEspinosa说，在Gilroy，Ca.“我们需要肯定会解决如何正确使用技术，因为它是并将是他们生命中的一个组成部分。”

即使将过滤器或其他限制置于原位，许多学生也能够在整个过程中找到方法，损害了该过程中的安全性。如果他们知道他们的行为可能导致他们的学生记录被访问并改变，他们会如此鲁莽吗？

在K-12教育中加强网络安全的另一个挑战是缺乏资金。简而言之，没有，或者至少很少。现有的资金通常直接用于教学和课程，因为学校社区中的许多人不支持从核心学科领域转移资金。

“Cybersecurity isn’t a tangible item that directly impacts instruction, so many staff and community members wouldn’t support money going towards it, especially when facilities need to be fixed, curriculum needs to be purchased, and more support staff is needed,” said Tami Ortiz, a San Francisco Bay Area educator. “Cybersecurity is vital, but invisible.”

事实上，由于地区或联邦政府在网络安全方面的资金通常无法到位，因此寻求资金的学校往往不得不这么做申请补助金或举办筹款活动以补贴。

最后，更新基础设施是希望收紧安全性的巨大障碍。耻骨学校特别在这一领域挣扎，因为它每隔几年大修是昂贵的，并且需要支持的人员不仅可以管理和安全地管理设备，而且还需要在前提或云中存储的任何数据。从操作系统到需要更新的专业教育软件，漏洞是猖獗的，可以很容易地利用 - 而且没有包括疏忽的员工，他们可能会打开不需要的电子邮件并感染他们的机器。

解决方案

为了帮助说服社区成员和工作人员转移资金，必须使他们认识到情况的严重性。根据2018年K-12网络安全报告，今年报告违规的近一半是由学生和工作人员造成的，其中60％导致学生数据受到损害。

这告诉我们，意识是打击入侵的关键因素，但也必须部署技术，以防止技术熟练的学生试图绕过设置的保护措施。

寒武纪学校委员会副总裁Doron Aronson表示，随着预算有限，校园全面地看待技术，安全是一个重要的组成部分。在进行资金决策时，他们认为有三个主要区域：基础设施，硬件和安全;教学实践和专业学习;和数字课程，工具，数据和评估。虽然仅作为基础设施的一部分提到安全性，但它实际上可以纳入所有三个区域。以下是：

基础设施、硬件和安全

学校应对数据泄露和其他网络攻击的“最简单”方法之一是选择和部署网络安全解决方案，以应对以往针对学校的威胁。IT总监应该寻找的具有动态，行为的检测的程序防范勒索软件、木马和其他活跃恶意软件家族的标准。防火墙，补充的电子邮件安全，和加密的数据存储/备份系统提供了针对入侵，钓鱼和勒索软件攻击的额外覆盖。

此外，开发一个网络安全政策和事件响应计划如果发生违规，将有助于准备学校。奖励积分与顶级修复功能合并了一层安全性，以便后果，包括还原备份和清理计算机，相对无痛。

教学实践和专业学习

说服领导能提供外包IT和安全服务，特别是专业发展。首先与那些了解最新IT /技术部门的人合作，然后搬到管理，员工，副手和助手。

基于Fresno的教育顾问Alex Chavez建议学校“认真对待安全。把它放在上学现场安全旁边的领导议程。与外包安全合作，以保持最新的威胁和最佳实践。“

如果不存在外部意识培训的资金，指定或要求一名志愿者成为学校的网络协调员。在你的社区寻找志愿者:精通技术的年轻教师，或者在技术或安全领域工作的父母将是一个很好的开始。

“在Malwarebytes的安全领袖，John Donovan表示，”获得一些值得信赖的外部帮助“。必威平台APP“指定你员工的某人成为一个内部领导者/联系点，并给他们一些时间和激励措施来学习并带来你的学校的信息 - 特别是如果它是志愿者的职位。”

在你的学生体内做同样的事情。指定一个课堂Cyberhero，或者选择少数老学生成为学校的网络警察。奖励额外的信用，较少的家庭作业或学校内的积分系统来获得赃物。

一旦工作人员和志愿者进行了一些初步培训，通过提供正式和非正式的课程，包括大会谈判和研讨会，以及偶尔通过简单，有趣的练习来测试知识的培训。

数字课程，工具，数据和评估

将基础设施放在适当的地方，包括正确的防病毒软件，网络安全政策和支持人员（志愿者或专业），提供专业发展是在我们小学，中学和高中支撑网络安全的正确方向。但是，也许最重要的一步是了解教学学生和教师对网络安全卫生以及如何最好地教授它。

埃斯皮诺萨说:“我的建议是，确保有计划地教授网络安全。”“我们常常认为这是常识，但事实并非如此。”

为此，我们建议以下与教育人员特别相关的最佳实践：

在学校环境中的所有端点上安装安全软件，包括移动设备教师可能会在白天检查他们的电子邮件。
当心网络钓鱼电子邮件和其他社会工程，例如技术支持诈骗或视频游戏，针对教师和学生。查看发件人的电子邮件地址，如果电子邮件正文中存在附件或链接，请在询问个人信息的情况下进行过度意识。
应备份学生数据并在存储和传输中加密端到端。
即使用或创建数字课程COPPA符合要求。
使用密码经理对于任何教师，管理员甚至学生帐户。
保留所有软件和硬件定期更新。应该清除并替换已达到生命结束（EOL）的系统和软件，并不再支持安全更新。