关键基础设施的妥协:教育安全问题继续存在——Malwarebytes Labs | Malwarebytes Labs必威官方登录备用必威平台APP

教育系统和许多元素是定期对网络犯罪分子的目标。虽然教育是联合国认可的基本人权，但许多学校和全球教育系统中的其他实体的财务手段往往是有限的。

这些有限的预算往往导致对网络威胁的保护薄弱或不足。不幸的是，这个行业的组织被迫节约和削减安全成本。

自然界的学校有很多关于记录的个人数据 - 不仅仅是关于他们的学生，而且在大多数情况下，他们还有父母，法律监护人和他们教育其他孩子的其他理想者的记录。例如，数据成绩，健康信息和社会安全号码的性质 - 使它们非常有价值网络钓鱼及其他社会工程攻击.

勒索软件还可能对教育机构产生毁灭性影响，因为一些信息，例如分数，可能不会记录在其他任何地方。如果它们在没有备份的情况下被销毁或扣押以索取赎金，结果可能是灾难性的。

组织教育业界在试图保护其数据和网络时，有一些特殊情况需要处理：

数据的敏感性以及为学生提供的开放平台给许多教育机构造成了困难。毕竟，踢进一扇已经半开的门是很容易的——特别是如果有大量的财富的话个人识别信息（PII）在它后面。

一分析2018年12月，SecurityScorecard将教育列为17个主要行业中网络安全最差的行业。根据这项研究，教育中网络安全弱点的主要领域是应用程序安全、端点安全、修补cadence和网络安全。

在我们的2019恶意软件状态报告在美国，我们发现教育一直是网络罪犯攻击的十大行业之一。如果只看木马和更复杂的勒索软件攻击，学校的排名更高，分别排在第1和第2位。

因此，根据2016年一项题为：网络犯罪的崛起面孔：勒索瓶在美国，13%的教育机构成为勒索软件攻击的受害者。

和许多其他组织一样，教育机构也受到最活跃的恶意软件家族的攻击，比如情绪化,三角架,琉克，这对2018-2019学年的更好部分造成了组织造成严重破坏。

去年五月,考文垂学区在俄亥俄州不得不送回2,000名学生并在一天的持续时间内关闭其门。原因可能是一个三角架但联邦调查局仍在忙于进行调查。

2019年2月，加利福尼亚州西尔沃工联盟学区发现了一个恶意软件攻击，使员工和教师失去了基于云的数据，网络和教育平台的联系。据报道在美国，他们不得不花费475,700美元来清理他们的网络。

2019年5月13日，攻击者感染了的计算机网络俄克拉荷马市公立学校用勒索软件，迫使学区关闭了网络。

但教育机构需要担心的不仅仅是恶意软件。肯塔基州的斯科特县学校支付了370万美元网络钓鱼诈骗假扮成他们的供应商。

不幸的是，这是许多学区的钱，尤其是那些贫穷的社区美国政府无力支付。那么，在有价值的数据和资金从巴士窗口飞出去之前，他们什么时候才能阻止恶意软件攻击呢?

建议阅读：K-12学校需要什么来加强网络安全

鉴于大多数教育机构都必须处理复杂的情况和敏感的数据，因此应采取一系列措施来降低发生代价高昂的事件的风险。认识到许多学校必须将公共资金转用于核心课程，我们的建议代表了保护区应在有限资源下努力实现的基线水平。

单独的教育和组织网络，一个地方的成绩和课程，以及另一个地方的个人数据。通过使用此基础架构，Cyberiminals通过使用泄露或破坏的学生和教师账户来访问个人数据将更加困难。
DDoS保护。如今，DDoS攻击非常便宜(每小时10美元)，任何心怀怨恨的人都可以不花一大笔钱就让一台未受保护的服务器宕机几天。由于攻击者已经开始使用启用memcached的服务器，DDoS攻击的可能范围已经显著扩大。为了阻止大规模DDoS攻击，这些服务器不应该是面向互联网的。
教育员工和学生，他们面临的危险和可能的后果，不够重视。教师可以将网络安全教育纳入阅读理解课程，员工可以在职业发展期间接受意识培训。
为使用属于该组织的设备以及允许在场地上使用私人设备的方式制定清晰简洁的规定。
备份应该是最新的，并且易于部署。勒索软件的要求很高，即使你付钱给他们，解密总是有可能失败或者根本不存在。
投资于分层保护可能看起来代价高昂，但与成为恶意软件或欺诈的受害者相比，这些投资是值得的。

事实上，所有这些措施都需要花钱，我们意识到这需要从紧张的预算中出来。但是，资金或缺乏资金不能成为安全薄弱的借口。网络犯罪是现代经济中最大的组成部分之一。猜猜谁在为此买单?那些没有在安全上投入足够的人。

打击网络犯罪的最佳武器之一是教育，但教育机构的安全问题最大，这真是一个奇怪的悖论。我们Malw必威平台APParebytes在教育领袖的帮助下，致力于改变这种状况。

大家注意安全！