采用减少校园网络安全威胁的策略可以帮助限制恶意行为者的访问并减少您的曝光率.
早在“民族国家黑客”这个词出现之前, 教育火狐体育手机一直是机会主义网络威胁的目标. 根据最近的 Verizon数据泄露报告, 这些攻击已经从执行恼人的拒绝服务和访问敏感信息转变为攻击, 到被经济利益所驱使, 最常见的是犯罪黑客,他们用该机构或地区的加密数据勒索赎金. 这种性质的攻击可能会使运营中断数月, 并拿走项目和教育任务急需的资金. 幸运的是,有一些策略可以减少你的威胁面积.
在分析攻击者如何进入教育网络时, Verizon的报告将“社会工程”(46%)确定为最主要的向量. 其次是“杂项错误”和“系统入侵”(各占20%)。. 社会工程学主要利用“借口”进行欺诈性支付或资金转移, 和钓鱼, 哪个尝试获取凭据或访问可以安装恶意软件的系统. 其他错误是由于服务器配置错误,没有适当的访问控制. 而系统入侵则是利用在暗网上公开的凭证进行黑客攻击和恶意软件攻击,这些凭证从未改变过,也从未通过社会工程获得过.
有了这些知识, 以下是我们提出的四种策略,可以用来帮助限制访问或曝光.
1. 培训: 而十月份被指定为网络安全意识月, 勤奋不应止步于此. 教育学生, 教师, 工作人员, 关于如何识别网络钓鱼的管理非常有效. 然而, 对于那些继续被越来越复杂和专业的电子邮件“愚弄”的人,应该提供进一步的培训. 除了网络钓鱼培训, 负责处理付款或资金转移的员工需要接受针对金融目标攻击的特殊培训. 也, 应当对转移资金所需的工作流程和凭证进行审计. 说到工作流——服务器配置错误在攻击面中排名第二——实现正确的访问控制必须是数据中心运营工程师和研究IT团队的首要任务.
2. 多因素认证(MFA): MFA正在成为网络安全保险公司的标准要求. 几乎每个人在访问在线帐户时都使用过MFA, 对大学和学区来说也是如此, 您的Microsoft®或Google许可应包含此功能. 对于更高级的MFA功能,如有条件访问,您可能需要支付额外的许可费用. 使用MFA为坏人制造了一个必须跨越的额外障碍. 最终用户很幸运, 智能手机和平板电脑的普及使得最终用户很容易实现这一目标.
3. 特权: 在很多情况下, 一旦您对网络进行了身份验证,您就被置于VLAN中,并且期望防火墙将防止未经授权的访问. 这种结构是有问题的,应该用允许用户访问其角色所需的所有内容和资源的微分割策略来取代, 再也没有了. 类似于一艘游轮是如何被分隔的,这样船体的裂口就不会把整艘船都灌满水, 对用户进行微分割可以限制因帐户受损而造成的损害. 实施统一的网络策略,无论用户是否从校园Wi-Fi接入,都要对其实施微段规则, 以太网, 或VPN, 会减轻网络管理负担吗.
4. 安全体系结构: 传统上, 深度防御架构是保护数字资产最流行的范例. 在“城堡和护城河”的设计中,“城堡”里的每个人都被认为是“值得信任的”,而外面的人则被“护城河”隔离在外面,“护城河”可能包括防火墙, vpn, 以及其他技术. 不幸的是, 随着网络钓鱼的兴起和成熟, 这些值得信任的人实际上可能是不情愿的威胁载体. 另一个重新引起讨论和流行的架构是“零信任”。. 美国国家标准与技术研究所(NIST)已经发表了一些关于 零信任 以及如何实现它. 零信任架构与之前关于特权和访问的建议一致, 其根源在于验证设备或用户访问资源或网段的需求.
您可能想要查看的其他资源
在他们的社区和支持他们的组织中,教育工作者可以获得许多资源. EDUCAUSE是一个以利用信息技术促进高等教育为使命的非营利性协会. 该协会有社区团体,可以就网络安全进行点对点的对话, 网络管理, 隐私和无线网络. 该组织为教育工作者提供如何订阅免费服务的信息, 非营利组织, 政府)呼吁 Dorkbot 哪些可以帮助识别web应用程序中的高风险漏洞.
另一个有价值的资源是 科研与教育网络信息共享与分析中心 (REN-ISAC),通过促进网络安全运营保护和响应,为高等教育和研究界的650多家成员机构提供服务.
的 澳大拉西亚大学信息技术主任委员会 (CAUDIT)是另一个为教育工作者提供领导力的组织. 他们的高等教育参考模型是在进行数字化转型时考虑的有价值的文件. 另外, 他们的网络安全倡议帮助成员采用适当的风险概况,应对日益增长的网络安全威胁, 这样做的时候, 帮助保护澳大拉西亚大学的知识产权和声誉.
有关此主题的更多信息,请关注我即将发布的白皮书,该白皮书将分享阿尔卡特朗讯企业如何成为您纵深防御安全计划的一部分的见解. 它将专注于在网络边缘启用零信任架构, 包括物联网(物联网)设备, 客人, 和BYOD.