Висшите учебни заведения са изправени пред постоянен поток от кибератаки. След инцидент през 2015 г. Кевин Моруни - бивш заместник-проректор по информационните технологии в държавния университет в Пенсилвания - каза пред The ​​New York Times че щат Пен преживява средно 20 милиона атаки на ден, сума, „типична за изследователски университет“.

Започвайки с малка извадка от финансовите ефекти, които подобни заплахи могат да имат, фирмата за цифрова криминалистика и киберсигурност LIFARS оценява в доклад за 2016г че атаките Spear Phishing - предназначени да проникнат в организация и да откраднат чувствителна информация, често по имейл - струват на бизнеса средно 1,8 милиона долара на инцидент. В доклад за 2017 г. , Cybersecurity Ventures прогнозира, че атаките, включващи Ransomware - които заплашват да откраднат, блокират или публикуват данни на жертвата, освен ако не бъде платен откуп - ще доведат до щети от около 5 милиарда долара през 2017 г., спрямо 325 милиона долара през 2015 г.

Висшето образование е имало най-висок процент на атаки на рансъмуер сред всички индустрии, изследвани в доклад за 2016 г., публикуван от BitSight (компания за управление на кибер рискове) и втората най-висока степен в Доклад за 2017 г. на BitSight . Съответно университетите работят денонощно, за да укрепят защитата си срещу тези стръмни потенциални загуби. Както заяви Ким Милфорд, изпълнителен директор на Центъра за споделяне и анализ на информация в областта на научните изследвания и образованието в Университета в Индиана парче от 2016г написано от Центъра за дигитално образование, университетите сега са „затворени в скъпа надпревара във въоръжаването“, докато изследват нови начини както за борба със сегашните атаки, така и за опит да останат на крачка пред атаките, които предстоят. Независимо дали кибератаките са успешни, казва Милфорд, те представляват скъп и постоянно актуален проблем, на който университетите са принудени да се занимават.

Може би дори по-значителни от потенциалните финансови загуби, кибератаките представляват сериозна заплаха за репутацията на университета и безопасността на неговите студенти.

Но рисковете, породени от кибератаките, се простират отвъд финансовите загуби за света от по-високо ниво. Всъщност в колежите и университетите се съхраняват огромен обем чувствителни данни, от номера на социално осигуряване на студентите до ценна интелектуална собственост, която, ако бъде открадната или компрометирана, може да причини значителни щети далеч извън стените на академията. Може би дори по-значими от гореспоменатите потенциални финансови загуби, кибератаките представляват сериозна заплаха за репутацията на университета и безопасността на неговите студенти.

Въпреки че заплахите постоянно се развиват, колежите и университетите трябва да продължат да инвестират както в таланта, така и в инфраструктурата, необходима за посрещане на предизвикателствата в областта на киберсигурността в бъдеще. Тази статия допълнително ще подчертае значението на развитието на експертни познания по киберсигурност за висшите училища и ще предложи стратегии за справяне с тези предизвикателства. Започвайки с проучване защо колежите и университетите са уникално уязвими от кибератаки, ние ще се опитаме да разберем стратегиите, които атакуващите използват, за да използват тези уязвимости и да стигнем до набор от препоръки, предназначени за по-добро оборудване на колежите и университетите за справяне с кибер заплахите в бъдеще.

Защо висшето образование е уязвимо?

Докато на практика всяка голяма индустрия е изправена пред значителни предизвикателства в областта на киберсигурността, висшето образование е особено уязвимо по редица основни причини.

Човек е свързан с уникалната култура на академичните среди, която се гордее със степен на откритост и прозрачност, които липсват в повечето индустрии. Както Фред Кейт, директор на Университетския център за приложни изследвания в киберсигурността в Индиана, артикулира в статия от UniversityBusiness от 2013 г. , колежите и университетите са фокусирали исторически усилията си, за да се уверят, че „нашият преподавател и нашите студенти, нашата общественост и нашите дарители [могат] да се свържат доста лесно с нас“. Това направи компютърните мрежи в колежа и университета, се казва в статията, „толкова отворени и привлекателни, колкото и техните кампуси“.

Друга причина е свързана с историята - по-конкретно колко дълго колежите и университетите са онлайн. Алекс Хайд, главен изследовател в SecurityScorecard (трета страна компания за управление на риска) каза в статия от EducationDIVE от 2016 г. че университетите винаги са били първостепенни цели за кибератаки до голяма степен, защото „университетите бяха едно от първите места, които имаха достъп до интернет, а с достъпа до интернет имате хора, които се опитват да видят докъде може да стигне това.“ Поради наличието на достъп до интернет от относително дълго време, колежите и университетите отдавна са видими цели и поради това техните слабости вероятно са много добре познати и разбрани от кибератаките.

Кибератаките използват съвременни технологии и методи, за да използват университетските системи, които в някои случаи са ужасно остарели и надминат.

Тъй като колежите и университетите бяха толкова рано в приемането на цифрови инструменти и интерфейси (и в резултат на финансови и други практически проблеми), много висши учебни заведения все още разчитат на стари системи, които са особено уязвими на атаки. „Много от колежите използват неща, написани преди години“, каза Хайд в гореспоменатата статия. Казано по-просто, кибератаките използват модерни технологии и методи, за да използват университетските системи, които в някои случаи са ужасно остарели и надминат.

присъщата ефективност на обработката с голям обем на по-големи компютри се нарича _____.

По-конкретно, университетските ИТ системи често се характеризират с децентрализирана и, според Хайд, случайна конструкция, която нападателите могат лесно да използват. В 2017 публикация в блога за фирмата за управление на риска от данни и софтуерната фирма Code42, Ашли Джарош отбелязва, че макар че от оперативна гледна точка може да има смисъл отделните отдели да работят в собствените си ИТ структури (астрофизическият факултет на университета вероятно ще има различни технологични нужди от университетските например литературен отдел), този вид настройка на части създава ясни уязвимости в сигурността на информацията. „В дузина (или десетки) отдели има голяма вероятност поне един да има някаква комбинация от остарели устройства и непоправена операционна система, неадекватно филтриране на имейли и AV, дефектно архивиране на данни или недостатъчно обучение и политика на потребителите“, пише Ярош.

Въпреки че не е проблем, специфичен за висшето образование, недостигът на таланти за киберсигурност представлява значителна пречка, която колежите и университетите трябва да преодолеят, за да се справят с гореспоменатите проблеми. A скорошно проучване проведено от консултантска фирма Frost & Sullivan проекти, че до 2020 г. ще има 1,8 милиона незапълнени работни места в киберсигурността и че този недостиг на таланти съществува в световен мащаб, като близо 70 процента от професионалистите в световен мащаб казват, че има твърде малко служители по киберсигурност. Тъй като търсенето на таланти за киберсигурност далеч надхвърля предлагането, компаниите често плащат най-висок долар за експертиза в областта на киберсигурността. Това вероятно поставя колежите и университетите в сериозно неравностойно положение, когато се опитват да привлекат такъв талант от високоплатените работни места в частния сектор в Alphabet, Facebook и други подобни.

С разбирането на причините, лежащи в основата на уязвимостите на киберсигурността на висшето образование, вече можем да проучим начините, по които тези уязвимости се използват.

Как атакуващите използват уязвимости

Подлите актьори използват разнообразен набор от тактики и инструменти при стартиране на кибератаки. Два от най-често срещаните подобни методи са посочени по-долу. Въпреки че този списък по никакъв начин не е изчерпателен, нито уникален за колежите и университетите, той ще даде по-добро разбиране за това как точно хакерите се стремят да се възползват от пропуските в киберсигурността и ще се окаже полезен при преценката как най-добре да се спрат подобни атаки напред.

SQL инжекции: Описано от някои като „може би най-сериозният проблем, с който се сблъскват уеб приложенията“, SQL Injections (SQLi) са с прости думи атаки, предназначени да заобиколят защитата с парола чрез използване на базите данни, които са в основата на определени приложения. SQL (Standard Query Language) е език, който управлява и комуникира с бази данни. SQL инжекциите работят чрез използване на слабости в кода, лежащ в основата на страниците за въвеждане (като например страници за потребителско име и парола, например) и принуждаване на дадена база данни да връща чувствителна информация. Например, когато се сблъска със страница за вход за потребителско име и парола, нападателят може да въведе („инжектира“) част от SQL кода в секцията за парола. Ако кодът на основната база данни е уязвим, този SQL код може да модифицира основната база данни и да принуди приложението, което базата данни контролира, да позволи достъп на хакера.

Колежите и университетите разполагат с безброй онлайн приложения, защитени с парола, от доклади за студентски клас до информация за заетост на преподаватели, които теоретично биха могли да бъдат разделени чрез използване на SQL инжекции. Една такава атака за висшето образование дойде през февруари 2017 г., когато руска хакерска или хакерска група използва SQL Injections, за да открадне данни от десетки американски колежи и университети, включително Корнелския университет и Нюйоркския университет. Докато висшите учебни заведения продължават да имат слабости, записани в техните бази данни, SQL инжекциите вероятно ще останат често срещани и твърде лесни за използване от хакерите.

Фишинг: Както бе споменато в началото на тази статия, фишинг атаките се характеризират с имейли или уеб страници, които са предназначени да заблудят потребителите да въвеждат чувствителни данни, като пароли или информация за кредитни карти. Службата за информационна сигурност на университета в Принстън осигурява полезен преглед за това как обикновено се проявяват такива атаки:

„Обикновено фишингът изпраща имейл съобщение до голяма група лица, чиито адреси е заснел от адресни книги и уебсайтове в интернет. Съобщението, обикновено добре изработено и официално изглеждащо, може да твърди, че е от финансова институция, доставчик на услуги или друга организация, позната от получателя ... Често получателят е помолен да предостави информацията, като щракне върху връзка към уебсайт в имейлът. Но докато връзката към уебсайта може да изглежда легитимна, показваната връзка не е непременно действителният сайт, който посещавате, когато кликнете върху него. '

30 процента от потребителите в образователната индустрия са си паднали по фишинг измами, представящи се за корпоративни комуникации, двойно повече от общото население през последната година.

Атаките с фишинг могат да имат широк спектър от крайни цели, от кражба на потребителски данни до инсталиране на рансъмуер на компютъра на жертвата и извличане на финансово плащане. Въпреки че тези атаки може да изглеждат очевидни и лесни за избягване, проучванията показват че значително мнозинство от предприятията са били жертви на фишинг измами. Образователната индустрия се оказа особено податлива, тъй като Wombat Security - софтуерна компания, посветена на подпомагане на компании в борбата с фишинг атаките - се намира в доклад за 2017 г. че 30 процента от потребителите в образователната индустрия са кликнали върху фишинг измами, представящи се за корпоративни комуникации, удвоявайки процента на общото население през последната година.

Въпреки че споменатите по-горе тактики се оказаха ефективни, ще видим, че те могат да бъдат предотвратени.

Как да предотвратим атаки: По-добър код и по-голяма бдителност

Съществуват редица стратегии за борба с кибератаките, описани по-горе. Някои включват стратегии, които ИТ специалистите във висшето образование трябва да използват сами, докато други включват стратегии, които всички в общността на висшето образование, включително крайните потребители, трябва да прилагат:

Спиране на SQLi атаки чрез подготвени отчети, съхранени процедури и проверка на входа

Много е писано за това как да се предотвратят SQL Injection атаки и консенсусът е, че това всъщност може да не е особено трудно. Проектът за отворена защита на уеб приложения (OWASP) предоставя преглед на това как да се избегнат SQLi атаки . OWASP цитира три основни стратегии за това:

Изготвени изявления : Колежите и университетите трябва да изграждат своите бази данни с изготвени изявления. Както казва OWASP, „Подготвените отчети гарантират, че нападателят не е в състояние да промени намерението на заявката, дори ако командите на SQL са вмъкнати от нападател.“ По същество подготвените отчети могат да направят SQL командите, представящи се за входни данни на потребителя (потребителски имена и пароли), безсилни.

Съхранени процедури : Според OWASP, съхранените процедури могат да имат същия ефект като подготвените отчети, като основната разлика е, че „SQL кодът за съхранена процедура се дефинира и съхранява в самата база данни и след това се извиква от приложението“. Като OWASP и други са написали, съхранени процедури не винаги са подходящи за защита срещу SQLi атаки, но представляват жизнеспособна опция за колежи и университети, когато са написани и внедрени правилно.

Проверка на входа : SQL инжекционните атаки използват приложения и бази данни, които не препращат и валидират въведените данни. Следователно логичната стъпка към предотвратяването на тези атаки е да се гарантира, че базата данни, която се изгражда, изисква проверка на входните данни. Microsoft също цитира проверка на входа като ключова техника за избягване на SQLi атаки в рамките на своя модел за уеб разработка ASP.net.

Предотвратяване на фишинг чрез обучение и повишено подозрение

За разлика от предотвратяването на SQLi атаки, което може да се направи чрез вътрешни технически поправки, предотвратяването на фишинг измами разчита до голяма степен на крайните потребители - преподаватели, персонал и студенти. Има няколко стъпки, които колежите и университетите трябва да предприемат, за да гарантират, че всички крайни потребители остават бдителни:

Имейл филтри: Като начална, проста стъпка, колежите и университетите трябва да настроят имейл филтри, които изпращат подозрителни не-университетски имейли до папката за нежелана поща на потребителя. Въпреки че това далеч не е надеждна корекция, това е важна първа стъпка, която може да попречи на злонамерените имейли да достигнат целите си.

Кампании за обучение и осведоменост: Колежите и университетите трябва да изискват от крайните потребители да преминат през обучение, което обхваща какво е фишинг и как да го разпознаят. Има компании, посветени на предоставянето на тази услуга и висшите учебни заведения трябва да са готови да инвестират времето и ресурсите, необходими за правилното обучение на своите факултети и служители. Като статия в сп. Infosecurity посочва, че това обучение трябва да се повтаря сравнително редовно и да излага потребителите на разнообразен набор от фишинг атаки. Предоставяне на примери за реални атаки и създаване на хранилище за такива атаки, както направи Принстънският университет със своите „ Phish Bowl ”Също може да повиши осведомеността.

„Обучението на нашите клиенти по отношение на безопасни изчисления носи едно от най-големите изплащания.“

Саси Пилай, вицепрезидент по информационните технологии и главен информационен директор във Вашингтонския държавен университет, казва, че той и неговият екип провеждат ежегоден месец за повишаване на осведомеността относно киберсигурността и са се стремили да създадат обща „култура на кибер-осведоменост“ за борба с фишинга - номерът на университета един проблем с киберсигурността. „Обучението на нашите клиенти по отношение на безопасни изчисления носи едно от най-големите изплащания“, казва Пилай.

Въпреки че изброените по-горе стратегии не са изчерпателни и може да не предотвратят всяка атака, те представляват относително прости стъпки, които могат да донесат значителни ползи в борбата на висшето образование срещу потенциалните кибер заплахи.

Ключовете за сигурно бъдеще

Разбирането на уязвимостите, как работят често срещаните кибератаки и как да се предотвратят подобни атаки е от основно значение за създаването на по-сигурно - и финансово стабилно - бъдеще за висшето образование. И все пак кибер заплахите непрекъснато се развиват и няма гаранция, че заплахите, с които се сблъскват днес (и стратегиите за тяхното смекчаване) ще наподобяват тези, които ще продължат напред.

За Sasi Pillay дългосрочното решение за киберсигурност трябва да включва фундаментални промени в начина на писане и проектиране на софтуера.

„Моята мечта, дългосрочна визия е да мога да правя сигурни компютри в компрометирана среда“, казва Пилай. „Това, което трябва да направим, е да променим значително начина, по който пишем софтуер днес. Разработката на софтуер трябва да бъде укрепена, така че хората да вземат под внимание рисковете за сигурността и експозициите. '

Друг ключ за посрещане на бъдещите предизвикателства в областта на киберсигурността, споменат за кратко в тази статия, е наемането на стабилен, стабилен екип от експерти в тази област. Това, разбира се, е по-лесно да се каже, отколкото да се направи, тъй като университетският бюджет е ограничен и талантът е оскъден. Все пак има редица начини за заобикаляне на този проблем, включително наемане на експерти на свободна практика и желаещи да работят отдалечено.

Въпреки че предизвикателствата пред киберсигурността, пред които е изправено висшето образование, са големи и разходите за тяхното решаване са големи, потенциалните финансови и репутационни рискове, които идват при недостатъчна защита, вероятно са дори по-високи. Институциите от целия свят на висшето образование могат да открият, че ефективните решения за киберсигурност в крайна сметка могат да си платят.