“后疫情+雙減時代”的教育信息化建設需求迅速提升,教育網和教育應用上云也正在從“有邊界”向“無邊界”轉變。然而,面對越來越趨于專業化、規模化的黑客組織攻擊,教育行業卻淪為挖礦病毒、勒索軟件、數據泄露的重災區。那么,如何找出一條“突圍”之路呢?
夾在威脅治理與安全合規之中的校園網
近年來,國家高度重視教育信息化、數字化、智能化發展工作,更是在教育信息化2.0行動計劃的推動下,在平臺搭建、資源整合、基礎設施建設、大數據應用等方面形成了全方位的教育模式變革和生態重構。然而,隨著網絡邊界的模糊化,暴露的攻擊面越來越多,防御手段的相對滯后,使得教育行業成為網絡攻擊選擇的理想目標。
深信服《2021上半年勒索病毒趨勢報告》和《2020年網絡安全態勢洞察報告》分別顯示,教育行業受勒索病毒感染比例達到44%,暗網事件中的數據泄露占比高達84.51%,皆創歷史新高。值得注意的是,挖礦病毒在攻擊目標選擇上,也瞄準了規模龐大、算力較強和疏于防范的教育大數據平臺、云平臺進行針對性攻擊。
上述數據和事件標明,教育行業正在遭到勒索軟件、暗網事件、挖礦病毒的“圍剿”,而其程度甚至可以 “重災區”來形容。與此同時,網絡安全等級保護2.0、《網絡安全法》、《數據安全法》、《個人信息保護法》密集出臺,一起組成與現行立法并駕齊驅的框架法,這對教育行業用戶來說,可謂喜憂參半。
喜的是,面對網絡攻擊者無時無刻、變化多端的滲透途徑,教育信息化創新的前提工作必須“合法、合規”,這給后續應用提供標準化的操作指南。憂的是,這讓夾在威脅治理與安全合規之中的一線人員“十分難受”。
首先,每所學校的安全建設都不可能一步到位,限于資金預算不足或政策性安全投入,每段時期或許都會增加不同用途的安全設備,但由于缺乏聯動機制,最后便形成安全設備的“簡單堆砌”。其次,由于缺乏專業人員,許多設備自驗收之后,很少有學校會再去優化安全設備的配置,無法面對實時變化的網絡威脅。最后,目前網絡安全技術分支越來越細,學校不可能招聘和短時間培養不同類型的網絡安全專技人才,這就讓許多安全制度、安全法規變成了“一紙空文”。
借力MSS低成本構建高階安全能力
網絡安全壓力逐年增加,但“錢少、沒人、缺技術”的現狀,讓教育用戶完全依賴自身的能力進行網絡安全管理已經分身乏術。那么,新思路、新方法又在哪兒呢?
實際上,在教育信息化建設中采用的 “購買服務”的形式由來已久,從早年的網絡鏈路、網站托管,到今天的考試數據分析、云服務、走班排課、雙師課堂、課后服務、運維外包等等。在這種情況下,教育行業用戶能否借鑒中小企業比較認可的托管式安全運營服務(MSS),持續提升風險抵御能力、化解安全壓力呢?
托管式安全運營服務(MSS)是將安全服務外包給具有先進專業知識和工具,并緊跟網絡安全最新趨勢的服務提供商,常見服務包括托管防火墻,入侵檢測,虛擬專用網,漏洞掃描和反病毒服務等等。而這項服務,不僅適用于企業和政府行業,對于教育用戶同樣有著強大的吸引力:
其一,由于MSSP(托管安全服務商)提供24×7全天候服務,因此學校也無需招聘專門的值守人員,甚至有的服務商還同時提供了更加專業化的防御設備,進而通過多種方式降低采購、運維、人力等成本;
其二,借助托管安全服務的外力,學校還能通過事件響應和事件調查服務,利用豐富的經驗來處理緊急的安全事件,并且把所有松散的工作整合起來,形成精密編排的流程;
其三,學校不僅可在檢測和修復漏洞方面實現合法、合規,更有益處形成與教育信息化發展相適應的、完備的網絡與信息安全保障體系。
如果說“低成本”是吸引大量教育用戶選擇MSS的一個因素,那么“更高級、高先進、更全面”的網絡安全管理能力,才是這筆投資最大的收益。
以教育行業近期正在加大力度整治的“挖礦病毒”為例:這項工作會涉及到網絡安全管理中的資產盤點、漏洞檢測、威脅發現、事件響應、追蹤溯源等環節,不僅包含流量探針、安全態勢感知與管控平臺的部署,更需要專業化的團隊對惡意樣本進行更加深入的研究,否則很難在短時間內精準定位深藏內網的木馬終端。
此外,隨著攻擊載體的發展、數據量增加,以及AI技術的加入,MSS的范疇和能力也得到了補充。在范疇方面,包括“隨需可得”的托管式運營能力,這些能力要能覆蓋學校網絡安全工作的主要核心場景,比如日常安全運營、實戰攻防運營、等保合規運營、勒索和挖礦清理等專項工作;在能力方面,比如深信服推出的“人機共智”,通過云平臺的集成,實現攻防專家、數據科學家和安全分析師和AI的協同,做到7*24持續監測,及時發現,達到更好的服務效果。
勒索專項運營
從“深大”案例看托管式安全服務的雙贏
隨著數據泄漏、勒索軟件和挖礦病毒事件不斷發生,各級教育用戶網絡安全防御方法皆在升級中,同時也出現了大量采用MSS實踐的優秀樣板,其中就包括深圳大學“向內發力,向外借力” 的標桿案例。
在明確引入MMS的需求之后,深圳大學與深信服合作,通過直接利用云端MSSP(托管式安全運營服務提供商)搭建的SOC(安全運營中心)快速擴展自身的安全能力。項目實施后,深圳大學打造出了“本地+云端”的安全團隊,通過技術平臺與自動化流程機制將兩級安全團隊緊密聯系在一起。一旦發現安全問題或威脅情報,云端團隊會第一時間進行研判驗證,迅速確定后續處置計劃,形成工單交由本地團隊進行處置,進而實現了7*24小時不間斷的專家級保障。
這種內外合力的建設方式,以更合適的投資獲得了專業級的安全保障效果。數據顯示,2021年上半年,深圳大學總共監測到50876129次有效攻擊,其中僅1月單月就監測到了13590808次攻擊,進行通報并封禁攻擊IP 291個,整體安全威脅處置率達到100%。
此外,深圳大學還結合對自身網絡安全需求和安全人才缺口的分析,形成了“實戰驅動”的網絡安全建設思路,并建立了多層次、有梯度的網絡安全人才隊伍和培養策略。在這方面,通過CISP資深工程師的針對性培訓,不僅網絡管理員獲得了安全實戰技能,同時還讓學校從中選拔出優秀者,加入深圳大學Aurora網絡安全戰隊,參加以CTF(Capture The Flag,奪旗賽)為代表的各類網絡安全競賽,實現了以賽促學、以賽促教、以賽促用的目標。
小結
隨著網絡安全威脅形勢變化日益加快,以及網絡安全人才缺口不斷加大,我們不難預判,教育信息化2.0時代的網絡安全建設重心將會發生改變。過去那種一次到位、大投入、設備“壘墻”的建設方式將很難適用,按需使用的MSS托管式安全運營服務將會得到了更多教育行業用戶的認可。
