“后疫情+雙減時(shí)代”的教育信息化建設(shè)需求迅速提升,教育網(wǎng)和教育應(yīng)用上云也正在從“有邊界”向“無(wú)邊界”轉(zhuǎn)變。然而,面對(duì)越來(lái)越趨于專業(yè)化、規(guī)模化的黑客組織攻擊,教育行業(yè)卻淪為挖礦病毒、勒索軟件、數(shù)據(jù)泄露的重災(zāi)區(qū)。那么,如何找出一條“突圍”之路呢?
夾在威脅治理與安全合規(guī)之中的校園網(wǎng)
近年來(lái),國(guó)家高度重視教育信息化、數(shù)字化、智能化發(fā)展工作,更是在教育信息化2.0行動(dòng)計(jì)劃的推動(dòng)下,在平臺(tái)搭建、資源整合、基礎(chǔ)設(shè)施建設(shè)、大數(shù)據(jù)應(yīng)用等方面形成了全方位的教育模式變革和生態(tài)重構(gòu)。然而,隨著網(wǎng)絡(luò)邊界的模糊化,暴露的攻擊面越來(lái)越多,防御手段的相對(duì)滯后,使得教育行業(yè)成為網(wǎng)絡(luò)攻擊選擇的理想目標(biāo)。
深信服《2021上半年勒索病毒趨勢(shì)報(bào)告》和《2020年網(wǎng)絡(luò)安全態(tài)勢(shì)洞察報(bào)告》分別顯示,教育行業(yè)受勒索病毒感染比例達(dá)到44%,暗網(wǎng)事件中的數(shù)據(jù)泄露占比高達(dá)84.51%,皆創(chuàng)歷史新高。值得注意的是,挖礦病毒在攻擊目標(biāo)選擇上,也瞄準(zhǔn)了規(guī)模龐大、算力較強(qiáng)和疏于防范的教育大數(shù)據(jù)平臺(tái)、云平臺(tái)進(jìn)行針對(duì)性攻擊。
上述數(shù)據(jù)和事件標(biāo)明,教育行業(yè)正在遭到勒索軟件、暗網(wǎng)事件、挖礦病毒的“圍剿”,而其程度甚至可以 “重災(zāi)區(qū)”來(lái)形容。與此同時(shí),網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0、《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》密集出臺(tái),一起組成與現(xiàn)行立法并駕齊驅(qū)的框架法,這對(duì)教育行業(yè)用戶來(lái)說(shuō),可謂喜憂參半。
喜的是,面對(duì)網(wǎng)絡(luò)攻擊者無(wú)時(shí)無(wú)刻、變化多端的滲透途徑,教育信息化創(chuàng)新的前提工作必須“合法、合規(guī)”,這給后續(xù)應(yīng)用提供標(biāo)準(zhǔn)化的操作指南。憂的是,這讓夾在威脅治理與安全合規(guī)之中的一線人員“十分難受”。
首先,每所學(xué)校的安全建設(shè)都不可能一步到位,限于資金預(yù)算不足或政策性安全投入,每段時(shí)期或許都會(huì)增加不同用途的安全設(shè)備,但由于缺乏聯(lián)動(dòng)機(jī)制,最后便形成安全設(shè)備的“簡(jiǎn)單堆砌”。其次,由于缺乏專業(yè)人員,許多設(shè)備自驗(yàn)收之后,很少有學(xué)校會(huì)再去優(yōu)化安全設(shè)備的配置,無(wú)法面對(duì)實(shí)時(shí)變化的網(wǎng)絡(luò)威脅。最后,目前網(wǎng)絡(luò)安全技術(shù)分支越來(lái)越細(xì),學(xué)校不可能招聘和短時(shí)間培養(yǎng)不同類型的網(wǎng)絡(luò)安全專技人才,這就讓許多安全制度、安全法規(guī)變成了“一紙空文”。
借力MSS低成本構(gòu)建高階安全能力
網(wǎng)絡(luò)安全壓力逐年增加,但“錢少、沒(méi)人、缺技術(shù)”的現(xiàn)狀,讓教育用戶完全依賴自身的能力進(jìn)行網(wǎng)絡(luò)安全管理已經(jīng)分身乏術(shù)。那么,新思路、新方法又在哪兒呢?
實(shí)際上,在教育信息化建設(shè)中采用的 “購(gòu)買服務(wù)”的形式由來(lái)已久,從早年的網(wǎng)絡(luò)鏈路、網(wǎng)站托管,到今天的考試數(shù)據(jù)分析、云服務(wù)、走班排課、雙師課堂、課后服務(wù)、運(yùn)維外包等等。在這種情況下,教育行業(yè)用戶能否借鑒中小企業(yè)比較認(rèn)可的托管式安全運(yùn)營(yíng)服務(wù)(MSS),持續(xù)提升風(fēng)險(xiǎn)抵御能力、化解安全壓力呢?
托管式安全運(yùn)營(yíng)服務(wù)(MSS)是將安全服務(wù)外包給具有先進(jìn)專業(yè)知識(shí)和工具,并緊跟網(wǎng)絡(luò)安全最新趨勢(shì)的服務(wù)提供商,常見(jiàn)服務(wù)包括托管防火墻,入侵檢測(cè),虛擬專用網(wǎng),漏洞掃描和反病毒服務(wù)等等。而這項(xiàng)服務(wù),不僅適用于企業(yè)和政府行業(yè),對(duì)于教育用戶同樣有著強(qiáng)大的吸引力:
其一,由于MSSP(托管安全服務(wù)商)提供24×7全天候服務(wù),因此學(xué)校也無(wú)需招聘專門的值守人員,甚至有的服務(wù)商還同時(shí)提供了更加專業(yè)化的防御設(shè)備,進(jìn)而通過(guò)多種方式降低采購(gòu)、運(yùn)維、人力等成本;
其二,借助托管安全服務(wù)的外力,學(xué)校還能通過(guò)事件響應(yīng)和事件調(diào)查服務(wù),利用豐富的經(jīng)驗(yàn)來(lái)處理緊急的安全事件,并且把所有松散的工作整合起來(lái),形成精密編排的流程;
其三,學(xué)校不僅可在檢測(cè)和修復(fù)漏洞方面實(shí)現(xiàn)合法、合規(guī),更有益處形成與教育信息化發(fā)展相適應(yīng)的、完備的網(wǎng)絡(luò)與信息安全保障體系。
如果說(shuō)“低成本”是吸引大量教育用戶選擇MSS的一個(gè)因素,那么“更高級(jí)、高先進(jìn)、更全面”的網(wǎng)絡(luò)安全管理能力,才是這筆投資最大的收益。
以教育行業(yè)近期正在加大力度整治的“挖礦病毒”為例:這項(xiàng)工作會(huì)涉及到網(wǎng)絡(luò)安全管理中的資產(chǎn)盤點(diǎn)、漏洞檢測(cè)、威脅發(fā)現(xiàn)、事件響應(yīng)、追蹤溯源等環(huán)節(jié),不僅包含流量探針、安全態(tài)勢(shì)感知與管控平臺(tái)的部署,更需要專業(yè)化的團(tuán)隊(duì)對(duì)惡意樣本進(jìn)行更加深入的研究,否則很難在短時(shí)間內(nèi)精準(zhǔn)定位深藏內(nèi)網(wǎng)的木馬終端。
此外,隨著攻擊載體的發(fā)展、數(shù)據(jù)量增加,以及AI技術(shù)的加入,MSS的范疇和能力也得到了補(bǔ)充。在范疇方面,包括“隨需可得”的托管式運(yùn)營(yíng)能力,這些能力要能覆蓋學(xué)校網(wǎng)絡(luò)安全工作的主要核心場(chǎng)景,比如日常安全運(yùn)營(yíng)、實(shí)戰(zhàn)攻防運(yùn)營(yíng)、等保合規(guī)運(yùn)營(yíng)、勒索和挖礦清理等專項(xiàng)工作;在能力方面,比如深信服推出的“人機(jī)共智”,通過(guò)云平臺(tái)的集成,實(shí)現(xiàn)攻防專家、數(shù)據(jù)科學(xué)家和安全分析師和AI的協(xié)同,做到7*24持續(xù)監(jiān)測(cè),及時(shí)發(fā)現(xiàn),達(dá)到更好的服務(wù)效果。
勒索專項(xiàng)運(yùn)營(yíng)
從“深大”案例看托管式安全服務(wù)的雙贏
隨著數(shù)據(jù)泄漏、勒索軟件和挖礦病毒事件不斷發(fā)生,各級(jí)教育用戶網(wǎng)絡(luò)安全防御方法皆在升級(jí)中,同時(shí)也出現(xiàn)了大量采用MSS實(shí)踐的優(yōu)秀樣板,其中就包括深圳大學(xué)“向內(nèi)發(fā)力,向外借力” 的標(biāo)桿案例。
在明確引入MMS的需求之后,深圳大學(xué)與深信服合作,通過(guò)直接利用云端MSSP(托管式安全運(yùn)營(yíng)服務(wù)提供商)搭建的SOC(安全運(yùn)營(yíng)中心)快速擴(kuò)展自身的安全能力。項(xiàng)目實(shí)施后,深圳大學(xué)打造出了“本地+云端”的安全團(tuán)隊(duì),通過(guò)技術(shù)平臺(tái)與自動(dòng)化流程機(jī)制將兩級(jí)安全團(tuán)隊(duì)緊密聯(lián)系在一起。一旦發(fā)現(xiàn)安全問(wèn)題或威脅情報(bào),云端團(tuán)隊(duì)會(huì)第一時(shí)間進(jìn)行研判驗(yàn)證,迅速確定后續(xù)處置計(jì)劃,形成工單交由本地團(tuán)隊(duì)進(jìn)行處置,進(jìn)而實(shí)現(xiàn)了7*24小時(shí)不間斷的專家級(jí)保障。
這種內(nèi)外合力的建設(shè)方式,以更合適的投資獲得了專業(yè)級(jí)的安全保障效果。數(shù)據(jù)顯示,2021年上半年,深圳大學(xué)總共監(jiān)測(cè)到50876129次有效攻擊,其中僅1月單月就監(jiān)測(cè)到了13590808次攻擊,進(jìn)行通報(bào)并封禁攻擊IP 291個(gè),整體安全威脅處置率達(dá)到100%。
此外,深圳大學(xué)還結(jié)合對(duì)自身網(wǎng)絡(luò)安全需求和安全人才缺口的分析,形成了“實(shí)戰(zhàn)驅(qū)動(dòng)”的網(wǎng)絡(luò)安全建設(shè)思路,并建立了多層次、有梯度的網(wǎng)絡(luò)安全人才隊(duì)伍和培養(yǎng)策略。在這方面,通過(guò)CISP資深工程師的針對(duì)性培訓(xùn),不僅網(wǎng)絡(luò)管理員獲得了安全實(shí)戰(zhàn)技能,同時(shí)還讓學(xué)校從中選拔出優(yōu)秀者,加入深圳大學(xué)Aurora網(wǎng)絡(luò)安全戰(zhàn)隊(duì),參加以CTF(Capture The Flag,奪旗賽)為代表的各類網(wǎng)絡(luò)安全競(jìng)賽,實(shí)現(xiàn)了以賽促學(xué)、以賽促教、以賽促用的目標(biāo)。
小結(jié)
隨著網(wǎng)絡(luò)安全威脅形勢(shì)變化日益加快,以及網(wǎng)絡(luò)安全人才缺口不斷加大,我們不難預(yù)判,教育信息化2.0時(shí)代的網(wǎng)絡(luò)安全建設(shè)重心將會(huì)發(fā)生改變。過(guò)去那種一次到位、大投入、設(shè)備“壘墻”的建設(shè)方式將很難適用,按需使用的MSS托管式安全運(yùn)營(yíng)服務(wù)將會(huì)得到了更多教育行業(yè)用戶的認(rèn)可。
