3 个关键要点
- 网络钓鱼的威胁比学校意识到的要大: 仅有 27% 的学区认为网络钓鱼具有高风险,但这是黑客攻击 K-12 学校的主要方式,将学生、教职员工和数据置于危险之中。
- 意识和验证是关键: 教导学校工作人员识别网络钓鱼电子邮件,并通过电话或短信(而不是电子邮件)验证可疑请求,以避免遭受复杂的攻击。
- 使用免费工具和抗性 MFA: Microsoft 365 和 Google Workspace 等平台具有内置的捕获网络钓鱼的功能,而 PassKeys 等防网络钓鱼 MFA 可以阻止黑客,即使他们窃取了凭据。
网络钓鱼对K-12学校构成重大威胁,尤其是在许多学校缺乏预算或人员来正面应对的情况下。在第六期闪电聊天中,Lightspeed Systems首席信息安全官John Genter和首席应用程序安全架构师Brad White共同探讨了K-12学校网络钓鱼问题。凭借30多年的网络安全合作经验以及与教育界的深厚渊源(John曾担任学校董事会成员22年,Brad来自教师世家),他们阐述了为什么网络钓鱼比大多数学校想象的更为严重,并分享了实用且低成本的应对方法。
学校是网络钓鱼的更大目标,比你想象的要大
约翰首先从一位 CoSN报告: “只有 27% 个学区将网络钓鱼视为高风险。” 这是一个很大的失误,尤其是考虑到网络安全和基础设施安全局 (CISA) 的说法:“恶意网络行为者正将目标锁定在全国各地的 K-12 教育机构,这可能会对学生、他们的家庭、教师和管理人员造成灾难性的影响。” Brad 对此表示赞同,并说道:“由于多种原因,K-12 相对来说是一个容易被攻击的目标。” 为什么呢?具体原因如下:
- 预算紧张: 学校通常无力购买一流的网络安全工具。
- 小型 IT 团队: 人手越少,就越难控制威胁。
- 错误观念: 很多人认为学校不值得攻击,但黑客知道学校很容易成为攻击目标。
John 分享了一个真实案例:“仅在过去几周,我们就发现有五个客户账户被盗,试图对 Lightspeed 员工进行网络钓鱼攻击。” Brad 解释了这些攻击的工作原理:“威胁者使用复杂的中间人攻击……窃取用户的用户名、密码以及会话令牌,即使他们使用了 MFA。” 这些攻击可以攻击任何人——IT 人员、教师等等——如果标准的多因素身份验证 (MFA) 并非专为阻止网络钓鱼而设计,攻击者甚至可以绕过它。
轻松、免费的方式,保护学校免受网络钓鱼攻击
John 和 Brad 的观点很明确:无需投入巨额预算即可开始打击网络钓鱼。提高意识是第一步。Brad 简而言之:“成本最低的办法就是提高意识。确保你的用户知道他们是网络钓鱼攻击的目标,并应对意外收到的邮件格外小心。” John 对此提出了一个朗朗上口的说法,他引用了罗纳德·里根的名言:“信任但要核实”,或者更好的说法是“不要回复,要核实”。他们的建议包括:
- 仔细检查奇怪的电子邮件: 如果一封电子邮件要求你做一些奇怪的事情,比如点击链接,请不要回复。应该给发件人打电话或发短信。Brad 警告说:“我们见过威胁行为者控制发件人邮箱的情况。”
- 让每个人都参与进来: 从校长到管理员,确保所有员工都知道他们可能成为攻击目标,并且知道网络钓鱼是什么样的。
锁定事物的技术技巧
在技术方面,他们力推抗网络钓鱼的 MFA。Brad 表示,常见的 MFA 方法,例如短信验证码或应用通知,“可能会被中间人攻击窃取”。相反,应该选择“基于 FIDO 的令牌,例如 UVKeys 或 PassKeys……例如 Windows Hello”。John 补充道:“即使是基本的 MFA 也比没有强”,但抗网络钓鱼的 MFA 才是关键。他们还提到了 Microsoft 365 或 Google Workspace 等平台中的免费工具:
- 留意日志: 检查奇怪的电子邮件规则,例如被标记为已读并移动到隐藏文件夹的消息,或从奇怪的地方登录。
- 保持警惕,防范偷袭: 布拉德指出,“一旦获得访问权限,他们就会观察用户的行为……并在附近放置一台机器”,这使得发现未经授权的登录变得困难。
使用最小权限限制网络钓鱼损害
另一个重要想法是限制访问权限,以减少黑客入侵造成的损失。布拉德说:“不要自动授予他们所有访问权限。让他们访问他们需要的内容。” 约翰将其比作潜艇:“即使某个部件出现漏洞……也不会导致整艘潜艇沉没。” 具体做法如下:
- 提供足够的访问权限: 在 Office 365 或 Google Workspace 中,只允许员工使用他们需要的工具,例如电子邮件或 Word,而不是 SharePoint 或 Teams。
- 随时调整: 如果某人的工作发生变化,请更新他们的访问权限以确保安全,而不会减慢他们的速度。
短期、频繁的培训胜过冗长的讲座
别再每年一次长达一小时的培训课程了。约翰和布拉德表示,简短、定期的提醒效果更好。约翰分享了Lightspeed如何在他们的新闻通讯中推出“每周小贴士”,布拉德也赞同“更短、更定期的沟通”来保持每个人的警觉。他们建议:
- 每周更新: 发送带有真实示例的快速电子邮件,例如“这是现在发生的事情......这里有一些其他 K-12 组织的链接遭到入侵。”
- 使报告变得简单: 鼓励员工快速标记奇怪的电子邮件,不要评判。
总结:警惕网络钓鱼
Brad 的最后发言直截了当:“一定要确保你的用户意识到他们是网络钓鱼的目标。他们肯定是网络钓鱼的目标,保证,100%。” 他主张对非学生账户使用密钥,因为密钥在大多数设备上都能使用。John 建议查看 CoSN 报告和 CISA 网站以获取更多建议。
网络钓鱼不仅仅是大公司面临的问题,它对学校的打击也十分严重。通过传播安全意识、使用防网络钓鱼的 MFA 以及利用免费工具,学校可以大幅降低风险。正如 John 和 Brad 在闪电聊天第六集中所展示的那样,一些明智且低成本的措施可以保护学生、教职员工和数据安全。 观看完整剧集 并保持警惕!
