学讯热议

学校网络安全战:从应对攻击到建立韧性的文化转变

作者:艾伦·乌尔曼2025年09月06日
学校网络安全战:从应对攻击到建立韧性的文化转变

布兰登·盖贝尔原本以为2024年1月的一个早晨,他会在早上5:45醒来,开始一个普通的远程工作日。但到了上午8:30,他却不得不匆忙赶到办公室,同时还要接听来自联邦调查局、亚利桑那州国土安全部和保险公司的电话。他的学区刚刚成为席卷全国的网络攻击浪潮中的最新受害者。

“他们在我们的网络里待了几个小时,然后我切断了VPN [虚拟专用网络],把他们赶了出去,”亚利桑那州阿瓜弗里亚联合高中学区的技术总监盖贝尔说道。多亏了包括CrowdStrike在内的州政府资助的网络安全工具来处理端点保护和响应(EDR),攻击者才空手而归。

盖贝尔大约五个月前就创建了一个事件响应计划。当攻击发生时,他们就启动了这个计划。尽管如此,这次差点酿成的事故凸显了一个令人清醒的现实:学校现在是数字战争的战场。

根据非营利组织互联网安全中心2025年的MS-ISAC K-12网络安全报告:教育与社区韧性的结合,82%的报告学校在2023年7月至2024年12月期间遭遇了网络事件,确认的事件超过9300起。曾经被认为是企业问题的事情,已经变成了每个学区的噩梦。

从操场到战场

不久前,学校遇到的最糟糕的数字麻烦是笔记本电脑坏了或Wi-Fi信号慢。而今天,风险是关乎生存的。学区掌握着数千名儿童和家庭的敏感数据,包括地址、医疗信息,甚至用餐付款的财务记录。这些被盗数据可以用于身份盗窃、欺诈或勒索。儿童尤其容易受到攻击,因为被泄露的身份可能多年都未被发现。此外,数据泄露还会对学区造成声誉和财务损失。所有这些都使得学区成为有利可图的目标。

现在已经不是非洲王子了。有了人工智能,钓鱼邮件看起来现在很像真的。—— Chantell Manahan,印第安纳州斯图本县MSD

“现在已经不是非洲王子了,”印第安纳州斯图本县MSD的技术总监Chantell Manahan说道。“有了人工智能,钓鱼邮件看起来现在很像真的。”

教师们现在面临着一个令人不安的任务,要评估他们收到的来自校长的电子邮件是否真实——还是一个精心伪装的陷阱。

康涅狄格州南温莎公立学校的技术总监道格·库图尔直言不讳地说:“生成式人工智能已经将钓鱼邮件武器化了。即使是经验丰富的员工也无法总是分辨出真假。”

人为防火墙

随着威胁的演变,各学区正在发现,第一道防线不是软件,而是人。培训教师、行政人员、员工和学生发现危险,变得与练习防火演习或封锁程序一样重要。

Manahan 记得她的一个员工差点点击了一个恶意链接,这个链接看起来像是来自亚马逊礼品卡的例行优惠。她推断,如果一个经验丰富的技术员工都会被骗,那么每个人都面临风险。

从那以后,她的学区将培训重新定义为全学区的责任。“我们已经授权每个教育者成为数字卫士,”她说。技术人员通过Udemy完成课程;所有员工都可以访问KnowBe4课程和CyberNut培训。 Manahan 还希望在本学年为高中生提供CyberNut(一个数字素养和网络安全计划,教导学生如何识别在线威胁、保护他们的个人信息并养成安全的技术习惯)。

其他学区发现激励措施很重要。库图尔的团队会向报告可疑电子邮件的员工分发瑞典鱼糖。“培训不应该让人觉得受到惩罚,”他说。“它应该奖励人们的警惕性。”

这些小举动会产生连锁反应。报告可疑电子邮件变成了一种骄傲,而不是一种惩罚。捍卫学校网络的行为变成了一种共同的文化,而不是IT部门一项吃力不讨好的任务。

小型学区面临困境

然而,并非所有学区都带着同样的武器参加这场战斗。较富有或较大的系统可以负担得起更大的技术团队和先进的防御措施;而较小的社区通常无法做到这一点。

在马萨诸塞州的梅德韦,理查德·鲍彻负责学校和城镇的IT。“我的网络工程师和我在网络防御上花费了每天一半以上的时间,”鲍彻说。他们的分层防御系统包括Sophos管理的端点保护和响应、托管检测和响应、网络检测和响应、人工智能驱动的电子邮件过滤、持续的供应商监控和定期的渗透测试。在一次未经宣布的第三方软件渗透测试中——IT部门假装入侵自己的系统——Sophos在短短两分钟内就打来了电话——证明了警惕是有回报的。

但鲍彻承认他们的系统之所以有效,是因为仔细的优先排序和大量的当地投资。对于许多学区来说,这些资源是遥不可及的。这就是州级合作发挥作用的地方。

印第安纳州教育部通过当地大学提供免费的网络安全评估,并附有领导者可以与董事会和家长分享的建议。亚利桑那州国土安全部的全州网络准备计划提供CrowdStrike许可证、高级端点保护、反钓鱼/安全意识培训等。

“如果没有这个计划,我们永远也无法拥有我们拥有的保护,”盖贝尔说。“我们负担不起。”

将网络安全作为一种文化

仅靠技术无法赢得这场战斗。取得最大进展的学区正在将网络安全重新定义为一个文化问题,而不是一个技术清单。

艾米·麦克劳林领导着学校网络联盟或CoSN的网络安全项目,她更喜欢“网络安全”这个术语。她认为,语言很重要,因为它让每个人——不仅仅是IT人员——都负有责任。“我们都知道锁上学校大门的规章制度。这就是电子版,”她说。

这种文化框架为创造性的参与打开了大门。在印第安纳州,Manahan 会向报告可疑电子邮件最多的员工赠送CyberNut袜子和“钓鱼”笔。她的学校董事会在网络安全宣传月收到了标有“不要上当”的金鱼饼干。

印第安纳州芒特弗农MSD的信息系统总监威廉·斯坦向正确识别虚假钓鱼邮件的员工发送饼干,并为在个人帐户上启用多因素身份验证 (MFA) 的员工举办“双因素星期二”抽奖活动。库图尔试图让他的关于网络警惕性的信息变得幽默,就像他曾经在一封电子邮件中使用“邪恶的坏蛋”这个词一样。

讲故事是另一种强大的工具。斯坦在他的网络短片网站上分享了真实攻击的简短叙述,使抽象变得具体。“人们记住故事比规章制度更多,”他说。

自满的代价

对于所有复杂的新工具,专家们一致认为,基础知识往往是最薄弱的环节。修补或更新过时的系统、修复已知的软件漏洞、审计帐户、强制使用强密码和强制 MFA 在攻击开始之前就阻止了很大一部分攻击。

关注最大的风险。高达 40% 的违规行为始于修补问题。——威廉·斯坦,印第安纳州芒特弗农MSD

“关注最大的风险,”斯坦说。“高达 40% 的违规行为始于修补问题。”

盖贝尔亲身体会了这一教训。“前任技术团队留下了一些我没有审计的旧服务帐户。攻击就发生在那里。审计,审计,审计。”

当攻击确实成功时,恢复成本可能会有很大差异。通过将事件响应留在内部,盖贝尔的学区将其恢复成本控制在 10 万美元以下。许多其他人就没有这么幸运了,勒索赎金、学校停课和系统重建的费用高达数百万美元。根据IBM 2025年的一份报告,全球数据泄露的平均成本为 440 万美元。与此同时,根据 2024年的一项研究,网络预算约占所有行业IT预算的6.6%,处于建议范围5%到10%的较低端。

人力耗尽是另一项成本。“当我们进行钓鱼模拟时,我收到了不快乐的客户,”华盛顿州埃德蒙兹学区的技术总监克里斯·贝利说。“人们说他们再也不能相信他们的电子邮件了。但这正是重点。你必须学会不信任电子邮件。”

建立韧性

展望未来,专家们认为,下一个阶段的进步不在于购买更多的工具,而在于建立有韧性的系统和社区。

学区正开始从被动的灭火转向主动的韧性规划。这意味着桌面演练——领导者讨论他们将如何应对网络攻击的实践演习——以及全州范围的协作网络和正式的协议,在这些协议中,邻近的学区承诺在危机期间互相支持。这些协议效仿消防部门和救灾系统,允许学校共享技术人员、借用备用资源,甚至在某个学区不堪重负时协助家长沟通。目标是确保没有任何学校必须在最黑暗的时刻独自站立。

CoSN的麦克劳林鼓励学区分享资源和经验教训,而不是各自为政:“没有人应该独自做这件事,”她说。

这种不平衡将永远存在:攻击者只需要一个漏洞;防御者必须保护所有漏洞。但学区正在证明,准备、创造力和协作可以改变胜算。

在阿瓜弗里亚,盖贝尔带着谦逊和自豪反思了他的事件:“我们很幸运,但我们也做好了准备。如果我们没有投资于培训、伙伴关系和基础工作,故事的结局就会不同。”