美国K-12学校网络安全事件追踪与分析

9 月 23 日，教育政策和技术顾问道格·莱文统计了 K-12 网络事件地图上的一千起事件，这是他独立进行的项目，用于跟踪公开披露的关于针对美国学校和学区的网络钓鱼、勒索软件和其他不受欢迎的数字攻击的报告。

这在 COVID-19 大流行的更广泛背景下，并不是最严峻的里程碑。但疫情的爆发迫使许多学校依赖数字工具来支持教学，也许现在比以往任何时候都更依赖。反过来，这使得它们成为网络犯罪分子日益增长的目标。

自从超过一千个标记以来的十天里，莱文又向地图添加了 29 份报告。受害者包括：克拉克县学区，美国第五大学区，该学区在拒绝支付赎金后，学生和教职员工的敏感信息被黑客泄露。

莱文说，虽然开学季通常是这些攻击的高发期，但疫情在学区身上画了一个更大的目标。

“今年特别激烈，”他说。“威胁行为者现在专门针对学区，并取得了一些成功。如果你试图敲诈勒索，开学是一个很有优势的时期，因为当人们试图适应远程学习时，他们真的无法承受离线。”

在接受 EdSurge 的采访中，莱文深入探讨了最近袭击的细节，以及自 2016 年他开始跟踪这些事件以来，K-12 网络安全的状态如何发展。他还分享了他计划将来如何进行这个项目，这样他就不会像他所说的那样，仅仅是“坏消息制造者”。下面是对话的文字记录，为了清晰起见，已经过编辑。

EdSurge：是什么促使您开始跟踪这些事件？四年后，您能预见到您会统计出超过一千起事件吗？

莱文：2016 年末，我开始从当地新闻来源看到关于学校网络安全事件的报告，特别是 W-2 表格的网络钓鱼攻击。这些是坏人，他们针对学区，并让他们发送所有员工的税务信息。

然后我看到美国国税局向学区发出警告，特别针对这个问题，我从未记得看到联邦机构向学校发出关于网络安全的警告，更不用说美国国税局了。然后，在国税局发出通知后，我看到另外十几所学区也遭受了完全相同的袭击。我想，好吧，我能做的最少的事情就是帮助传播这个消息。

我开始寻找其他地方是否有关于学校网络安全事件的数据。虽然我发现网络安全行业报告涵盖了教育，但他们这样做的方式毫无意义。他们将 K-12 和高等教育视为相同。他们将公共和私立机构混在一起。他们把培训公司也混在里面，还有全球事件。所以，在韩国遭到袭击的高等教育机构与在皮奥里亚的一所小学被计算在内是相同的。

我想我可以为 K-12 做一些有意义的事情。当我在 2017 年 3 月底首次启动地图时，大约有 100 起事件。我不知道它会像这样起飞。我有一些假设，随着越来越多的学校连接到互联网，它们将暴露在这些事件中。但我不知道它们会发生的频率有多高。

您最近看到了哪些类型的网络攻击？

令人沮丧的是，学校仍然在遭受拒绝服务攻击。迈阿密-戴德 [公共县学校] 刚刚遭受了一次非常引人注目的攻击，他们将此事归咎于该学区的一名 16 岁的学生。

学生信息系统以及管理学生数据的系统也牵涉到攻击中。人力资源和工资单系统也经常成为目标。我们还看到了勒索软件和恶意软件的问题，尽管这些往往发生在 Microsoft Windows 系统上……电子邮件网络钓鱼仍然非常受欢迎。

一种与 COVID 相关的新型攻击是我们称之为“Zoom轰炸”的攻击，但它也发生在 Google、Microsoft、Blackboard 或学校正在使用的任何类型的实时视频会议工具上。这非常令人沮丧。它与窃取数据无关，但这些事件非常恶劣，尤其是在年轻的孩子受到影响时。我们不会容忍陌生人走进教室，放下裤子，大喊大叫。但这本质上就是我们在网上发生的事情。

K-12 网络安全攻击如何随着时间的推移而变化？

从历史上看，当学区遭受网络安全事件时，它们不一定是目标。这些是发送给数百万人的大规模网络钓鱼电子邮件活动，碰巧进入了学区。

现在，犯罪团伙专门针对学区，对他们进行调查，找出关键员工是谁，了解一些关于学校日历以及学区与其签订合同的 [供应商和服务提供商] 的情况。

学校需要防范大规模的、普遍的威胁……当任何人将任何设备连接到互联网时可能发生的各种坏事。当坏人实际上花一些时间开发针对学区的工具时，情况就完全不同了。

您是否看到这些攻击的严重程度或频率有任何变化？

勒索软件行为者绝对更频繁地针对学区，尽管从更广泛的背景来看，最近他们一直在针对各种地方政府机构，这些机构的基础设施往往比较旧，IT 团队往往规模较小，对安全性的关注较少，但他们提供的服务对他们的社区至关重要。

当这些系统受到损害时，官员们常常感到有动力通过支付来解决这个问题。但一旦他们开始付款，就会鼓励肇事者继续进行此类攻击。所以不幸的是，这不是一个良性循环，而是相反的。这是一个恶性循环。

有学区支付了几十万美元的例子，也有学区支付了一百多万美元的例子。这导致勒索软件行为者更加关注教育领域。

您是否看到学区在加强网络安全措施方面取得了有意义的进展？

已经取得了一些适度的进步，但我认为 COVID 可能会阻碍我们正在取得的进展。在春季，当学区不得不突然转向远程学习时，有时在一天通知的情况下，许多决定都不是为了安全的最大利益，而是为了继续提供教育服务。

伴随而来的是预算压力。无论学区现在在技术上花费多少，都可能用于确保更好的互联网接入或学生的家庭设备，而不是用于所需的网络安全控制。

当谈到教育部门的网络安全成熟度的信号时，可以关注专用预算以及他们是否有网络安全专家。可以查看密码策略。它们需要多长、多复杂？他们使用密码管理器吗？

防止网络钓鱼攻击的最有效技术之一是二次身份验证。而且，与此相关的，使用单点登录服务。但许多学区不愿意给学生和老师带来不便，以便实施这些控制措施。这些做法需要培训和资源。它们可能很复杂，但我们必须做到这一点。

您的地图基于公开披露的事件，但您估计实际数字可能要高得多。高多少？

学区发生的事件很容易比我报告的事件多 10 到 20 倍。在许多情况下，学区不需要公开披露大量此类事件。您可以想象，除非绝对必要，否则学区可能不愿意分享他们遇到了一些问题。

我最近写了一篇关于俄亥俄州一个学区发生勒索软件事件的文章。他们无意与他们的学校员工或家人分享这些信息。他们只是在当地新闻媒体报道后才宣布此事。在费尔法克斯县也发生了类似的事情。如果不是媒体和调查性报道，那个故事永远不会被曝光。

当我与学区的 IT 领导者交谈时，他们会和我开玩笑。他们不喜欢看到他们的学区出现在我的地图上。但在坦诚的时刻，他们会告诉我：“哦，你不知道。情况比你报告的要糟糕得多。”

不幸的是，未来几个月看起来您将非常忙碌。您对这个项目的长期前景有什么看法？

拥有关于这些问题的数据绝对有价值，这些数据可以为学区、为他们服务的供应商和决策者提供信息。我希望继续这项工作。在某些方面，我可能被认为是一个坏消息制造者。我正在记录所有问题。你在地图上得到一个标记。如果有人报道了关于你的新闻，我将编目，我将发推文。如果出了什么大问题，我甚至可能会写博客。

现在提高意识很有价值。但是，除了这项工作之外，我希望转向的是为学区提供一些支持。我将很快更多地谈论这个新项目，但这是一个新的非营利组织，我正在与全球弹性联盟合作推出。他们从事启动威胁情报共享社区的业务。

本质上，这个非营利组织将成为学区共享威胁信息的私人社区，以帮助他们更好地保护自己，分享最佳实践，然后共同努力帮助学校及其合作伙伴应对这些威胁。

最近，弗吉尼亚州参议员马克·华纳致信教育部长贝齐·德沃斯，呼吁她采取措施帮助学校进行网络安全，[鉴于] 他所在州的费尔法克斯县公立学校发生的事件。他特别呼吁启动他所谓的 K-12 ISAC（信息共享和分析中心），而这正是我们 [巧合地] 正在启动的。

我们已经联系了 [联邦教育] 部门和华纳参议员的办公室。我们正在招募学区；我们将在 10 月份进行试运行，并预计将在 11 月份公开推出。

这在其他行业中存在，但不在 K-12 中。所以我希望这将有助于解决这些问题。