如何预防针对校园的勒索软件攻击?

最近,某知名985公立大学及附属中小学遭遇了前所未有的勒索软件攻击,80%的教职工电脑以及58%的学生电脑感染了名为“卡塞卡”的勒索病毒,其中一个校区的许多IP电话、网站、无线网络和学生信息系统都停摆了。网络安全老师们经历了一场声势浩大的全天候紧急工作,以迅速恢复网络。直至一周后,几万名学生才返回教室,继续正常的学习。尽管如此,不少老师们的电脑数据丢失了,后续影响和重建工作将是漫长的。

在给社会、家长和教职员工的最初声明中,学校公共沟通部门称,其网络安全团队正在与外部网安公司合作以恢复访问。在后续的帖子中,该学校表示,虽然攻击者似乎没有访问任何个人信息,但“可能涉及用户名和密码”。因此,当计算系统重新上线时,用户将需要更改校园通的密码才能获得访问权限。学校还建议教职工和学生们同时更改计算机的登录密码。

由于教育主管部门以及公共网络安全部门的介入,学校网络信息部门需要定期进行内部系统的安全检查,同时聘用外部专业的安全评估与测试服务,以防范类似事件再次发生。

最终,学校决定花费巨资用于信息系统的升级改造。其中包括使用昆明亭长朗然科技有限公司提供的在线安全意识培训,该培训将针对全校所有教职工以及学生。

勒索软件攻击并不稀奇,但是为什么仍然能够有如此惨痛的损失呢?亭长朗然科技公司董志军表示:道理很简单,网络攻击有多种,勒索软件针对的是终端计算设备和使用人员,尽管防范之道都是些常识,但是很多教职工及学生并不知情,这就造成了攻击之间悬殊的力量对比。同样都是公立大学,有不少使用了我们的安全意识教程和服务的校园,就能比较好地应对了勒索软件攻击,差别只在师生们掌握了如下一些简单但关键的步骤。

  • 确保每台设备都安装了最新的防病毒软件。定期更新操作系统和应用程序,以弥补已知的漏洞。
  • 不要打开来自未知发件人的电子邮件或附件,尤其是包含链接的。
  • 备份重要文件并定期测试文件恢复过程。备份存储设备应与校园网络物理隔离。
  • 确保使用强密码,并经常更换密码。
  • 删除不需要的文件和程序,以减少攻击的目标。禁用自动运行功能来防止外部设备上的恶意程序。
  • 保持更新的防火墙和强大的网站过滤器以防止未经授权的访问和恶意软件。
  • 不要使用公共无线网络传输敏感信息,使用加密的无线网络连接。
  • 了解勒索软件潜在威胁的迹象。如果遇到勒索软件,立即隔离受感染的设备,并立即报告。
  • 不要支付勒索金,因为该行为将鼓励攻击者,且并不能保证文件恢复。

遵循这些简单步骤,可以大大减少校园中遭受勒索软件攻击的风险。

总之,保护校园网络数据免于勒索软件等威胁的最佳方法之一是加强教育培训,了解存在的威胁并知道如何应对。

做到这一点的最佳方法是发起信息安全意识计划。意识计划是一系列活动,可帮助受众了解与个人数据相关的风险以及可以采取的应对措施。对于校园来讲,教职工和学生可以通过观看视频、在线学习或参加线下宣教活动来参与安全意识计划。

昆明亭长朗然科技有限公司已经帮助了多家知名985/211和双一流高校建立和强化信息安全意识计划,他山之石,可以攻玉。我们创作了大量的宣教素材,可以借鉴使用。同时,对于已经遭遇勒索软件感染或者其他安全事件的组织机构来讲,需要从技术、人员和管理多个层面强化安全防范,通过安全意识培训来构建安全文化,亡羊补牢,未为晚也。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

用黑客的手段来进行安全管理

whitehat-or-blackhat-hacker

对搞信息安全的人来讲,黑客是无法避开的一个词汇,如同警察眼中的匪徒一样。然而,一不小心,安全人士也会沦入黑客,如同港片中常常表现的“警匪一家”一样。

“黑客”本身并非一个贬义词,特别在最初是褒义的,表示崇尚自由主义、崇尚分享精神的技术“极客”,如Linux、Apache、MySQL、OpenSSH、OpenSSL等不少开源免费的项目都出自技术“极客”社群之手。然而历经沧桑,黑客圈出现一批唯利是图的败类,现在,尽管“黑客”并非一个完全的贬义词,但是却更多地表示那些高科技“信息窃贼们”。

如同猫是老鼠的天敌,警察是来对付匪徒的一样,信息安全从业人员的价值便体现在应对黑客之上,然而这是一个技术活儿。道高一尺,魔高一丈。如果信息安全人员不如黑客的技术厉害,那不就要被黑客玩儿了?

其实,多数信息安全人员并没有人们相像中的那么纯洁无暇,他们的出生和成长可能或多或少都带有一些黑色的性质,比如在未得到适当授权的情况下,拿一些安全入侵工具私自尝试入侵目标。昆明亭长朗然科技有限公司信息安全研究员董志军说:我们需要理解一安全人成长过程中可能会“走弯路”,我们也需要原谅一些技术人员在青春年少时期可能难免会偶尔“误入歧途”。

不少安全技术岗位都希望招到“黑客”,还尊称他们为“白帽”以显示其双方的正义。从技术资质上讲,做过黑客的,更了解黑客的入侵心理,“知己知彼”方能“百战不殆”嘛!特别是笔者近期看到,有不少机构在安全人员的招聘中都提到希望是某些漏洞平台如乌云的成员,我理解这些机构求才若渴的心,但是这种做法却很冒险。因为在乌云平台上的,几乎没有一个纯正的“白帽子”黑客,因为他们在发掘他人系统漏洞之前,几乎都没有获得人家预先的授权或许可。这显然是一个做人做事儿的大前提问题,是一个法律和道德的问题。试问一下,如果您是一家厂商,您真的想招一个为了展示自己的水平、为了自己的名利,蔑视法律、道德沦丧、甚至不惜铤而走险的技术高手儿吗?

其实,您可能觉得我说得太夸张和偏颇,挖掘互联网系统的漏洞本身没那么严重。我说得确实有些夸张和偏颇,我不是看不起“黑客”们的人品,更不是想激怒他们给自己找麻烦,我只是想向一心招聘黑客的厂商安全管理人员泼一点凉水。其实,笔者也是一名IT安全技术人员出生,了解“黑客”的成长心路历程。要说“黑客”绝大多数都是一些好人,他们在现实生活中多数不擅与人沟通,所以并不很受人们欢迎,而在虚拟网络上,他们面对的不是真人,所以当他们解决了一个个技术难题之后,就会很有成就感,很开心。只是他们的心理要么不成熟,认为社会规则就是束缚人的;要么不是正常人该有的心理,脆弱且敏感,总觉得自己技高一筹却不被认可。他们很难融入正常的社会生活,也就是说,难以过朝九晚五的上班族生活。

我的意思只是说不建议厂商招聘黑客,但是有厂商会觉得应该雇佣黑客,以黑制黑,这种想法初一看,似乎不错,花钱找更厉害的黑客,相当于给黑客群体交了“保护费”,因为在高手面前,水平较差的黑客往往就“知难而退”了。其实这就是用黑客的手段来进行安全管理,亭长朗然公司董志军说:虽然“以黑制黑”看起来是合理的,但是我一直不推荐这样做,道理很简单——因为黑客是邪恶的黑暗的,在“以黑制黑”的同时,近墨者黑,厂商中原本良善正直的IT人员也会逐渐变得“黑”起来,厂商的“邪气”也会越来越重。当然,如果厂商自信“正气”较重,企业文化气息深厚,可轻易压住“邪气”甚至“化邪为正”,那则另当别论。

不少安全专业人士最初都是做IT技术的,随着岁月的增长,大部分能够通过挣扎奋斗逐渐获得晋升,上爬到安全技术专家或者安全管理岗位。由于成长历史的原因,当他们面对很多安全问题的时候,自然会想到用安全技术的手段来解决。除了对付外部黑客,“以黑制黑”之外,在面对内部工作人员时,也有不少安全专家或管理人员喜欢使用使用黑客的手段来进行安全控管。

笔者前几天遇到一名安全界人员,和我大谈桌面安全管理中使用“隐形”引擎的好处——让终端用户无法发现,也无法卸载。这让我不禁想起那几年在甲方做内部安全管理的岁月,数十年过去了,仍然有人在津津乐道这个特殊的功能。我的内心开始感叹安全管理的不易,也深为这种做法感到不耻和悲哀。

首先,信息安全者要认清自己的职责,摆正工作态度,那些终端用户大部分都是员工,虽然不全是领导,但是也是共创业绩的同事,特别是那些开拓业务成功的人员,给了信息安全人员的饭碗。他们本该享受的是卓越的IT安全服务,而不是被IT安全部门来进行“管制”。如果没有得到高层的批准,这种名不正,言不顺的IT安全“管制”行为,不仅是一厢情愿,更易激化部门间矛盾,终将成为历史进步的绊脚石。退一步讲,即使信息安全人员没有“为人民服务”的心态,也应该尊重一下其他员工的平等生存权吧!不要你的部门拿一个制度来框人家,人家部门再弄个制度来框你,那多不好!

其次,IT服务也需要的是阳光服务,这种“隐形”引擎的“阴招儿”显然是在背道而驰,遭人唾弃。究其原因,是安全管理者的自信心不足,管理水平低下。一个好的安全产品,如果自信是真正能够保护用户和组织的桌面安全产品、是真正被用户接受和喜欢的产品,则不需要担心被用户们知晓,更不怕被卸载。其实,同一阶梯的大部分的产品功能性能都差不多,使用“隐形”引擎“阴招儿”的产品,不仅自身信心不足,也利用了安全管理者信心不足的心理弱点。然而,对于有信心的信息安全管理者来讲,若要推动终端安全管理,自然需要高管的认可和批准,既然有了尚方宝剑,就可以光明正大的要求员工们来安装和使用,何需偷偷摸摸的?要防范员工未授权卸载安全软件,也完全是一个管理的问题,只需定期检查桌面安全、对擅自卸载者进行通报和根据通报结果采取必要的惩戒措施,而不是借用产品或技术优势,来和普通员工进行IT水平的高低比拼。

最后,这种在员工使用的电脑中安装“隐形”引擎的做法不符合人类进步的大趋势,涉嫌严重侵犯人权。您可能会说这是管理层许可的,员工使用公司的电脑,为公司工作,就应该遵守公司的IT安全规范,就应该被监控,要么就别到这儿工作。我要和您说的是如果您在西欧特别是法国说这话,您会严重触犯隐私保护相关的法律,您和您的老板都得坐牢,您所在的公司自然很快会关门倒闭!您可能说法国离我们很远,法国的制度不适合中国。的确您家爱怎么做是您家的事儿,但是人家现在文明、先进,我们的社会发展和治理方式也必将向人家靠拢,这一点是我们无法否认的,我们国家不断推出新的法规比如防家暴法等,以追赶世界文明,就是一个例证。我们的安全管理人员也是“人民共和国”的国民吧,却干出这种与历史进步背道而驰的事儿,在小环境下,对同事都完完全全用“术”治,连“人治”都不如,还谈何“法治”,谈何促进全社会促进全人类的进步!

说到底,用黑客的手段来进行安全管理,是信息安全界的悲哀,也是令祖先蒙羞的、令国民不耻的、贻误子孙万代的。信息安全人员要走出“黑客”的心理阴影和思维影响,才能真正开启职业生涯的新篇章,信息安全业界才能迎来新光明。而这一切的改变,都应该从信息安全管理的思辨、信息安全知识沟通和意识教育开始。昆明亭长朗然科技有限公司,专注于促进信息安全认知的觉醒。当然,我们的水平有限,观点也可能不同于您,但无论如何,即使我们有不同的观点,都欢迎您联系我们,洽谈安全意识教育培训方面的合作。