针对教育机构的勒索软件攻击造成的不仅仅是课堂混乱。它可能会导致教学时间损失、财务紧张和个人数据泄露。在 K-12 系统中，关闭的学校迫使家长要求休假，并导致学校有限的财务捉襟见肘。

对于大学生来说，勒索软件攻击可能会导致学生在开始职业生涯时个人数据被盗。

勒索软件攻击的数量惊人地增加， 2018 年至2021 年期间报告的 K-12 事件已从 2018 年的 400 起增加到累计超过 1,300 起，我们不需要走太远就能看到它们如何损害了教育部门。

杜鲁门州立大学最近遭受勒索软件攻击，导致该大学关闭数天，并导致外部安全团队参与其中。在宾夕法尼亚州，彭克雷斯特学区发现自己成为勒索软件攻击的目标，导致多天无法上网，学校日常活动中断，影响了当地家庭。

我们将探讨教育机构的 IT 团队可以采取哪些步骤（地方政府应该支持），以保护他们所照顾的人员免受干扰和数据被盗的影响。

通过早期检测阻止勒索软件

一旦勒索软件攻击开始，采取任何措施通常都为时已晚。令人警醒的现实是，使用 Lockbit 2.0，数百 GB 的数据可在 5 分钟内加密，而且速度只会越来越快。组织通常有两个糟糕的选择。

第一个（也是不推荐的）选项是支付赎金，然后希望网络犯罪分子解密您的系统，不要出售您的数据，也不要再次遭受攻击。

或者，您需要从头开始重建 IT 系统，考虑到许多学校和大学的 IT 部门通常规模较小，这可能既昂贵又耗时。

首先采取安全措施来防止攻击是最好的防御，IT 可以监视多种攻击媒介以发出早期预警。许多攻击者会选择阻力最小的路径，而监控最简单的路径会使威胁行为者的工作变得更加困难。

尽管并不全面，但以下几个方面需要考虑密切监控：

• 网络钓鱼电子邮件 – 一种流行的传递方法，用于向不知情的用户发送勒索软件可执行文件。强大的反网络钓鱼软件和意识培训是必须的。
• 远程连接 – 远程桌面协议 (RDP)、Teamviewer、VNC 等。
• 持久安装 – 意外启动程序或计划任务创建。
• 权限升级 – LSASS 利用、哈希传递攻击或不安全的服务。
• 检测预防 – 禁用 Microsoft 防病毒软件和其他安全工具。
• 网络侦察——端口扫描、混杂网络模式等。
• 数据泄露 – 意外的出站连接目标和带宽流量峰值。

密码被泄露为勒索软件提供了简单的起点

登录比黑客入侵更容易。攻击者可以快速利用受损的密码，尤其是当人们在多个个人和工作帐户中重复使用这些密码时。例如，威胁行为者可以购买受损凭证列表，然后使用社交媒体来缩小在学校工作的人员范围。

实施多因素身份验证的机构使这种攻击变得更加困难，但并非不可能。

具有泄露密码保护 (BPP) 功能的Specops 密码策略等工具可根据不断更新的超过 30 亿个唯一泄露密码列表（甚至是目前用于攻击的密码）来检查机构的 Active Directory。这使得 IT 团队能够关闭数百条可能进入其机构的攻击路线。

由于成本效益高、实施速度快且易于最终用户使用，具有密码泄露保护功能的 Specops 密码策略深受学校、大学和地方政府的欢迎。

它允许机构创建自定义密码策略、强制执行合规性要求、阻止密码泄露，并通过动态、信息丰富的客户反馈帮助用户在 Active Directory 中创建更强的密码。很少有解决方案能够提供如此简单的方法来增强密码安全性并防止攻击者站稳脚跟并发起勒索软件攻击。

最大限度地减少面向公众的系统的攻击面

开放的远程连接是一个等待利用的漏洞。2022 年 Unit 42 事件响应报告指出，RDP 是一个共同目标。任何学校、大学或地方政府都需要使用 VPN 或零信任身份验证网关来远程连接到内部系统。

如果未修补并暴露在互联网上，即使是学校打印服务器也是不安全的。例如，最近的PaperCut NG 和 PaperCut MF 漏洞导致 Bl00dy 勒索软件团伙的勒索软件攻击增加。

将保护重点放在不会暴露超出必要范围的额外入口的系统上，从而将威胁行为者拒之门外。最大限度地减少需要监控的外部服务数量，使学校 IT 部门的工作变得易于管理。

处理陈旧和特权过高的帐户

过度劳累的学校 IT 部门经常会出现旧帐户、被遗忘的用户以及特权过高的服务帐户。这些被遗忘的帐户可能看起来无害，但对于威胁行为者来说，它们却是一个诱人的目标。

如果不引起注意，旧帐户的泄露可能不会触发响应，因为所有者可能早已不在了。从加入到退出实施适当的用户生命周期策略可以防止旧帐户受到潜在的威胁。

同样，几乎每个 IT 组织都普遍存在特权过高的帐户。创建单个特权帐户来运行多个服务可能意味着更少的工作和监控。但是，当受到威胁时，特权过高的服务帐户可以为学校或大学网络提供许多立足点。

通过最小特权访问和职责分离的概念来“调整”帐户规模，受损帐户在整个网络上造成破坏的可能性要小得多。

强化端点以抵御勒索软件攻击

即使是最好的预防策略也可能无法阻止顽固的对手向毫无戒心的学生或 IT 管理员偷偷发送带有可执行勒索软件的网络钓鱼电子邮件。下载后，未受保护的端点可能会提供在整个学校网络中传播勒索软件所需的一切。

以下是强化 Windows 端点时要采取的几个常见步骤：

• 通过使用Microsoft Applocker和白名单应用程序防止运行可疑的可执行文件。
• 实施 SMBv3 并禁用 SMB v1 和 v2以防止横向网络入侵。
• 禁用所有设备和端点上的默认用户名和密码。
• 为 Windows Server 2019 和 Windows 10 等旧操作系统实施LAPS（本地管理员密码解决方案） 。
• 为 LSASS 和Windows Defender Credential Guard实施攻击面减少 (ASR)规则。
• 实施PowerShell 日志记录并强化远程 PowerShell 连接。
• 需要非延迟的 Windows 更新以及一致的防病毒更新。
• 阻止将用户密码保存到本地浏览器（例如 Chrome 和 Firefox）。

防止端点进一步受到损害可以快速阻止勒索软件攻击。这种预防措施避免了从备份恢复系统的需要。

通过最新的离线备份防止灾难

如果最坏的情况发生，并且勒索软件攻击导致学校网络瘫痪，那么最新的离线存储备份对于让学生重返教室至关重要。

通过保持备份离线、分段或“气隙”，成功的勒索软件攻击不会影响那些允许干净恢复的备份。

备份整个机构可能很困难，并且会产生大量存储成本。然而，不这样做的代价可能会更高，因为威胁行为者可能会要求数百万美元进行恢复。

IT 管理员必须不断测试备份、验证恢复程序是否到位，并评估在发生事件时做好完整恢复准备的难度。

我们能否保证学校和学生的安全？

FBI（联邦调查局）、  CISA 和 MS-ISAC 在联合网络安全咨询 (CSA) 中警告 Vice Society 及其对教育部门构成的威胁：

“网络安全能力有限且资源有限的学区往往是最脆弱的；然而，网络犯罪分子经常采取的机会主义目标仍然可能使拥有强大网络安全计划的学区面临风险。 由于可以通过学校系统或其托管服务提供商访问大量 敏感的学生数据，K-12 机构可能被视为利润特别丰厚的目标。”

对于学校及其学生来说，勒索软件是一个日益严重且代价高昂的问题。地方政府可以通过资助适当的安全工具和技术来检测、预防和缓解勒索软件，从而为学校和大学提供支持。

尽管没有万无一失的方法可以防止每次勒索软件攻击，但包含上述步骤的全面安全计划将阻止大多数攻击，并在预防方面大有帮助。