고등 교육의 사이버 보안: 문제 및 솔루션

고등 교육 기관은 끊임없는 사이버 공격의 홍수에 직면해 있습니다. 2015년 사건 이후, 전 펜실베니아 주립 대학의 정보 기술 부총장이었던 Kevin Moroney는 The New York Times에 펜실베니아 주립대가 하루 평균 2천만 건의 공격을 당했다고 밝혔습니다.

디지털 포렌식 및 사이버 보안 회사인 LIFARS는 2016년 보고서에서 이러한 위협이 미칠 수 있는 재정적 영향에 대한 작은 샘플로 시작하여 조직에 침투하여 종종 이메일을 통해 민감한 정보를 훔치기 위해 고안된 스피어 피싱 공격으로 인해 기업이 평균적으로 건당 180만 달러. 2017년 보고서에서 Cybersecurity Ventures는 몸값을 지불하지 않으면 피해자의 데이터를 도용, 차단 또는 게시하겠다고 위협하는 Ransomware와 관련된 공격으로 인해 2015년 3억 2천 5백만 달러에서 2017년 약 50억 달러의 피해가 발생할 것이라고 예측했습니다.

고등 교육 기관은 BitSight(사이버 위험 관리 회사)가 발행한 2016년 보고서에서 조사한 모든 산업 중에서 가장 높은 랜섬웨어 공격 비율을 보였고 BitSight의 2017년 보고서에서는 두 번째로 높은 비율을 보였습니다. 따라서 대학은 이러한 급격한 잠재적 손실에 대한 방어를 강화하기 위해 24시간 노력하고 있습니다. 인디애나 대학의 연구 및 교육 네트워킹 정보 공유 및 분석 센터의 전무 이사인 Kim Milford는 디지털 교육 센터가 작성한 2016년 글에서 대학들이 새로운 방법을 모색함에 따라 이제 "값비싼 군비 경쟁에 갇히게 되었습니다"라고 말했습니다. 현재의 공격에 맞서 싸우고 아직 오지 않은 공격보다 한 발 앞서기 위해 노력합니다. 밀포드는 사이버 공격의 성공 여부와 관계없이 대학이 해결해야 하는 비용이 많이 들고 항상 존재하는 문제라고 말합니다.

잠재적인 재정적 손실보다 훨씬 더 심각한 사이버 공격은 대학의 명성과 학생들의 안전에 심각한 위협이 될 수 있습니다.

그러나 사이버 공격으로 인한 위험은 고등 교육의 세계에 대한 재정적 손실을 넘어 확장됩니다. 실제로, 대학에는 학생의 사회 보장 번호에서 귀중한 지적 재산에 이르기까지 방대한 양의 민감한 데이터가 보관되어 있습니다. 이 데이터는 도난당하거나 손상될 경우 학교의 경계를 훨씬 넘어 심각한 피해를 입힐 수 있습니다. 앞서 언급한 잠재적인 재정적 손실보다 훨씬 더 심각한 사이버 공격은 대학의 명성과 학생들의 안전에 심각한 위협이 될 수 있습니다.

위협이 계속해서 진화하고 있지만 대학은 앞으로 사이버 보안 문제를 해결하는 데 필요한 인재와 인프라 모두에 계속 투자해야 합니다. 이 기사는 고등 교육 기관을 위한 사이버 보안 전문성 개발의 중요성을 더욱 조명하고 이러한 문제를 해결하기 위한 전략을 제공합니다. 대학이 사이버 공격에 고유하게 취약한 이유에 대한 조사를 시작으로 공격자가 이러한 취약성을 악용하는 데 사용하는 전략을 이해하고 대학이 미래의 사이버 위협에 대처할 수 있도록 설계된 일련의 권장 사항에 도달할 것입니다.

고등 교육이 취약한 이유는 무엇입니까?

거의 모든 주요 산업이 심각한 사이버 보안 문제에 직면해 있지만 고등 교육은 여러 가지 주요 이유로 특히 취약합니다.

하나는 대부분의 산업에 부족한 개방성과 투명성을 자랑스럽게 여기는 학계의 독특한 문화와 관련이 있습니다. 인디애나 대학 응용 사이버 보안 연구 센터 소장인 Fred Cate가 2013년 UniversityBusiness 기사에서 명시했듯이 대학은 역사적으로 “우리 교수진과 학생, 대중과 기부자가 우리에게 쉽게." 그로 인해 대학 컴퓨터 네트워크가 “캠퍼스만큼 개방적이고 매력적”이라고 기사에 나와 있습니다.

또 다른 이유는 역사와 관련이 있습니다. 특히 대학이 온라인에 연결된 기간입니다. SecurityScorecard(제3자 위험 관리 회사)의 최고 리서치 책임자인 Alex Heid는 2016년 EducationDIVE 기사에서 대학이 항상 사이버 공격의 주요 표적이었다고 말했습니다. 사람들이 인터넷 액세스가 얼마나 멀리 갈 수 있는지 알아보려고 합니다." 비교적 오랜 기간 동안 인터넷에 액세스할 수 있었던 덕분에 대학은 오랫동안 가시적인 표적이 되었으며 따라서 사이버 공격자들은 이들의 약점을 잘 알고 이해할 수 있습니다.

사이버 공격자들은 최첨단 기술과 방법을 사용하여 어떤 경우에는 비참하게 구식이고 열등한 대학 시스템을 악용합니다.

대학이 디지털 도구와 인터페이스를 너무 일찍 채택했기 때문에(그리고 재정 및 기타 실용적인 문제의 결과로) 많은 고등 교육 기관은 여전히 ​​공격에 특히 취약한 레거시 시스템에 의존하고 있습니다. Heid는 앞서 언급한 기사에서 "많은 대학에서 몇 년 전에 작성된 자료를 사용합니다. 간단히 말해서 사이버 공격자들은 최첨단 기술과 방법을 사용하여 경우에 따라 비참하게 구식이고 열등한 대학 시스템을 악용합니다.

보다 구체적으로 말하면, 대학 IT 시스템은 종종 공격자가 쉽게 악용할 수 있는 분산된 구조를 특징으로 합니다. 데이터 위험 관리 및 소프트웨어 회사인 Code42의 2017년 블로그 게시물에서 Ashley Jarosch는 개별 부서가 자체 IT 구조에서 운영하는 것이 운영 관점에서 의미가 있을 수 있지만 예를 들어, 대학의 문학 부서보다 ​​기술 요구 사항이 더 많은 경우) 이러한 종류의 단편적인 설정은 명확한 정보 보안 취약성을 만듭니다. Jarosch는 "12개(또는 수십 개) 부서에 걸쳐 적어도 한 부서에는 오래된 장치와 패치되지 않은 OS, 부적절한 이메일 필터링 및 AV, 잘못된 데이터 백업 또는 불충분한 사용자 교육 및 정책이 결합되어 있을 가능성이 높습니다."라고 씁니다.

고등 교육에만 해당하는 문제는 아니지만 사이버 보안 인재의 부족은 위에서 언급한 문제를 해결하기 위해 대학이 극복해야 하는 중요한 장애물을 나타냅니다. 컨설팅 회사인 Frost & Sullivan이 수행한 최근 연구에 따르면 2020년까지 사이버 보안 일자리가 180만 개 생길 것이며 이러한 인재 부족은 전 세계적으로 존재하며 전 세계적으로 거의 70%의 전문가가 직원에 사이버 보안 인력이 너무 적다고 말합니다. . 사이버 보안 인재에 대한 수요가 공급을 훨씬 초과함에 따라 기업은 종종 사이버 보안 전문 지식에 최고 비용을 지불합니다. 이것은 Alphabet, Facebook 등의 고임금 민간 부문 일자리에서 그러한 인재를 유인할 때 대학을 심각한 불이익에 빠뜨릴 수 있습니다.

고등 교육의 사이버 보안 취약성의 근본적인 이유를 이해함으로써 이제 이러한 취약성이 악용되는 방식을 탐색할 수 있습니다.

공격자가 취약점을 악용하는 방법

사악한 행위자는 사이버 공격을 시작할 때 다양한 전술과 도구를 사용합니다. 가장 일반적인 두 가지 방법이 아래에 설명되어 있습니다. 이 목록은 결코 완전하지도 않고 대학에 고유한 것도 아니지만 해커가 사이버 보안의 격차를 악용하는 것을 목표로 하는 방법에 대한 더 큰 이해를 제공하고 앞으로 그러한 공격을 막는 최선의 방법을 고려하는 데 유용함을 증명할 것입니다.

SQL 주입: "웹 응용 프로그램이 직면한 가장 심각한 문제"라고 일부 사람들이 설명하는 SQL 주입(SQLi)은 간단히 말해서 특정 응용 프로그램의 기반이 되는 데이터베이스를 악용하여 암호 보호를 우회하도록 설계된 공격입니다. SQL(Standard Query Language)은 데이터베이스를 관리하고 통신하는 언어입니다. SQL 주입은 코드 기반 입력 페이지(예: 사용자 이름 및 암호 로그인 페이지)의 약점을 악용하고 주어진 데이터베이스가 민감한 정보를 반환하도록 하는 방식으로 작동합니다. 예를 들어, 사용자 이름과 비밀번호 로그인 페이지에 직면했을 때 공격자는 SQL 코드의 일부를 비밀번호 섹션에 입력("주입")할 수 있습니다. 기본 데이터베이스의 코드가 취약한 경우 이 SQL 코드는 기본 데이터베이스를 수정하고 데이터베이스가 제어하는 ​​응용 프로그램이 해커의 액세스를 허용하도록 강제할 수 있습니다.

대학에는 학생 성적 보고서에서 교수 채용 정보에 이르기까지 수많은 암호로 보호된 온라인 응용 프로그램이 있으며 이론적으로 SQL 주입을 사용하여 이러한 응용 프로그램을 분석할 수 있습니다. 고등 교육 기관에 대한 그러한 공격 중 하나는 2017년 2월에 러시아 해커 또는 해커 그룹이 SQL 주입을 사용하여 코넬 대학과 뉴욕 대학을 포함한 수십 개의 미국 대학에서 데이터를 훔친 때 발생했습니다. 고등 교육 기관이 기본 데이터베이스에 계속 약점을 기록하는 한 SQL 주입은 여전히 ​​일반적이며 해커가 사용하기 너무 쉽습니다.

피싱: 이 기사의 시작 부분에서 언급했듯이 피싱 공격은 사용자를 속여 비밀번호나 신용 카드 정보와 같은 민감한 데이터를 입력하도록 설계된 이메일 또는 웹 페이지를 특징으로 합니다. Princeton University의 Information Security Office는 이러한 공격이 일반적으로 나타나는 방식에 대한 유용한 개요를 제공합니다.

“일반적으로 피셔는 주소록과 인터넷 웹사이트에서 주소를 캡처한 많은 개인에게 이메일 메시지를 보냅니다. 일반적으로 잘 짜여지고 공식적으로 보이는 메시지는 금융 기관, 서비스 제공업체 또는 받는 사람이 알고 있는 기타 조직에서 보낸 것이라고 주장할 수 있습니다. 종종 받는 사람은 웹 사이트 링크를 클릭하여 정보를 제공하라는 요청을 받습니다. 이메일. 그러나 웹사이트에 대한 링크가 합법적인 것처럼 보일 수 있지만 표시되는 링크가 클릭할 때 방문하는 실제 사이트일 필요는 없습니다.”

교육 업계 사용자의 30%가 기업 커뮤니케이션을 가장한 피싱 사기에 빠졌습니다. 이는 작년에 일반 인구의 두 배에 해당하는 수치입니다.

피싱 공격은 사용자 데이터를 훔치는 것부터 피해자의 컴퓨터에 랜섬웨어를 설치하고 금전적 지불금을 빼내는 것에 이르기까지 광범위한 최종 목표를 가질 수 있습니다. 이러한 공격은 명백하고 피하기 쉬울 수 있지만 연구에 따르면 상당수의 기업이 피싱 사기의 피해자인 것으로 나타났습니다. 기업이 피싱 공격을 퇴치하도록 지원하는 소프트웨어 회사인 Wombat Security가 2017년 보고서에서 교육 산업 사용자의 30%가 기업 커뮤니케이션을 가장한 피싱 사기를 클릭한 것으로 나타났습니다. 작년의 일반 인구 비율.

위에서 언급한 전술이 효과적인 것으로 입증되었지만 우리는 그것들을 예방할 수 있음을 알게 될 것입니다.

공격을 방지하는 방법: 더 나은 코드와 더 큰 경계

위에서 설명한 사이버 공격에 대처하기 위한 여러 전략이 있습니다. 일부는 고등 교육 IT 전문가가 스스로 채택해야 하는 전략을 포함하고 다른 일부는 최종 사용자를 포함하여 고등 교육 커뮤니티의 모든 사람이 구현해야 하는 다음과 같은 전략을 포함합니다.

준비된 명령문, 저장 프로시저 및 입력 유효성 검사를 통한 SQLi 공격 차단

SQL 주입 공격을 방지하는 방법에 대해 많이 작성되었으며 그렇게 하는 것이 실제로 특별히 어렵지 않을 수도 있다는 데 동의합니다. OWASP(Open Web Application Security Project)는 SQLi 공격을 피하는 방법에 대한 개요를 제공합니다. OWASP는 이를 위한 세 가지 기본 전략을 인용합니다.

준비된 진술: 대학은 준비된 진술로 기본 데이터베이스를 구성해야 합니다. OWASP가 말했듯이 "준비된 명령문은 공격자가 SQL 명령을 삽입하더라도 공격자가 쿼리의 의도를 변경할 수 없도록 합니다." 기본적으로 준비된 명령문은 사용자 입력 데이터(사용자 이름 및 암호)로 가장하는 SQL 명령을 무력화할 수 있습니다.

저장 프로시저: OWASP에 따르면 저장 프로시저는 준비된 명령문과 동일한 효과를 가질 수 있습니다. 주된 차이점은 "저장 프로시저에 대한 SQL 코드는 데이터베이스 자체에 정의되고 저장되며, 그런 다음 응용 프로그램에서 호출됩니다." OWASP와 다른 사람들이 작성한 것처럼 저장 프로시저는 SQLi 공격에 대한 방어에 항상 적절하지 않을 수 있지만 적절하게 작성되고 구현될 때 대학에서 실행 가능한 옵션이 될 수 있습니다.

입력 유효성 검사: SQL 주입 공격은 입력된 데이터를 상호 참조하고 유효성을 검사하지 않는 응용 프로그램 및 데이터베이스를 악용합니다. 따라서 이러한 공격을 방지하기 위한 논리적 단계는 구축 중인 데이터베이스에 입력 유효성 검사가 필요한지 확인하는 것입니다. Microsoft는 또한 ASP.net 웹 개발 모델 내에서 SQLi 공격을 피하기 위한 핵심 기술로 입력 유효성 검사를 인용합니다.

교육 및 강화된 의심을 통한 피싱 방지

내부 기술 수정을 통해 수행할 수 있는 SQLi 공격을 방지하는 것과 달리 피싱 사기를 방지하는 것은 교직원, 학생 및 학생과 같은 최종 사용자에게 크게 좌우됩니다. 모든 최종 사용자가 경계를 유지하기 위해 대학이 취해야 하는 몇 가지 단계가 있습니다.

이메일 필터: 최초의 간단한 단계로 대학은 의심스러운 대학 외 이메일을 사용자의 스팸 폴더로 보내는 이메일 필터를 설정해야 합니다. 이것이 완벽한 수정은 아니지만 악성 이메일이 대상에 도달하는 것을 방지할 수 있는 중요한 첫 번째 단계입니다.

교육 및 인식 캠페인: 대학은 최종 사용자가 피싱이 무엇인지, 피싱을 인식하는 방법을 다루는 교육을 받도록 요구해야 합니다. 이 서비스를 제공하는 데 전념하는 회사가 있으며 고등 교육 기관은 교수진과 직원을 적절하게 교육하는 데 필요한 시간과 자원을 기꺼이 투자해야 합니다. Infosecurity Magazine의 기사에서 지적했듯이 이 교육은 비교적 정기적으로 반복되어야 하며 사용자를 다양한 범위의 피싱 공격에 노출시켜야 합니다. Princeton University가 "Phish Bowl"으로 수행한 것처럼 실제 공격의 예를 제공하고 그러한 공격에 대한 저장소를 만드는 것도 인지도를 높일 수 있습니다.

"안전한 컴퓨팅 측면에서 고객을 교육하는 것은 가장 큰 보상 중 하나입니다."

Washington State University의 정보 기술 서비스 부사장 겸 최고 정보 책임자인 Sasi Pillay는 자신과 그의 팀이 매년 사이버 보안 인식의 달을 열고 피싱을 퇴치하기 위한 일반적인 "사이버 인식 문화"를 만들기 위해 노력했다고 말했습니다. 하나의 사이버 보안 문제. Pillay는 "안전한 컴퓨팅 측면에서 고객을 교육하는 것은 가장 큰 보상 중 하나입니다."라고 말합니다.

위에 나열된 전략이 포괄적이지 않고 모든 공격을 방지하지 못할 수도 있지만 사이버 위협이 될 수 있는 고등 교육 기관의 싸움에서 상당한 이점을 가져올 수 있는 비교적 간단한 단계를 나타냅니다.

안전한 미래를 위한 열쇠

취약성, 일반적인 사이버 공격의 작동 방식 및 이러한 공격을 방지하는 방법을 이해하는 것은 고등 교육을 위한 보다 안전하고 재정적으로 안정적인 미래를 만드는 데 필수적입니다. 그러나 사이버 위협은 끊임없이 진화하고 있으며 오늘날 직면한 위협(및 위협 완화 전략)이 미래의 위협과 유사할 것이라는 보장은 없습니다.

Sasi Pillay의 경우 사이버 보안에 대한 장기적인 솔루션에는 소프트웨어 작성 및 설계 방식에 대한 근본적인 변화가 포함되어야 합니다.

Pillay는 "제 꿈이자 장기적인 비전은 손상된 환경에서 보안 컴퓨팅을 수행할 수 있는 것입니다."라고 말합니다. “우리가 해야 할 일은 오늘날 우리가 소프트웨어를 작성하는 방식을 크게 변화시키는 것입니다. 사람들이 보안 위험과 노출을 고려할 수 있도록 소프트웨어 개발을 강화해야 합니다.”

이 기사에서 간략하게 언급한 미래의 사이버 보안 과제를 해결하기 위한 또 다른 열쇠는 해당 분야의 강력하고 꾸준한 전문가 팀을 고용하는 것입니다. 물론 이는 대학 예산이 빠듯하고 인재가 부족하기 때문에 말처럼 쉽지 않습니다. 그러나 전문 프리랜서를 고용하거나 원격으로 일할 의향이 있는 사람을 포함하여 이 문제를 해결할 수 있는 여러 가지 방법이 있습니다.

고등 교육이 직면한 사이버 보안 문제는 크고 해결 비용이 가파르지만 방어 부족으로 인한 잠재적인 재정 및 평판 위험은 훨씬 더 높을 수 있습니다. 고등 교육 환경 전반의 기관은 효과적인 사이버 보안 솔루션이 궁극적으로 비용을 지불할 수 있음을 알게 될 수 있습니다.