ความปลอดภัยทางไซเบอร์ในระดับอุดมศึกษา: ปัญหาและแนวทางแก้ไข

สถาบันการศึกษาระดับสูงต้องเผชิญกับการโจมตีทางไซเบอร์อย่างต่อเนื่อง หลังจากเหตุการณ์ที่เกิดขึ้นในปี 2015 Kevin Morooney อดีตรอง Provost for Information Technology แห่งมหาวิทยาลัยแห่งรัฐเพนซิลวาเนีย - บอกกับ The New York Times ว่า Penn State เผชิญกับการโจมตีโดยเฉลี่ย 20 ล้านครั้งต่อวัน ซึ่งเป็นจำนวนที่ "ปกติสำหรับมหาวิทยาลัยวิจัย"

เริ่มต้นด้วยตัวอย่างเล็กๆ ของผลกระทบทางการเงินที่ภัยคุกคามดังกล่าวสามารถมีได้ บริษัทนิติวิทยาศาสตร์ดิจิทัลและความปลอดภัยทางไซเบอร์ LIFARS ประมาณการในรายงานปี 2016 ว่าการโจมตีแบบ Spear Phishing ซึ่งออกแบบมาเพื่อแทรกซึมองค์กรและขโมยข้อมูลที่ละเอียดอ่อน บ่อยครั้งผ่านอีเมล ทำให้ธุรกิจต้องเสียค่าใช้จ่ายโดยเฉลี่ย 1.8 ล้านเหรียญสหรัฐต่อเหตุการณ์ ในรายงานปี 2017 Cybersecurity Ventures คาดการณ์ว่าการโจมตีที่เกี่ยวข้องกับ Ransomware ซึ่งขู่ว่าจะขโมย บล็อก หรือเผยแพร่ข้อมูลของเหยื่อ เว้นแต่จะมีการจ่ายค่าไถ่ จะทำให้เกิดความเสียหายประมาณ 5 พันล้านดอลลาร์ในปี 2560 เพิ่มขึ้นจาก 325 ล้านดอลลาร์ในปี 2558

การศึกษาระดับอุดมศึกษามีอัตราการโจมตีแรนซัมแวร์สูงที่สุดในบรรดาอุตสาหกรรมทั้งหมดที่ทำการสำรวจในรายงานปี 2016 ที่เผยแพร่โดย BitSight (บริษัทจัดการความเสี่ยงทางไซเบอร์) และอัตราที่สูงเป็นอันดับสองในรายงานของ BitSight ในปี 2017 ดังนั้นมหาวิทยาลัยต่างๆ กำลังทำงานตลอดเวลาเพื่อป้องกันการขาดทุนที่อาจเกิดขึ้น คิม มิลฟอร์ด กรรมการบริหารศูนย์แบ่งปันและวิเคราะห์ข้อมูลเครือข่ายการวิจัยและการศึกษาของมหาวิทยาลัยอินเดียน่ากล่าวในงานชิ้นหนึ่งประจำปี 2559 ที่เขียนโดยศูนย์การศึกษาดิจิทัล ปัจจุบันมหาวิทยาลัยต่างๆ “ถูกล็อกเข้าสู่การแข่งขันด้านอาวุธที่มีราคาแพง” ขณะที่พวกเขาสำรวจวิธีการใหม่ๆ ทั้งต่อสู้กับการโจมตีในปัจจุบันและพยายามที่จะก้าวไปข้างหน้าหนึ่งก้าวของการโจมตีที่จะเกิดขึ้น ไม่ว่าการโจมตีทางไซเบอร์จะประสบผลสำเร็จหรือไม่ก็ตาม Milford กล่าวว่าสิ่งเหล่านี้เป็นปัญหาที่มีค่าใช้จ่ายสูงและมีอยู่ในปัจจุบันซึ่งมหาวิทยาลัยต่างๆ ถูกบังคับให้ต้องจัดการ

บางทีอาจมีนัยสำคัญมากกว่าการสูญเสียทางการเงินที่อาจเกิดขึ้น การโจมตีทางอินเทอร์เน็ตอาจเป็นภัยคุกคามร้ายแรงต่อชื่อเสียงของมหาวิทยาลัยและความปลอดภัยของนักศึกษา

แต่ความเสี่ยงที่เกิดจากการโจมตีทางไซเบอร์นั้นกว้างไกลเกินกว่าความสูญเสียทางการเงินสำหรับโลกของอุดมศึกษา อันที่จริง วิทยาลัยและมหาวิทยาลัยมีข้อมูลที่ละเอียดอ่อนจำนวนมาก ตั้งแต่หมายเลขประกันสังคมของนักเรียนไปจนถึงทรัพย์สินทางปัญญาอันมีค่า ซึ่งหากถูกขโมยหรือถูกบุกรุก อาจทำให้เกิดความเสียหายอย่างมากเกินกว่ากำแพงของสถานศึกษา บางทีอาจมีนัยสำคัญมากกว่าการสูญเสียทางการเงินที่อาจเกิดขึ้นดังกล่าว การโจมตีทางอินเทอร์เน็ตอาจเป็นภัยคุกคามร้ายแรงต่อชื่อเสียงของมหาวิทยาลัยและความปลอดภัยของนักศึกษา

แม้ว่าภัยคุกคามจะพัฒนาอย่างต่อเนื่อง แต่วิทยาลัยและมหาวิทยาลัยต่างๆ ยังต้องลงทุนในทั้งบุคลากรที่มีความสามารถและโครงสร้างพื้นฐานที่จำเป็นต่อการรับมือกับความท้าทายด้านความปลอดภัยทางไซเบอร์ในอนาคต บทความนี้จะเน้นย้ำถึงความสำคัญของการพัฒนาความเชี่ยวชาญด้านความปลอดภัยทางไซเบอร์สำหรับสถาบันการศึกษาระดับอุดมศึกษาและเสนอกลยุทธ์เพื่อจัดการกับความท้าทายเหล่านี้ เริ่มต้นด้วยการตรวจสอบว่าทำไมวิทยาลัยและมหาวิทยาลัยจึงมีความเสี่ยงต่อการโจมตีทางไซเบอร์ เราจะพยายามทำความเข้าใจกับกลยุทธ์ที่ผู้โจมตีใช้เพื่อใช้ประโยชน์จากช่องโหว่เหล่านี้ และนำเสนอชุดคำแนะนำที่ออกแบบมาเพื่อให้วิทยาลัยและมหาวิทยาลัยสามารถจัดการกับภัยคุกคามทางไซเบอร์ได้ดียิ่งขึ้นในอนาคต

ทำไมการศึกษาระดับอุดมศึกษาจึงมีความเสี่ยง?

ในขณะที่แทบทุกอุตสาหกรรมหลักเผชิญกับความท้าทายด้านความปลอดภัยทางไซเบอร์ที่สำคัญ การศึกษาระดับอุดมศึกษามีความเสี่ยงเป็นพิเศษด้วยเหตุผลสำคัญหลายประการ

หนึ่งเกี่ยวข้องกับวัฒนธรรมที่เป็นเอกลักษณ์ของสถาบันการศึกษาซึ่งภาคภูมิใจในระดับของการเปิดกว้างและความโปร่งใสที่อุตสาหกรรมส่วนใหญ่ขาด อย่างที่ Fred Cate ผู้อำนวยการ Indiana University Center for Applied Cybersecurity Research ได้กล่าวไว้ในบทความเกี่ยวกับธุรกิจของมหาวิทยาลัยในปี 2013 วิทยาลัยและมหาวิทยาลัยต่างๆ ได้เน้นย้ำความพยายามในอดีตเพื่อให้แน่ใจว่า “คณาจารย์และนักศึกษาของเรา และสาธารณชนและผู้บริจาคของเรา [สามารถ] เชื่อมโยงกันได้อย่างงดงาม กับเราได้ง่ายๆ” บทความกล่าวว่าสิ่งนี้ทำให้เครือข่ายคอมพิวเตอร์ของวิทยาลัยและมหาวิทยาลัย “เปิดกว้างและน่าดึงดูดใจเหมือนกับวิทยาเขตของพวกเขา”

อีกเหตุผลหนึ่งเกี่ยวข้องกับประวัติศาสตร์ โดยเฉพาะอย่างยิ่ง วิทยาลัยและมหาวิทยาลัยต่างๆ ออนไลน์มานานแค่ไหนแล้ว Alex Heid หัวหน้าเจ้าหน้าที่วิจัยของ SecurityScorecard (บริษัทบริหารความเสี่ยงบุคคลที่สาม) กล่าวในบทความ EducationDIVE ประจำปี 2559 ว่ามหาวิทยาลัยเป็นเป้าหมายหลักสำหรับการโจมตีทางอินเทอร์เน็ตโดยส่วนใหญ่มาโดยตลอด เพราะ “มหาวิทยาลัยเป็นหนึ่งในสถานที่แรกๆ ที่มีการเข้าถึงอินเทอร์เน็ต และด้วย การเข้าถึงอินเทอร์เน็ตคุณมีคนที่พยายามจะดูว่ามันจะไปได้ไกลแค่ไหน” เนื่องมาจากการเข้าใช้อินเทอร์เน็ตมาเป็นเวลานาน วิทยาลัยและมหาวิทยาลัยจึงเป็นเป้าหมายที่มองเห็นได้มานานแล้ว และจุดอ่อนของพวกเขาจึงน่าจะเป็นที่รู้จักและเข้าใจโดยผู้โจมตีทางอินเทอร์เน็ตเป็นอย่างดี

ผู้โจมตีทางไซเบอร์ใช้เทคโนโลยีและวิธีการที่ทันสมัยในการใช้ประโยชน์จากระบบของมหาวิทยาลัยที่ล้าสมัยและไม่สามารถเทียบเคียงได้ในบางกรณี

เนื่องจากวิทยาลัยและมหาวิทยาลัยเริ่มนำเครื่องมือและอินเทอร์เฟซดิจิทัลมาใช้ (และเป็นผลมาจากข้อกังวลด้านการเงินและการปฏิบัติอื่นๆ) สถาบันการศึกษาระดับสูงหลายแห่งจึงยังคงพึ่งพาระบบเดิมที่เสี่ยงต่อการถูกโจมตีโดยเฉพาะ “วิทยาลัยหลายแห่งใช้สิ่งที่เขียนเมื่อหลายปีก่อน” Heid กล่าวในบทความดังกล่าว กล่าวง่ายๆ ว่าผู้โจมตีทางอินเทอร์เน็ตใช้เทคโนโลยีและวิธีการที่ทันสมัยในการใช้ประโยชน์จากระบบของมหาวิทยาลัยที่ล้าสมัยและไม่สามารถเทียบเคียงได้ในบางกรณี

โดยเฉพาะอย่างยิ่ง ระบบไอทีของมหาวิทยาลัยมักมีลักษณะเป็นการกระจายอำนาจ และในมุมมองของ Heid มีการสร้างแบบสุ่มที่ผู้โจมตีสามารถใช้ประโยชน์ได้ง่าย ในบล็อกโพสต์ปี 2017 สำหรับการจัดการความเสี่ยงด้านข้อมูลและบริษัทซอฟต์แวร์ Code42 Ashley Jarosch ตั้งข้อสังเกตว่าในขณะที่มันอาจสมเหตุสมผลจากมุมมองด้านการปฏิบัติงานสำหรับแต่ละแผนกในการดำเนินงานภายใต้โครงสร้างไอทีของตนเอง (เธอเขียนว่าแผนกฟิสิกส์ดาราศาสตร์ของมหาวิทยาลัยจะมีความแตกต่างกัน) ความต้องการทางเทคโนโลยีมากกว่าแผนกวรรณกรรมของมหาวิทยาลัย เป็นต้น) การตั้งค่าทีละน้อยนี้จะสร้างช่องโหว่ด้านความปลอดภัยของข้อมูลที่ชัดเจน Jarosch เขียนว่า "ในแผนกต่างๆ หลายสิบแผนก (หรือหลายสิบแผนก) มีโอกาสที่ดีที่อุปกรณ์ที่ล้าสมัยและระบบปฏิบัติการที่ไม่ได้รับการติดตั้งร่วมกัน ตัวกรองอีเมลและ AV ไม่เพียงพอ การสำรองข้อมูลผิดพลาด หรือการฝึกอบรมและนโยบายผู้ใช้ไม่เพียงพอ"

แม้ว่าจะไม่ใช่ปัญหาเฉพาะสำหรับการศึกษาระดับอุดมศึกษา แต่ปัญหาการขาดแคลนบุคลากรด้านความปลอดภัยในโลกไซเบอร์นั้นเป็นอุปสรรคสำคัญที่วิทยาลัยและมหาวิทยาลัยต้องเอาชนะเพื่อแก้ไขปัญหาที่กล่าวถึงข้างต้น การศึกษาล่าสุดที่ดำเนินการโดยบริษัทที่ปรึกษา Frost & Sullivan คาดการณ์ว่าจะมีงานด้านความปลอดภัยทางไซเบอร์ที่ยังไม่สำเร็จ 1.8 ล้านตำแหน่งภายในปี 2020 และการขาดแคลนผู้มีความสามารถนี้มีอยู่ในระดับโลก โดยผู้เชี่ยวชาญเกือบ 70 เปอร์เซ็นต์ทั่วโลกกล่าวว่าพนักงานรักษาความปลอดภัยทางไซเบอร์มีพนักงานน้อยเกินไป . ด้วยความต้องการผู้มีความสามารถด้านการรักษาความปลอดภัยทางไซเบอร์ที่มีมากกว่าอุปทาน บริษัทต่างๆ มักจะจ่ายเงินจำนวนมหาศาลสำหรับความเชี่ยวชาญด้านการรักษาความปลอดภัยทางไซเบอร์ สิ่งนี้น่าจะทำให้วิทยาลัยและมหาวิทยาลัยเสียเปรียบอย่างร้ายแรงเมื่อพยายามหลอกล่อผู้มีความสามารถดังกล่าวออกจากงานภาคเอกชนที่มีรายได้สูงที่ Alphabet, Facebook และอื่น ๆ

ด้วยความเข้าใจถึงสาเหตุที่ทำให้เกิดช่องโหว่ด้านความปลอดภัยทางไซเบอร์ของการศึกษาระดับอุดมศึกษา ตอนนี้เราสามารถสำรวจวิธีการใช้ประโยชน์จากช่องโหว่เหล่านี้

วิธีที่ผู้โจมตีใช้ประโยชน์จากช่องโหว่

นักแสดงที่ชั่วร้ายใช้กลวิธีและเครื่องมือที่หลากหลายเมื่อทำการโจมตีทางไซเบอร์ วิธีการดังกล่าวที่พบบ่อยที่สุดสองวิธีได้อธิบายไว้ด้านล่าง แม้ว่ารายการนี้ไม่ได้ละเอียดถี่ถ้วนหรือเฉพาะในวิทยาลัยและมหาวิทยาลัย แต่จะช่วยให้เข้าใจมากขึ้นว่าแฮ็กเกอร์มุ่งหวังที่จะใช้ประโยชน์จากช่องว่างในการรักษาความปลอดภัยทางไซเบอร์ได้อย่างไร และพิสูจน์ว่ามีประโยชน์ในการพิจารณาวิธีที่ดีที่สุดในการหยุดการโจมตีดังกล่าวในอนาคต

SQL Injections: SQL Injections (SQLi) อธิบายโดยบางคนว่า "อาจเป็นปัญหาที่ร้ายแรงที่สุดที่แอปพลิเคชันบนเว็บต้องเผชิญ" พูดง่ายๆ ก็คือ การโจมตีที่ออกแบบมาเพื่อเลี่ยงผ่านการป้องกันด้วยรหัสผ่านผ่านการใช้ประโยชน์จากฐานข้อมูลที่รองรับแอปพลิเคชันบางตัว SQL (Standard Query Language) เป็นภาษาที่จัดการและสื่อสารกับฐานข้อมูล การฉีด SQL ทำงานผ่านการใช้ประโยชน์จากจุดอ่อนในโค้ดที่อยู่ภายใต้หน้าอินพุต (เช่น หน้าล็อกอินชื่อผู้ใช้และรหัสผ่าน) และบังคับให้ฐานข้อมูลที่กำหนดให้ส่งคืนข้อมูลที่ละเอียดอ่อน ตัวอย่างเช่น เมื่อต้องเผชิญกับหน้าเข้าสู่ระบบชื่อผู้ใช้และรหัสผ่าน ผู้โจมตีสามารถป้อน ("ฉีด") ส่วนหนึ่งของรหัส SQL ลงในส่วนรหัสผ่าน หากรหัสของฐานข้อมูลพื้นฐานมีช่องโหว่ รหัส SQL นี้สามารถแก้ไขฐานข้อมูลพื้นฐานและบังคับแอปพลิเคชันที่ฐานข้อมูลควบคุมเพื่ออนุญาตให้แฮ็กเกอร์เข้าถึงได้

วิทยาลัยและมหาวิทยาลัยมีแอปพลิเคชันออนไลน์ที่มีการป้องกันด้วยรหัสผ่านมากมาย ตั้งแต่รายงานเกรดของนักเรียนไปจนถึงข้อมูลการจ้างงานของคณาจารย์ ซึ่งสามารถแบ่งออกเป็นทางทฤษฎีโดยใช้ SQL Injections การโจมตีระดับอุดมศึกษาเกิดขึ้นครั้งหนึ่งในเดือนกุมภาพันธ์ 2017 เมื่อแฮ็กเกอร์ชาวรัสเซียหรือกลุ่มแฮ็กเกอร์ใช้ SQL Injections เพื่อขโมยข้อมูลจากวิทยาลัยและมหาวิทยาลัยหลายแห่งในสหรัฐฯ รวมถึง Cornell University และ New York University ตราบใดที่สถาบันการศึกษาระดับสูงยังคงมีจุดอ่อนที่เขียนลงในฐานข้อมูลพื้นฐาน การฉีด SQL ก็มักจะยังคงพบเห็นได้ทั่วไปและทั้งหมดนี้ง่ายเกินไปสำหรับแฮกเกอร์ที่จะใช้

ฟิชชิ่ง: ดังที่กล่าวไว้ในตอนต้นของบทความนี้ การโจมตีแบบฟิชชิงมีลักษณะเป็นอีเมลหรือหน้าเว็บที่ออกแบบมาเพื่อหลอกผู้ใช้ให้ป้อนข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือข้อมูลบัตรเครดิต สำนักงานรักษาความปลอดภัยข้อมูลของมหาวิทยาลัยพรินซ์ตันให้ภาพรวมที่เป็นประโยชน์ว่าการโจมตีดังกล่าวมักจะปรากฏให้เห็นอย่างไร:

“โดยปกติแล้ว ฟิชเชอร์จะส่งข้อความอีเมลไปยังบุคคลกลุ่มใหญ่ ซึ่งเขาได้รับที่อยู่จากสมุดที่อยู่และเว็บไซต์ต่างๆ ทางอินเทอร์เน็ต ข้อความซึ่งมักจะสร้างขึ้นมาอย่างดีและดูเป็นทางการ อาจอ้างว่ามาจากสถาบันการเงิน ผู้ให้บริการ หรือองค์กรอื่นใดที่ผู้รับรู้จัก…บ่อยครั้งขอให้ผู้รับให้ข้อมูลโดยคลิกลิงก์เว็บไซต์ใน อิเมล. แต่ในขณะที่ลิงก์ไปยังเว็บไซต์อาจดูเหมือนถูกต้อง ลิงก์ที่แสดงไม่จำเป็นต้องเป็นเว็บไซต์จริงที่คุณเข้าชมเมื่อคุณคลิก”

30% ของผู้ใช้ในอุตสาหกรรมการศึกษาตกหลุมพรางฟิชชิ่งที่อ้างว่าเป็นการสื่อสารองค์กร ซึ่งเพิ่มขึ้นเป็นสองเท่าของประชากรทั่วไปในปีที่แล้ว

การโจมตีแบบฟิชชิ่งสามารถมีเป้าหมายสูงสุดได้หลากหลาย ตั้งแต่การขโมยข้อมูลผู้ใช้ไปจนถึงการติดตั้งแรนซัมแวร์ในคอมพิวเตอร์ของเหยื่อ และการแยกการชำระเงินทางการเงิน แม้ว่าการโจมตีเหล่านี้อาจดูเหมือนชัดเจนและหลีกเลี่ยงได้ง่าย แต่จากการศึกษาพบว่าธุรกิจส่วนใหญ่ตกเป็นเหยื่อของการหลอกลวงแบบฟิชชิ่ง อุตสาหกรรมการศึกษาได้รับการพิสูจน์ว่ามีความอ่อนไหวเป็นพิเศษ เนื่องจาก Wombat Security ซึ่งเป็นบริษัทซอฟต์แวร์ที่อุทิศตนเพื่อช่วยเหลือบริษัทต่างๆ ในการต่อสู้กับการโจมตีแบบฟิชชิ่ง พบในรายงานปี 2017 ที่ผู้ใช้ 30% ในอุตสาหกรรมการศึกษาคลิกการหลอกลวงแบบฟิชชิ่งที่อ้างว่าเป็นการสื่อสารองค์กร เพิ่มขึ้นสองเท่า อัตราประชากรทั่วไปในปีที่ผ่านมา

แม้ว่ากลวิธีที่กล่าวมาข้างต้นจะพิสูจน์แล้วว่าได้ผล แต่เราจะเห็นว่าสามารถป้องกันได้

วิธีป้องกันการโจมตี: โค้ดที่ดีขึ้นและความระมัดระวังมากขึ้น

มีกลยุทธ์มากมายในการต่อสู้กับการโจมตีทางไซเบอร์ที่อธิบายข้างต้น บางอย่างเกี่ยวข้องกับกลยุทธ์ที่ผู้เชี่ยวชาญด้านไอทีระดับอุดมศึกษาต้องใช้ตัวเอง ในขณะที่บางกลยุทธ์เกี่ยวข้องกับกลยุทธ์ที่ทุกคนในชุมชนการศึกษาระดับอุดมศึกษา รวมถึงผู้ใช้ปลายทาง ต้องใช้:

หยุดการโจมตี SQLi ผ่านข้อความสั่งที่เตรียมไว้ กระบวนงานที่เก็บไว้ และการตรวจสอบความถูกต้องของอินพุต

มีการเขียนมากมายเกี่ยวกับวิธีการป้องกันการโจมตี SQL Injection และฉันทามติก็คือการทำเช่นนั้นอาจไม่ได้ยากเป็นพิเศษ โครงการ Open Web Application Security (OWASP) ให้ภาพรวมของวิธีหลีกเลี่ยงการโจมตี SQLi OWASP อ้างอิงกลยุทธ์หลักสามประการในการทำเช่นนั้น:

แถลงการณ์ที่เตรียมไว้: วิทยาลัยและมหาวิทยาลัยควรสร้างฐานข้อมูลพื้นฐานด้วยข้อความที่เตรียมไว้ ตามที่ OWASP กล่าวว่า "คำสั่งที่เตรียมไว้ช่วยให้มั่นใจว่าผู้โจมตีไม่สามารถเปลี่ยนเจตนาของการสืบค้นแม้ว่าผู้โจมตีจะแทรกคำสั่ง SQL ก็ตาม" โดยพื้นฐานแล้ว คำสั่งที่เตรียมไว้สามารถแสดงคำสั่ง SQL ที่วางตัวเป็นข้อมูลอินพุตของผู้ใช้ (ชื่อผู้ใช้และรหัสผ่าน) ที่ไม่มีอำนาจ

กระบวนงานที่เก็บไว้: ตาม OWASP กระบวนงานที่เก็บไว้สามารถมีผลเช่นเดียวกับคำสั่งที่เตรียมไว้ ความแตกต่างหลักคือ "รหัส SQL สำหรับกระบวนงานที่เก็บไว้ถูกกำหนดและจัดเก็บไว้ในฐานข้อมูลแล้วเรียกจากแอปพลิเคชัน" ตามที่ OWASP และคนอื่น ๆ ได้เขียนไว้ กระบวนงานที่เก็บไว้อาจไม่เหมาะสมสำหรับการป้องกันการโจมตี SQLi เสมอไป แต่เป็นตัวเลือกที่ใช้ได้สำหรับวิทยาลัยและมหาวิทยาลัยเมื่อเขียนและนำไปใช้อย่างเหมาะสม

การตรวจสอบความถูกต้องของอินพุต: การโจมตีด้วยการฉีด SQL ใช้ประโยชน์จากแอปพลิเคชันและฐานข้อมูลที่ไม่อ้างอิงโยงและตรวจสอบความถูกต้องของข้อมูลที่ป้อน ขั้นตอนเชิงตรรกะในการป้องกันการโจมตีเหล่านี้คือ เพื่อให้แน่ใจว่าฐานข้อมูลที่ถูกสร้างขึ้นต้องมีการตรวจสอบความถูกต้องของข้อมูลเข้า Microsoft ยังอ้างถึงการตรวจสอบอินพุตเป็นเทคนิคสำคัญในการหลีกเลี่ยงการโจมตี SQLi ภายในโมเดลการพัฒนาเว็บ ASP.net

การป้องกันฟิชชิ่งด้วยการฝึกอบรมและเพิ่มความสงสัย

ต่างจากการป้องกันการโจมตี SQLi ซึ่งสามารถทำได้ผ่านการแก้ไขทางเทคนิคภายใน การป้องกันการหลอกลวงแบบฟิชชิงต้องอาศัยผู้ใช้ปลายทางเป็นหลัก เช่น คณาจารย์ เจ้าหน้าที่ และนักเรียน มีหลายขั้นตอนที่วิทยาลัยและมหาวิทยาลัยควรดำเนินการเพื่อให้แน่ใจว่าผู้ใช้ปลายทางทุกคนระมัดระวังตัว:

ตัวกรองอีเมล: ในขั้นต้น ขั้นตอนง่ายๆ วิทยาลัยและมหาวิทยาลัยควรตั้งค่าตัวกรองอีเมลที่ส่งอีเมลที่น่าสงสัยที่ไม่ใช่ของมหาวิทยาลัยไปยังโฟลเดอร์สแปมของผู้ใช้ แม้ว่าสิ่งนี้จะยังห่างไกลจากการแก้ไขที่เข้าใจผิดได้ แต่ก็เป็นขั้นตอนแรกที่สำคัญที่สามารถป้องกันอีเมลที่เป็นอันตรายไม่ให้ไปถึงเป้าหมายได้

แคมเปญการฝึกอบรมและการรับรู้: วิทยาลัยและมหาวิทยาลัยควรกำหนดให้ผู้ใช้ปลายทางต้องผ่านการฝึกอบรมที่ครอบคลุมว่าฟิชชิ่งคืออะไรและจะจดจำได้อย่างไร มีบริษัทหลายแห่งที่อุทิศตนเพื่อให้บริการนี้ และสถาบันการศึกษาระดับสูงต้องเต็มใจที่จะลงทุนเวลาและทรัพยากรที่จำเป็นในการให้การศึกษาแก่คณะและพนักงานอย่างเหมาะสม ตามที่บทความในนิตยสาร Infosecurity ชี้ให้เห็น การฝึกอบรมนี้ควรทำซ้ำเป็นประจำและควรทำให้ผู้ใช้ได้รับการโจมตีแบบฟิชชิ่งที่หลากหลาย การแสดงตัวอย่างการโจมตีจริงและการสร้างที่เก็บสำหรับการโจมตีดังกล่าว ตามที่มหาวิทยาลัยพรินซ์ตันได้ทำกับ "Phish Bowl" ก็สามารถกระตุ้นการรับรู้ได้เช่นกัน

“การให้ความรู้แก่ลูกค้าในด้านการใช้คอมพิวเตอร์อย่างปลอดภัยนำมาซึ่งการคืนทุนที่ใหญ่ที่สุดอย่างหนึ่ง”

Sasi Pillay รองประธานฝ่ายบริการเทคโนโลยีสารสนเทศและประธานเจ้าหน้าที่ฝ่ายสารสนเทศของ Washington State University กล่าวว่าเขาและทีมของเขาจัดเดือนแห่งการรับรู้ด้านความปลอดภัยทางไซเบอร์ประจำปี และได้พยายามสร้าง "วัฒนธรรมการตระหนักรู้ในโลกไซเบอร์" โดยทั่วไปเพื่อต่อสู้กับฟิชชิ่ง ซึ่งเป็นตัวเลขของมหาวิทยาลัย ปัญหาความปลอดภัยทางไซเบอร์อย่างหนึ่ง "การให้ความรู้แก่ลูกค้าในแง่ของการใช้คอมพิวเตอร์อย่างปลอดภัยนำมาซึ่งการคืนทุนที่ใหญ่ที่สุดอย่างหนึ่ง" Pillay กล่าว

แม้ว่ากลยุทธ์ที่ระบุไว้ข้างต้นจะไม่ครอบคลุมและอาจไม่ป้องกันการโจมตีทุกครั้ง แต่ก็เป็นขั้นตอนที่ค่อนข้างง่ายที่สามารถให้ประโยชน์อย่างมากในการต่อสู้กับภัยคุกคามทางไซเบอร์ของการศึกษาระดับอุดมศึกษา

กุญแจสู่อนาคตที่มั่นคง

การทำความเข้าใจช่องโหว่ วิธีการทำงานของการโจมตีทางอินเทอร์เน็ตทั่วไป และวิธีป้องกันการโจมตีดังกล่าวเป็นพื้นฐานในการสร้างอนาคตที่ปลอดภัยและมีเสถียรภาพทางการเงินมากขึ้นสำหรับการศึกษาระดับอุดมศึกษา ทว่าภัยคุกคามทางไซเบอร์มีการพัฒนาอย่างต่อเนื่อง และไม่มีการรับประกันว่าภัยคุกคามที่เผชิญอยู่ในปัจจุบัน (และกลยุทธ์ในการบรรเทาผลกระทบเหล่านั้น) จะคล้ายกับภัยคุกคามในอนาคต

สำหรับ Sasi Pillay โซลูชันระยะยาวสำหรับการรักษาความปลอดภัยทางไซเบอร์ต้องมีการเปลี่ยนแปลงขั้นพื้นฐานในการเขียนและออกแบบซอฟต์แวร์

Pillay กล่าวว่า "ความฝันและวิสัยทัศน์ระยะยาวของฉันคือสามารถใช้คอมพิวเตอร์ได้อย่างปลอดภัยในสภาพแวดล้อมที่ไม่ปลอดภัย" “สิ่งที่เราต้องทำคือเปลี่ยนวิธีการเขียนซอฟต์แวร์ในปัจจุบันอย่างมาก การพัฒนาซอฟต์แวร์จำเป็นต้องได้รับการเสริมกำลังเพื่อให้ผู้คนคำนึงถึงความเสี่ยงด้านความปลอดภัยและความเสี่ยง”

กุญแจสำคัญอีกประการหนึ่งในการรับมือกับความท้าทายด้านความปลอดภัยทางไซเบอร์ในอนาคตที่กล่าวถึงโดยย่อในบทความนี้คือการจ้างทีมผู้เชี่ยวชาญที่เข้มแข็งและมั่นคงในสาขานี้ แน่นอนว่าพูดง่ายกว่าทำ เนื่องจากงบประมาณของมหาวิทยาลัยมีจำกัดและความสามารถก็หายาก ยังคงมีหลายวิธีในการแก้ไขปัญหานี้ รวมถึงการจ้าง freelancer ที่เชี่ยวชาญและผู้ที่ต้องการทำงานจากระยะไกล

แม้ว่าความท้าทายด้านความปลอดภัยทางไซเบอร์ที่ต้องเผชิญกับการศึกษาระดับอุดมศึกษาจะมีขนาดใหญ่และค่าใช้จ่ายในการแก้ไขปัญหานั้นสูงชัน แต่ความเสี่ยงทางการเงินและชื่อเสียงที่อาจเกิดขึ้นจากการป้องกันไม่เพียงพอนั้นกลับมีแนวโน้มสูงขึ้นไปอีก สถาบันต่างๆ ในระดับอุดมศึกษาอาจพบว่าโซลูชันการรักษาความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพสามารถจ่ายเงินให้ตนเองได้ในท้ายที่สุด