Yüksek Öğrenimde Siber Güvenlik: Sorunlar ve Çözümler

Yüksek öğrenim kurumları, sürekli bir siber saldırı tufanıyla karşı karşıyadır. 2015'teki bir olayın ardından, Pennsylvania Eyalet Üniversitesi Bilgi Teknolojilerinden Sorumlu eski Başkan Yardımcısı Kevin Morooney, The New York Times'a Penn State'in günde ortalama 20 milyon saldırıyla karşı karşıya olduğunu söyledi, bu "bir araştırma üniversitesi için tipik bir miktar".

Dijital adli tıp ve siber güvenlik firması LIFARS, bu tür tehditlerin sahip olabileceği finansal etkilerin küçük bir örneğiyle başlayarak, 2016 tarihli bir raporda, bir kuruluşa sızmak ve genellikle e-posta yoluyla hassas bilgileri çalmak için tasarlanan Mızraklı Kimlik Avı saldırılarının işletmelere ortalama maliyete mal olduğunu tahmin ediyor. Olay başına 1,8 milyon dolar. 2017 raporunda, Cybersecurity Ventures, fidye ödenmediği takdirde kurbanın verilerini çalmak, engellemek veya yayınlamakla tehdit eden Fidye Yazılımı içeren saldırıların, 2015'te 325 milyon dolardan 2017'de kabaca 5 milyar dolar zarara yol açacağını öngördü.

BitSight (bir siber risk yönetimi şirketi) tarafından yayınlanan 2016 raporunda incelenen tüm sektörler arasında yüksek öğrenim en yüksek fidye yazılımı saldırısı oranına ve BitSight'ın 2017 raporunda ikinci en yüksek orana sahipti. Buna göre, üniversiteler bu büyük potansiyel kayıplara karşı savunmalarını güçlendirmek için gece gündüz çalışıyorlar. Indiana Üniversitesi Araştırma ve Eğitim Ağı Bilgi Paylaşımı ve Analizi Merkezi'nin yönetici direktörü Kim Milford, Dijital Eğitim Merkezi tarafından 2016 yılında yazılan bir yazıda söylediği gibi, üniversiteler yeni yöntemler keşfederken artık “pahalı bir silahlanma yarışına kilitlenmiş durumda”. hem mevcut saldırılarla mücadele ediyor hem de gelecek saldırıların bir adım önünde kalmaya çalışıyor. Milford, siber saldırıların başarılı olup olmadığına bakılmaksızın, üniversitelerin ele almak zorunda olduğu maliyetli ve her zaman mevcut bir sorunu temsil ettiğini söylüyor.

Olası mali kayıplardan belki de daha önemli olan siber saldırılar, bir üniversitenin itibarı ve öğrencilerinin güvenliği için ciddi bir tehdit oluşturuyor.

Ancak siber saldırıların oluşturduğu riskler, yüksek eğitim dünyası için finansal kayıpların ötesine geçiyor. Gerçekten de kolejler ve üniversiteler, öğrenci sosyal güvenlik numaralarından değerli fikri mülkiyet haklarına kadar, çalınması veya ele geçirilmesi durumunda akademinin duvarlarının çok ötesinde ciddi hasara yol açabilecek çok büyük miktarda hassas veri barındırır. Belki de yukarıda bahsedilen potansiyel mali kayıplardan daha da önemli olan siber saldırılar, bir üniversitenin itibarı ve öğrencilerinin güvenliği için ciddi bir tehdit oluşturuyor.

Tehditler sürekli gelişiyor olsa da, kolejler ve üniversiteler, gelecekte siber güvenlik zorluklarını karşılamak için ihtiyaç duyulan hem yeteneğe hem de altyapıya yatırım yapmaya devam etmelidir. Bu makale, yüksek öğrenim kurumları için siber güvenlik uzmanlığı geliştirmenin önemini daha da aydınlatacak ve bu zorlukların üstesinden gelmek için stratejiler sunacaktır. Kolejlerin ve üniversitelerin siber saldırılara karşı neden benzersiz bir şekilde savunmasız olduklarının bir incelemesiyle başlayarak, saldırganların bu güvenlik açıklarından yararlanmak için kullandıkları stratejileri anlamaya çalışacağız ve kolejleri ve üniversiteleri geleceğe yönelik siber tehditlere karşı daha iyi donatmak için tasarlanmış bir dizi öneriye ulaşacağız.

Yüksek Öğrenim Neden Savunmasızdır?

Hemen hemen her büyük endüstri önemli siber güvenlik sorunlarıyla karşı karşıya olsa da, yüksek öğrenim birkaç temel nedenden dolayı özellikle savunmasızdır.

Akademinin, çoğu endüstrinin sahip olmadığı bir açıklık ve şeffaflık derecesi ile övünen eşsiz kültürüyle ilgili. Indiana Üniversitesi Uygulamalı Siber Güvenlik Araştırmaları Merkezi direktörü Fred Cate'in 2013 yılında bir Üniversite İşletmesi makalesinde belirttiği gibi, kolejler ve üniversiteler tarihsel olarak "fakültemiz, öğrencilerimiz, halkımız ve bağışçılarımızın güzel bir şekilde bağlantı kurabilmesini sağlamaya odaklanmıştır. bize kolayca.” Bu, kolej ve üniversite bilgisayar ağlarını "kampüsleri kadar açık ve davetkar" hale getirdi.

Diğer bir neden ise tarihle, özellikle de kolejlerin ve üniversitelerin ne kadar süredir çevrimiçi olduklarıyla ilgilidir. SecurityScorecard'ın (üçüncü taraf bir risk yönetimi şirketi) Baş Araştırma Görevlisi Alex Heid, 2016 EducationDIVE makalesinde, üniversitelerin büyük ölçüde siber saldırılar için her zaman ana hedefler olduğunu çünkü “Üniversiteler internet erişimi olan ilk yerlerden biriydi ve İnternet erişimi, bunun ne kadar ileri gidebileceğini görmeye çalışan insanlar var.” Nispeten uzun bir süredir internet erişimine sahip olmaları nedeniyle, kolejler ve üniversiteler uzun süredir görünür hedefler olmuştur ve bu nedenle zayıflıkları muhtemelen siber saldırganlar tarafından çok iyi bilinmekte ve anlaşılmaktadır.

Siber saldırganlar, bazı durumlarda ne yazık ki modası geçmiş ve rakipsiz olan üniversite sistemlerinden yararlanmak için en son teknolojileri ve yöntemleri kullanır.

Kolejler ve üniversiteler dijital araçları ve arayüzleri benimsemede çok erken olduklarından (ve finansal ve diğer pratik kaygıların bir sonucu olarak), birçok yüksek öğrenim kurumu hala saldırılara karşı özellikle savunmasız olan eski sistemlere güveniyor. Heid, bahsi geçen makalede, "Birçok kolej yıllar önce yazılmış şeyleri kullanıyor" dedi. Basitçe söylemek gerekirse, siber saldırganlar, bazı durumlarda ne yazık ki modası geçmiş ve rakipsiz olan üniversite sistemlerinden yararlanmak için en son teknolojileri ve yöntemleri kullanır.

Daha spesifik olarak, üniversite BT sistemleri genellikle merkezi olmayan ve Heid'in görüşüne göre saldırganların kolayca yararlanabileceği gelişigüzel bir yapı ile karakterize edilir. Veri riski yönetimi ve yazılım firması Code42 için 2017'de yayınlanan bir blog yazısında Ashley Jarosch, bireysel departmanların kendi BT yapıları altında faaliyet göstermesinin operasyonel bir bakış açısıyla mantıklı olsa da (bir üniversitenin astrofizik bölümünün muhtemelen farklı olacağını yazıyor) Örneğin, bir üniversitenin edebiyat bölümünden daha teknolojik ihtiyaçlar), bu tür parça parça kurulum, net bilgi güvenliği açıkları yaratır. Jarosch, "Bir düzine (veya düzinelerce) departmanda, en az birinin eski cihazlar ve yama uygulanmamış işletim sistemi, yetersiz e-posta filtreleme ve AV, hatalı veri yedekleme veya yetersiz kullanıcı eğitimi ve politikasının bir kombinasyonuna sahip olma olasılığı yüksektir" diye yazıyor.

Yüksek öğrenime özgü bir sorun olmasa da, siber güvenlik yeteneğindeki eksiklik, kolejlerin ve üniversitelerin yukarıda belirtilen sorunları ele almak için üstesinden gelmesi gereken önemli bir engeli temsil ediyor. Danışmanlık firması Frost & Sullivan tarafından yakın zamanda yürütülen bir araştırma, 2020 yılına kadar 1,8 milyon doldurulmamış siber güvenlik işi olacağını ve bu yetenek eksikliğinin küresel ölçekte mevcut olduğunu ve dünya çapında profesyonellerin yaklaşık yüzde 70'inin personelde çok az siber güvenlik çalışanı olduğunu söylediğini projelendiriyor. . Siber güvenlik yeteneklerine olan talebin arzı geride bırakmasıyla şirketler, siber güvenlik uzmanlığı için genellikle en yüksek doları ödüyor. Bu, bu tür yetenekleri Alphabet, Facebook ve benzerlerinde yüksek ücretli özel sektör işlerinden uzaklaştırmaya çalışırken kolejleri ve üniversiteleri ciddi bir dezavantaja sokar.

Yüksek öğrenimin siber güvenlik açıklarının altında yatan nedenleri anlayarak, artık bu açıklardan yararlanma yollarını keşfedebiliriz.

Saldırganlar Güvenlik Açıklarından Nasıl Yararlanıyor?

Hain aktörler, siber saldırılar başlatırken çeşitli taktikler ve araçlar kullanır. Bu tür en yaygın yöntemlerden ikisi aşağıda özetlenmiştir. Bu liste hiçbir şekilde ayrıntılı olmamasına veya kolejlere ve üniversitelere özgü olmamasına rağmen, bilgisayar korsanlarının siber güvenlikteki boşluklardan nasıl yararlanmayı amaçladıklarını tam olarak daha iyi anlamayı sağlayacak ve bu tür saldırıların gelecekte en iyi nasıl durdurulacağını düşünmede faydalı olacaktır.

SQL Enjeksiyonları: Bazıları tarafından "web uygulamalarının karşılaştığı tartışmasız en ciddi sorun" olarak tanımlanan SQL Enjeksiyonları (SQLi), basit bir ifadeyle, belirli uygulamaların altında yatan veritabanlarından yararlanarak parola korumalarını atlamak için tasarlanmış saldırılardır. SQL (Standart Sorgu Dili), veritabanlarını yöneten ve iletişim kuran bir dildir. SQL Enjeksiyonları, giriş sayfalarının (örneğin kullanıcı adı ve parola giriş sayfaları gibi) altında yatan koddaki zayıflıklardan yararlanarak ve belirli bir veritabanını hassas bilgileri döndürmeye zorlayarak çalışır. Örneğin, bir kullanıcı adı ve şifre giriş sayfası ile karşılaştığında, bir saldırgan şifre bölümüne SQL kodunun bir kısmını girebilir (“enjekte edebilir”). Temel veritabanının kodu savunmasızsa, bu SQL kodu temel alınan veritabanını değiştirebilir ve veritabanının kontrol ettiği uygulamayı bilgisayar korsanının erişimine izin vermeye zorlayabilir.

Kolejler ve üniversiteler, öğrenci notu raporlarından fakülte istihdam bilgilerine kadar, SQL Enjeksiyonları kullanılarak teorik olarak kırılabilecek sayısız parola korumalı çevrimiçi uygulamaya sahiptir. Yüksek öğretime yönelik bu tür bir saldırı, Şubat 2017'de, bir Rus hacker veya hacker grubu, Cornell Üniversitesi ve New York Üniversitesi de dahil olmak üzere düzinelerce ABD kolej ve üniversitesinden veri çalmak için SQL Enjeksiyonları kullandığında geldi. Yüksek öğrenim kurumları, temel veritabanlarına yazılan zayıflıklara sahip olmaya devam ettiği sürece, SQL Enjeksiyonları muhtemelen yaygın ve bilgisayar korsanlarının kullanması çok kolay olmaya devam edecektir.

Kimlik Avı: Bu makalenin başında belirtildiği gibi, kimlik avı saldırıları, kullanıcıları şifre veya kredi kartı bilgileri gibi hassas verileri girmeye kandırmak için tasarlanmış e-postalar veya web sayfaları ile karakterize edilir. Princeton Üniversitesi Bilgi Güvenliği Ofisi, bu tür saldırıların genellikle nasıl ortaya çıktığına dair faydalı bir genel bakış sağlar:

"Tipik olarak, kimlik avcısı, adres defterlerinden ve internetteki web sitelerinden adreslerini aldığı büyük bir grup kişiye bir e-posta mesajı gönderir. Genellikle iyi hazırlanmış ve resmi görünen mesajın bir finans kuruluşundan, hizmet sağlayıcıdan veya alıcı tarafından bilinen başka bir kuruluştan geldiği iddia edilebilir… Çoğu zaman, alıcıdan, içindeki bir web sitesi bağlantısını tıklayarak bilgileri sağlaması istenir. E-posta. Ancak web sitesine verilen bağlantı yasal görünse de, görüntülenen bağlantı, tıkladığınızda ziyaret ettiğiniz gerçek site olmayabilir.”

Eğitim sektöründeki kullanıcıların yüzde 30'u, kurumsal iletişim gibi görünen kimlik avı dolandırıcılığına düştü; bu, geçen yıl genel nüfusun oranını ikiye katladı.

Kimlik avı saldırılarının, kullanıcı verilerini çalmaktan kurbanın bilgisayarına fidye yazılımı yüklemeye ve finansal ödeme almaya kadar çok çeşitli nihai hedefleri olabilir. Bu saldırılar bariz ve kaçınılması kolay gibi görünse de, araştırmalar işletmelerin önemli bir çoğunluğunun kimlik avı dolandırıcılığının kurbanı olduğunu göstermiştir. Şirketlerin kimlik avı saldırılarıyla mücadele etmesine yardımcı olmaya adanmış bir yazılım şirketi olan Wombat Security'nin 2017 raporunda, eğitim endüstrisindeki kullanıcıların yüzde 30'unun kurumsal iletişim gibi görünen kimlik avı dolandırıcılıklarına tıkladığını ve bu sayıyı ikiye katladığını tespit etmesiyle, eğitim endüstrisinin özellikle hassas olduğu kanıtlanmıştır. genel nüfus oranı, son bir yıl içinde.

Yukarıda bahsedilen taktiklerin etkili olduğu kanıtlanmış olsa da, bunların önlenebileceğini göreceğiz.

Saldırılar Nasıl Önlenir: Daha İyi Kodlama ve Daha Fazla Dikkat

Yukarıda açıklanan siber saldırılarla mücadele için bir takım stratejiler mevcuttur. Bazıları, yüksek öğretim BT uzmanlarının kendilerinin kullanması gereken stratejileri içerirken, diğerleri, son kullanıcılar da dahil olmak üzere yüksek öğretim topluluğundaki herkesin uygulaması gereken stratejileri içerir:

Hazırlanan İfadeler, Saklı Prosedürler ve Giriş Doğrulaması yoluyla SQLi saldırılarını durdurma

SQL Injection saldırılarının nasıl önleneceği hakkında çok şey yazıldı ve fikir birliği, bunu yapmanın aslında özellikle zor olmayabileceği yönünde. Open Web Application Security Project (OWASP), SQLi saldırılarından nasıl kaçınılacağına dair bir genel bakış sağlar. OWASP bunu yapmak için üç temel stratejiden bahseder:

Hazırlanmış Beyanlar: Kolejler ve üniversiteler, temel veritabanlarını hazırlanmış beyanlarla oluşturmalıdır. OWASP'ın dediği gibi, "Hazırlanmış ifadeler, SQL komutları bir saldırgan tarafından eklenmiş olsa bile, bir saldırganın bir sorgunun amacını değiştirememesini sağlar." Esasen, hazırlanan ifadeler, kullanıcı giriş verileri (kullanıcı adları ve parolalar) olarak görünen SQL komutlarını güçsüz hale getirebilir.

Saklı Yordamlar: OWASP'a göre, saklı yordamlar hazırlanmış ifadelerle aynı etkiye sahip olabilir, birincil fark "bir saklı yordam için SQL kodunun veritabanının kendisinde tanımlanıp saklanması ve ardından uygulamadan çağrılmasıdır." OWASP ve diğerlerinin yazdığı gibi, saklı yordamlar SQLi saldırılarına karşı savunma için her zaman uygun olmayabilir, ancak düzgün yazıldığında ve uygulandığında kolejler ve üniversiteler için uygun bir seçenek olarak durur.

Girdi Doğrulaması: SQL enjeksiyon saldırıları, girilen verileri çapraz referanslamayan ve doğrulamayan uygulamalardan ve veritabanlarından yararlanır. Bu nedenle, bu saldırıları önlemeye yönelik mantıklı bir adım, oluşturulan bir veritabanının girdi doğrulaması gerektirdiğinden emin olmaktır. Microsoft ayrıca, ASP.net web geliştirme modelinde SQLi saldırılarından kaçınmak için önemli bir teknik olarak girdi doğrulamasından bahseder.

Eğitim ve Yükseltilmiş Şüphe Yoluyla Kimlik Avını Önleme

Dahili teknik düzeltmeler yoluyla yapılabilecek SQLi saldırılarını önlemenin aksine, kimlik avı dolandırıcılıklarını önleme büyük ölçüde son kullanıcılara – öğretim üyeleri, personel ve öğrenciler – bağlıdır. Tüm son kullanıcıların uyanık kalmasını sağlamak için kolejlerin ve üniversitelerin atması gereken birkaç adım vardır:

E-posta filtreleri: İlk ve basit adım olarak, kolejler ve üniversiteler, şüpheli üniversite dışı e-postaları bir kullanıcının spam klasörüne gönderen e-posta filtreleri oluşturmalıdır. Bu kusursuz bir düzeltme olmaktan uzak olsa da, kötü niyetli e-postaların hedeflerine ulaşmasını engelleyebilecek önemli bir ilk adımdır.

Eğitim ve Farkındalık Kampanyaları: Kolejler ve Üniversiteler, son kullanıcıların kimlik avının ne olduğunu ve nasıl tanınacağını kapsayan eğitimlerden geçmesini talep etmelidir. Bu hizmeti sağlamaya kendini adamış şirketler vardır ve yüksek öğrenim kurumları, fakültelerini ve personelini uygun şekilde eğitmek için gerekli zaman ve kaynakları yatırmaya istekli olmalıdır. Infosecurity Magazine'deki bir makalenin işaret ettiği gibi, bu eğitim nispeten düzenli olarak tekrarlanmalı ve kullanıcıları çeşitli kimlik avı saldırılarına maruz bırakmalıdır. Princeton Üniversitesi'nin “Phish Bowl” ile yaptığı gibi gerçek saldırılara örnekler vermek ve bu tür saldırılar için bir havuz oluşturmak da farkındalığı artırabilir.

"Müşterilerimizi güvenli bilgi işlem konusunda eğitmek, en büyük geri ödemelerden birini getiriyor."

Washington Eyalet Üniversitesi Bilgi Teknolojisi Hizmetleri Başkan Yardımcısı ve Bilişim Kurulu Başkanı Sasi Pillay, kendisinin ve ekibinin yıllık bir siber güvenlik farkındalık ayı düzenlediğini ve kimlik avı ile mücadele için genel bir "siber farkındalık kültürü" yaratmaya çalıştıklarını söylüyor - üniversitenin numarası bir siber güvenlik sorunu. Pillay, "Müşterilerimizi güvenli bilgi işlem konusunda eğitmek en büyük geri ödemelerden birini getiriyor" diyor.

Yukarıda sıralanan stratejiler kapsamlı olmamasına ve her saldırıyı engellememesine rağmen, yüksek öğretimin olası siber tehditlere karşı mücadelesinde önemli faydalar sağlayabilecek nispeten basit adımları temsil eder.

Güvenli Bir Geleceğin Anahtarları

Güvenlik açıklarını, yaygın siber saldırıların nasıl çalıştığını ve bu tür saldırıların nasıl önleneceğini anlamak, yüksek öğrenim için daha güvenli ve finansal açıdan istikrarlı bir gelecek yaratmak için esastır. Yine de siber tehditler sürekli gelişiyor ve bugün karşılaşılan tehditlerin (ve bunları azaltma stratejilerinin) ileriye dönük olanlara benzeyeceğinin garantisi yok.

Sasi Pillay için, siber güvenliğe yönelik uzun vadeli çözüm, yazılımın nasıl yazıldığı ve tasarlandığına ilişkin temel değişiklikleri içermelidir.

Pillay, "Uzun vadeli hayalim, güvenliği ihlal edilmiş bir ortamda güvenli bilgi işlem yapabilmektir" diyor. “Yapmamız gereken, bugün yazılım yazma şeklimizi önemli ölçüde değiştirmek. İnsanların güvenlik risklerini ve riskleri hesaba katması için yazılım geliştirmenin güçlendirilmesi gerekiyor.”

Bu makalede kısaca bahsedilen, gelecekteki siber güvenlik sorunlarının üstesinden gelmenin bir başka anahtarı da bu alanda sağlam ve istikrarlı bir uzman ekibi kullanmaktır. Üniversite bütçeleri kısıtlı ve yetenek kıt olduğu için bunu söylemek yapmaktan elbette daha kolay. Yine de, uzman serbest çalışanları ve uzaktan çalışmaya istekli olanları işe almak da dahil olmak üzere bu sorunu çözmenin birkaç yolu vardır.

Yüksek öğrenimin karşı karşıya olduğu siber güvenlik sorunları büyük ve bunları çözmenin maliyeti yüksek olsa da, yetersiz savunma ile gelen potansiyel finansal ve itibar riskleri muhtemelen daha da yüksek. Yüksek öğrenim ortamındaki kurumlar, etkili siber güvenlik çözümlerinin nihayetinde kendileri için ödeme yapabileceğini görebilir.