​美国远程教育网络遭攻击启示录

实际上，早在学年开始时，美国教育部门就被勒索攻击给盯上了，勒索软件攻击迅速增加，攻击者的目标很明确，就是教育系统中的数据信息，以此勒索巨额赎金。

仅仅2020年8月份和9月份，报告给MS-ISAC的勒索软件事件中，有57％涉及美国基础教育，而从1月到7月，报告的所有勒索软件事件中只有28％涉及美国基础教育。

换句话说，越来越多的勒索攻击者开始将目标转至教育系统，它就好像一个香饽饽，吸引着大量隐藏在暗中的攻击者，其中以勒索攻击最为猖獗。

教育系统频频遭受网络攻击，这样的现象不仅仅出现在美国，几乎全世界都是如此。一场疫情使得线上教育大幅增长，同时也让网络攻击者看到了这快被遗忘的地方。

2020年第三季度恶意软件报告显示，在线学习成为COVID-19之后的新趋势，但许多教育机构没有网络安全措施，在线教育面临较大网络攻击风险。6月17日，Microsoft Security Intelligence报告称，在过去30天内，770万恶意软件中教育行业占了61％。除恶意软件外，教育机构还面临着数据泄露和学生隐私泄露的风险。

2020年第一季度，与2019年同期相比，全球DDoS攻击总数增加了80％，其中很大一部分是对远程教育服务的攻击。

那么问题来了，教育系统是怎么成为了一个香饽饽？这对我们做安全又有哪些启示呢？

原因在于，攻击者的动机发生了变化，也让企业安全变成了一场同级者的赛跑。

和最早的炫技和兴趣不同，如今的网络攻击已经进入了逐利时代，特别是成产业链的黑灰产攻击者，逐利性更加明显。

任何一场针对性的攻击，最终目的都是为了获取更多的利润。因为攻击者也有成本，他们需要购买相应的工具或0day，需要长时间的进行监测，甚至还需要使用美人计等社会工程学，其最终的目的就是为了赚钱。而暗网、比特币的存在大大降低了攻击者的变现难度，于是数据就成为最好的攻击目标。

而最值钱的数据，莫过于金融行业的数据，以及那些和业务相关的互联网企业的数据。正是因为这些企业的数据无比重要，因此它们的防护体系也远超其他地方，这就给攻击者的攻击行为制造了高昂的成本，甚至还要担心亏本（攻击未成功）的情况。

2020年，疫情的出现让另一个行业的数据骤然增多，没错，就是远程教育行业。据国内分析平台的数据显示，2020年1月1日-3月22日，全国50,000个教育行业的远程在线网站/系统总体访问数据在48.95亿次。但是，这些数据的防护水平并没有随之变强。

和金融、互联网等行业相比，教育行业的整体防御水平依旧有待于提升，很多远程教育系统甚至只有最基本的传统防护体系。许多校区甚至只有一两个IT人员来为整个学区提供服务，而没有专门的网络安全管理员。换句话说，攻击远程教育系统要比金融行业、互联网企业低的多，成本降低了，收益也就相对增多了。

于是，攻击者们的目光瞄向了远程教育体系。

2020年1月1日-3月22日，全国教育行业在线网站/系统累计遭受9600多万次网络攻击。从2月3日开始，全国教育行业的在线网站/系统遇到的攻击数据开始回升，在2月10日-16日达到第二个峰值(约1000万次/周)，此后，全国教育行业的在线网站/系统遭受的攻击相对较为平稳，数据平均保持在750万次/周。

对于攻击者而言，最终的收益不是只看目标的价值，也要考虑投入的成本和成功率，毕竟只有拿到手的才是真正属于自己。这是出现一个很有意思的现象——同级者赛跑；就好像一群人在森林里遇到了一头熊，跑在最后面的那个人最容易被熊给吃掉。

另外，同级者赛跑在同行业中一样适用，且更加明显。这点毋庸置疑，价值相差无几的情况下，谁的防护体系更弱，谁被攻击的可能性就更高。

于安全部门而言，同级者赛跑也不失为一种非常好的量化企业安全价值的方式，也是领导层更易理解，更易接受的一种方式。

“以前我们就是这样做的，没什么问题”。这样的情况不仅仅出现在远程教育平台，在其他行业和公司也时常能够听到。这句话其实很难反驳，尤其是这样做偏偏一直没有出问题的情况下更是如此。

细细琢磨你会发现，这样的做法实在是搞网络安全的大忌。众所周知，网络安全即便做的再好也不能保证不出事，而做的再糟糕也不一定会出事。但是，如果做的糟糕一直没有出事，那么以后很有可能会出现一次严重的事件，甚至是出了事情自己都不清楚。

和现实世界不同，网络空间充满了战争；和现实世界一样的是，战争总是能够促使人们以最快的速度成长和变革。如果一直抱着原来的经验不撒手，那么最终必定会被那些经验给害惨。

就如同二战中的波兰骑兵。他们在波兰军队中占据了十分重要地位，先后打败瑞典骑兵和俄罗斯哥萨克骑兵，以其低伤亡率闻名于世界骑兵史之林。

然而，在第二次世界大战中，波兰骑兵面对德军的钢铁战车，最终的结局只能是被分割、包围，最终投降在坦克的履带之下。历史的经验告诉波兰，骑兵值得依赖，以至于他们的依赖已经被淘汰了还未曾反应过来。

这样的例子在二战中还有很多。比如那艘沉没在日本九州岛南西海域的大和号战列舰。

大和号战列舰所属的大和级战列舰是旧日本海军所建造的最大一级战列舰。该舰装备有3座三联装94式45倍径460毫米口径舰炮以及各种副炮和对空机关炮，全舰覆盖大量装甲，舰身的重要部位都能经受460毫米大炮的轰击。

自甲午战争以来，日本海军一直品尝着巨舰大炮带来的胜利果实，而这样经验也让他们，在大家都开始玩航母的时代，还是倾尽了海军所有的经费，建造了一艘巨型战列舰。

毫不夸张的说，这是人类海军舰船史上最强大的一级战列舰，不论是火力、装甲还是吨位，都排在世界最前列，堪称是巨舰大炮时代的巅峰产物。然而就是这么样的一艘战舰，最终却却被航母上的舰载机在短短的2个小时内击沉，让日本海军付出了沉重的代价。

网络安全何尝不是如此？

PC时代，也许一些网络安全解决方案非常适用，然而，随着移动互联网时代的到来，技术不断迭代，业务不断变化，我们还守着原来的策略，又怎么可能真正保护企业不被攻击？而当一些经验非常好用且慢慢成为行业的惯例时，安全从业者反而要更加小心，因为这时候这些经验说不定已经被攻击者盯上了，很有可能发起针对性攻击，而且成功率往往非常高。

“以前也是这么做的”，其实是安全人员最容易出现的错误，因为在日复一日的工作中，今天和昨天一样，这本身看似没有任何问题，但长此以往就会越来越落后。

同时，这也会给领导层留下不好的刻板印象，认为安全就是这么一回事，自然预算也就不会多。

想要避免出现上面这种情况，安全从业者就必须时时刻刻保持矜警惕，保持“开眼看世界”的状态。

攻守双方不对称的地位天然决定了，防守方一般会慢攻击方半拍甚至是一拍，也决定了攻击方会有比防守方多得多的资源。随着网络安全边界的消失，防守方将面临无险可守的境地，那时，网络安全将变的更加复杂，技术迭代速度再次加快，一不留神可能就落后了许多。

比如那场改变中日格局的甲午海战。曾经还是亚洲第一水师的北洋舰队，因为没有更换最新的舰船，而被已经使用了吉野号的日本海军打的一败涂地，赔出了天量的白银，也让西方列强看清了它虚弱的本质。

在这样的情况下，我们又该怎么办？