大學(xué)——特別是一些規(guī)模龐大、聲名顯赫的機(jī)構(gòu)——常常面臨更多網(wǎng)絡(luò)威脅和攻擊活動(dòng)。

[[149284]]

名校，不一定安全

九月秋風(fēng)送爽，又吹來一個(gè)開學(xué)季，期末考試的煩惱暫時(shí)被小鮮肉們拋之腦后。然而，有幾所名校卻因互聯(lián)網(wǎng)威脅情報(bào)和風(fēng)險(xiǎn)意識(shí)的總體安全狀況不佳，收到低分成績(jī)單。不知道這些傲嬌的“學(xué)霸們”會(huì)如何對(duì)待這樣的結(jié)果?

一家運(yùn)用互聯(lián)網(wǎng)傳感器及工具進(jìn)行安全狀況測(cè)試的公司SecurityScorecard近日首次發(fā)布了一份關(guān)于高等教育安全報(bào)告，針對(duì)近500所大學(xué)進(jìn)行了測(cè)評(píng)。令人驚訝的是，以科技見長(zhǎng)的麻省理工學(xué)院(MIT)竟然排名墊底，獲得61%的最低分。排名倒數(shù)往上的大學(xué)依次是新墨西哥州大學(xué)、劍橋大學(xué)(美)、天普大學(xué)、弗吉尼亞大學(xué)、南加利福尼亞大學(xué)、波士頓大學(xué)、加利福尼亞大學(xué)河濱分校、路易斯安那州立大學(xué)以及喬治亞大學(xué)。

出人意料的網(wǎng)絡(luò)“最安全”大學(xué)第一名竟是社區(qū)大學(xué)：加州大學(xué)默塞德社區(qū)學(xué)院，得分98.7%。TOP2-10的大學(xué)依次為康考迪亞大學(xué)、Adams州立大學(xué)、中心大學(xué)、亨利·福特社區(qū)大學(xué)、北阿拉巴馬大學(xué)、金門大學(xué)、愛達(dá)荷大學(xué)、甘農(nóng)大學(xué)以及佩伯代因大學(xué)。

大學(xué)安全事件頻發(fā)

SecurityScorecard研究了大學(xué)的1000多個(gè)公共IP地址并對(duì)基于IP地址的安全表現(xiàn)進(jìn)行了評(píng)分。研究包括這些大學(xué)針對(duì)公眾的應(yīng)用程序的Web應(yīng)用程序安全、DNS健康以及網(wǎng)絡(luò)安全。該公司甚至還研究了地下論壇中關(guān)于這些大學(xué)機(jī)構(gòu)的“黑客閑聊”。

一些名校在這次研究中的低得分讓人大跌眼鏡，SecurityScorecard首席研究員Alex Heid表示，

“而安全最佳的學(xué)校似乎都不怎么出名，這可能說明他們并沒有成為主要的攻擊目標(biāo)。我們獲取的大多數(shù)信息......是與惡意軟件感染以及成為僵尸網(wǎng)絡(luò)的風(fēng)險(xiǎn)相關(guān)。”

過去幾個(gè)月里，幾所規(guī)模較大的大學(xué)出現(xiàn)了不同程度的數(shù)據(jù)泄露事件：5月，賓夕法尼亞州立大學(xué)說中國(guó)黑客針對(duì)其工程學(xué)院系統(tǒng)進(jìn)行了長(zhǎng)達(dá)兩年的入侵活動(dòng);6月，哈佛大學(xué)宣布了其文理學(xué)院以及中央行政系統(tǒng)受到破壞，盡管沒有個(gè)人或者研究所信息流失。即便如此，哈佛仍警告道，攻擊者可以抓取用戶登錄憑證從而訪問計(jì)算機(jī)及電子郵箱賬戶。

弗吉尼亞大學(xué)(UVA)上月稱，聯(lián)邦官員發(fā)現(xiàn)該校曾遭到來自中國(guó)的網(wǎng)絡(luò)攻擊。兩名從事與中國(guó)有關(guān)工作的UVA員工，是這次攻擊的目標(biāo)。

大學(xué)安全之門，何人來守?

大學(xué)本身就以開放與科研并重，同時(shí)學(xué)生們也總是在使用種類繁多的網(wǎng)絡(luò)設(shè)備。這恰恰成為攻擊者尋求豐厚經(jīng)濟(jì)回報(bào)與有價(jià)值的國(guó)家情報(bào)的理想場(chǎng)所。

OpenDNS從5000萬(wàn)用戶網(wǎng)絡(luò)收集的數(shù)據(jù)中看出，大學(xué)網(wǎng)絡(luò)中出現(xiàn)的惡意軟件是企業(yè)或者政府機(jī)構(gòu)中的3倍。OpenDNS首席技術(shù)官Dan Hubbard說，“我們總是聽到大學(xué)比一般公司及組織更為開放，但是這些數(shù)字仍然要比我們所預(yù)計(jì)的要高一些。幾乎所有大學(xué)都存在一定程度的數(shù)據(jù)泄露情況。”

主要原因之一為校園中存在大量的弱密碼以及重復(fù)使用相同密碼，而遭到泄露的大學(xué)密碼在地下廣泛流傳。

“校園中的他們大多使用弱密碼，一旦一個(gè)密碼泄露，這個(gè)用戶一直用的相同密碼的其他賬號(hào)也不再安全。而數(shù)據(jù)泄露目前只是一個(gè)規(guī)模大小以及是否公開的問題。”

統(tǒng)計(jì)還顯示，這些大學(xué)修復(fù)程序漏洞平均耗費(fèi)的時(shí)間接近一個(gè)月——即28天。

至于麻省理工學(xué)院，SecurityScorecard稱MIT得到了非常低的IP信譽(yù)評(píng)級(jí)，平均每1.7天便感染惡意軟件，概率甚至超過教育行業(yè)本身的80%。盡管如此，MIT還是在web應(yīng)用程序安全、DNS健康以及端點(diǎn)安全中保持了“學(xué)霸風(fēng)范”，均獲得A的高分。