Sophos:教育業正面臨最高勒索軟件攻擊風險
提供創新網絡安全即服務的廠商Sophos,發佈的《2023年教育行業勒索軟件形勢分析》調查報告反映,教育機構於2022年錄得跨行業間最高的勒索軟件攻擊次數,當中有76%高等院校的受訪者反映機構將有較高機會遭受勒索軟件攻擊(2021年為64%),而80%的初中教育機構亦成受害者(2021年為56%)。
教育機構付贖金後的復原成本和所需時間增加
對比多個受訪行業,教育行業需支付最高勒索軟件贖金,有56%來自高等院校及47%來自初中教育機構的受訪者表示機構於2022年曾支付贖金。除了勒索軟件贖金外,教育機構亦需支付正顯著增加的數據復原成本。以高等院校為例,其數據復原成本為131萬美元,而若然有採用數據備份的機構則能以98萬美元復原數據。另外,初中教育機構支付贖金後的平均復原成本為218萬美元,而不須支付贖金的復原成本為137萬美元。
此外,報告亦指出受害機構在支付贖金後需花費更長的復原時間,而79%的高等院校和63%的初中教育機構能於一個月內復原數據,然而能同時於支付贖金後恢復數據的教育機構分別只有63%和59%。
Sophos首席駐場科技總監Chester Wisniewski表示:「由於大部分學校欠缺足夠的網絡安全資源,加上教育行業亦對社會有關鍵影響,故往往成為攻擊者的攻擊目標。面對勒索軟件攻擊時,教育機構需時刻保持運作正常,以便處理學生和家長的需求,故令學校在壓力下不計成本以盡快解決問題。然而,此次報告則反映支付贖金難以解決問題,反而成為攻擊者挑選目標的主因之一。」
教育機構遭受勒索軟件攻擊的原因與其他行業相似,但相比跨行業遭受勒索軟件攻擊的平均次數(29%),高等院校(37%)及初中教育機構(36%)所錄得的平均次數則顯著增加。
根據是次調查報告,其他重點包括:
- 超過四分之三(77%)高等院校因未有妥善修補系統漏洞和洩露個人資料,最終遭受勒索軟件攻擊;而超過三分之二(65%)的初中教育機構亦因此受到網絡攻擊。
- 在過去一年,有關遭數據加密的事故上,來自高等院校的事故總數未有顯著變化(2021年:74%;2022年73%),而來自初中教育機構的事故總數則由72%升至81%。
- 相比各個行業,報告反映高等院校較少採用數據備份作日後系統恢復之用,成為第三低的行業有妥善使用數據備份。另一方面,相比全球所有行業,初中教育機構則錄得較高的平均數據備份總數(73%)。
Wisniewski補充:「為了竊取個人資料,犯罪分子經常利用勒索軟件針對不同行業。可是,由於教育行業普遍未有廣泛採用多重身份認證功能,令遭受網絡攻擊的風險大增。例如,美國聯邦政府要求所有機構使用多重身份認證,此舉有助機構更輕易防禦同類型的攻擊,而不同規模的學校亦應遵從這種方式。」
Sophos的專家為教育行業提出下列建議,包括:
- 假如企業需提升防禦措施:
- 選用能妥善抵擋常見網絡攻擊的解決方案,並能於系統出現漏洞時進行防禦,如端點防禦產品(Endpoint Protection),以及能阻止個人資料外洩的零信任網絡存取產品(ZTNA)。
- 利用自適應技術抵禦攻擊,如自動事故回應、即時中斷攻擊行動,從而為企業爭取更多時間。
- 除了進一步鞏固內部的IT團隊的能力外,企業亦可考慮採用 Sophos的託管式偵測與回應(MDR)服務,並由專家提供24/7全天候威脅檢測、搜尋和響應。
- 為潛在的網絡攻擊作周全準備,例如:定期備份檔案和學習從備份中復原數據,同時採用最新的事故回應策略。
- 保持良好的安全防禦習慣,例如:立即安裝修補程式及定期檢查安全架構。
《2023年勒索軟件形勢分析》獨立調查共訪問14個國家中共3,000名網絡安全╱IT決策人員,包括:美洲、歐洲及亞太地區。所有受訪者均來自擁有100至5,000名員工的企業,而當中200間初中教育機構(針對18歲或以下的人士)和200間高等院校(針對18歲或以上的人士)來自教育行業,包括官立和私立學校。