提高教育部门的网络安全意识,让学生参与网络安全

在校园里,每年都有大量新生和教职人员涌入,由于缺乏安全保护意识,网络犯罪分子已经把目光着眼于校园;但是,在教育领域,超过四分之三的员工缺乏处理普通隐私和安全威胁所需的网络安全意识。这为学生、教师和员工创造了另一层未被发现但可预防的风险。

授人以鱼不如授人以渔。

教育行业面临的安全危机,不仅仅在于保护教室和走廊。教育是一个相对容易攻击的目标,因为人口总是在变化。例如,在大学校园里,不仅每年都有大量新生和教职人员涌入,而且有数量众多的访问者留下数字足迹。公共Wi-Fi的广泛使用,带有敏感研究文件的被遗忘笔记本电脑以及睡眠不足的本科生的粗心错误都可能导致大规模数据泄露。网络犯罪分子当然知道这些并将充分利用。教育行业的IT专业人员将网络安全视为他们的首要任务,并始终将其列为他们的第一关注点。但是,在教育领域,超过四分之三的员工缺乏处理普通隐私和安全威胁所需的网络安全意识。这为学生、教师和员工创造了另一层未被发现但可预防的风险。

教育行业成为网络犯罪分子的首要目标

当您的网络受到威胁时,网络犯罪分子通常会搜索个人身份信息(PII)。这些信息包括从全名和社会安全号码到生日和银行账户等所有信息,都对暗网来说具有很大的价值。

单独一件PII可能不会造成太大的损害,但是当拼凑在一起时,犯罪分子可以重新创建自己的身份或扮演数字科学怪人的角色,通过属于不同人的多个数据创建一个全新的“人”(例如,信用卡号码、同事电话号码、学生租赁公司的地址)进行非法采购。

很少有行业能够像教育行业一样处理PII,特别是与未成年公民相关的数据。此PII涵盖个人生活的每个方面。在黑客的眼中,这是一种金矿,可以出售或重新用于身份盗用。

由于缺乏监测,年轻人的PII很有吸引力。如果成年人的信息在数据泄露中受到损害,他们可以查询信用报告或利用身份盗窃监控,但这些服务可能不适用于儿童。当他们的个人身份信息被盗时,往往在申请某种类型的信贷(如大学贷款)之前不会被发现。

谈到PII时,还有一个物理安全组件正在开展工作。想想在一次数据泄露事件中可以发现多少关于您孩子的信息:年龄、家庭住址、与学校有关的活动、公交路线、成绩和健康记录等等。通过学校网络访问PII的黑客理论上可以获得对您孩子的实际访问权限。这是网络犯罪分子发起针对学校的运动的一个不常见的原因,但这是学校领导和IT专业人员在考虑数据保护时必须牢记的事情。

学校人员缺乏意识导致社会工程攻击

除了大量的PII、知识产权和财务记录之外,教育部门内部安全状况不佳使学术机构成为一个特别多的目标。据一份报告显示,接受调查的教育部门员工中,76%的人的安全意识分数低到足以将他们置于“新手”或“风险”类别,这意味着他们的行为可能导致数据泄露。

这些糟糕的安全技能造成了教育部门的社会工程攻击。根据Verizon的“ 2018年数据泄露调查报告 ”,大多数教育攻击都是由外部行为者发起的。最受欢迎的社交工程攻击类型是W-2骗局,学校办公室被欺骗将W-2文书转交给伪装成合法学校或税务官员的骗子。由于学校环境的流动性,这种骗局在教育方面可能效果很好。

提高教育者的网络安全意识

在说教育工作者需要接受更好的教育时,有一点讽刺意味,但这是降低学校网络威胁风险的必然要求。

安全意识培训应该面向学校环境,这包括每个人都能接触到的网络。在安全培训方面,即使学生可能在学校和晚上从远程办公地点进入网络,他们也常常被忽视,。如果五年级学生不小心打开他认为来自教师的网络钓鱼邮件,它可能会在整个学校传播恶意软件

由于这个行业的性质,教育在良好的安全管理方面有机会领先。考虑到可以破坏的数据量,教育行业的IT专业人员必须提高内部安全意识并限制高风险潜力。

同时教育工作者们想知道,“我怎么才能开始解决这一切?”在我们开始关注自己与学生做什么之前,先有两个问题需要教师自问:

我为此准备了多少?

请记住,良好教学的标志是知识、牢固掌握和熟悉主题。愿意接受网络安全教学的新老教师可以自学更多关于这个主题的知识,了解为什么每个国家的每个公民都应该发挥自己的作用是至关重要的,以及他们如何在新兴事业中发挥作用打击网络犯罪。有一些方法可以尝试:

  • 接受训练。由国土安全部管理的国家网络安全职业与研究计划(NICCS)是一个由教育工作者免费提供网络安全培训的网络资源和培训中心,教师可以从NICCS官方网站查看资料。
  • 在经验丰富的网络安全教育工作者和/或专业人士中寻求导师。有人向你展示你还不熟悉的事情总是很好的。教育工作者也是如此,要求接受指导并不是件难事。毕竟,教育工作者可以从这个领域最好最聪明的人那里受益,就像学生一样。
  • 通过互联网自学。自学始终是一种选择,教育者可以使用免费的材料在线学习。Cyber​​security Ventures也有一系列私人机构,教育工作者及其组织可以邀请他们进行内部培训。最后,国家商业部标准与技术研究院的网络安全教育国家行动计划(NICE)拥有很多供教师研究的材料。

我可以用什么方法将这个新课题介绍给我的学生?

对于一些组织来说,技术的可用性使教师更容易使用黑板和教科书之外的方法。

这并不意味着老的而有效的教学方法完全被遗忘。相反,集成技术必须与已经在课堂上工作的工具一起使用。技术也让班级活跃起来,这有利于学生接受新的主题。如果教师决定利用新技术使用新的学习工具,他们将接受技术整合的四个阶段,即替代、扩充、修改和重新定义。当涉及到培养学生的网络安全时,这是必须要有的。

我们不能给我们没有的东西。在这种情况下,如果没有(或正在进行的)自身对相关知识的的充分了解,教育工作者就不能传授有关网络安全的知识。所以在进入下一步之前,经历这一步是非常重要的。

让学生感兴趣并参与网络安全的方法

大多数教育工作者喜欢教学,因为他们也喜欢和年幼的孩子一起工作。从小时候开始,这是讨论网络安全的理想阶段。多少岁?有人说,一旦说从小学开始,也有人说这没有确定的年龄。只要孩子们在智力上足够成熟,可以教授安全计算的重要性,并且已经在使用诸如智能手机或平板电脑之类的设备,那么我们可以说他们已经准备好进行这一新步骤学习。

像任何清单一样,下面的提纲并不详尽。这绝不是一个有序的步骤列表,而是您可以根据自己的判断遵循(或者拒绝)的准则列表。作为教育工作者,您可以分支并寻找其他方法。不断打磨你的方法,用新的、更高效的方法来代替它们。闲话少说,下面是我们为孩子们提出的方法:

  • 加入新手训练营。独立和私人组织可以为孩子和青少年举办网络安全营。教育工作者应该更多地了解这些计划,尽可能多地获取信息,然后选择他们担保学生可以加入的阵营。阵营的例子有GenCyber,美国Cyber​​ Cyber​​ Challenge的Cyber​​ Camps和ID Tech的Tech Camps。
  • 参加比赛。这可能适用于可在校内或校外进行的中级到大学级比赛。例如卡内基梅隆的picoCTF、Cyber​​First女子比赛(在英国)、Cyber​​Patriot和全球网络运动。
  • 参观。有些学校可以组织针对政府部门和私营部门处理网络安全问题的参观。
  • 获得实习机会。在高中阶段(年龄稍小)的学生可以向有信息安全团队开放的公司申请实习。实习是他们在现实环境中可以获得的最亲密的实践经验。教育工作者可以鼓励他们的学生为此付出努力,并为学生们提供他们想要实习的公司。
  • 志愿教育年轻一代关于网络安全。这可能适用于即将毕业的高中和大学水平的学生。这不仅可以帮助教育工作者免除一些教学任务的负担,而且对于学生而言,也可以让自己成为一名导师。他们实际上可能会对下一代的网络安全教育感兴趣。

至于教师,他们可以通过以下方式帮助学生:

  • 为他们提供一个榜样。 孩子们和青少年需要一些他们可以仰望的榜样,即使他们一开始并未意识到这一点 – 这可以解释为什么YouTube明星如此着名。如果你想鼓励孩子和青少年成为未来他们所感兴趣领域的专家,教育工作者必须向他们介绍可以效仿的人格。在课堂上的小女孩是泰勒斯威夫特的粉丝吗?提及Swifty实际上是与国际超模同时也是编码者的 Karlie Kloss合作的。
  • 发展他们的软技能。虽然技术和编码技能对于多个工作职位可能是必要的,但软技能(尤其是在精益求精的时候)不仅可以通过门后的毕业生,而且还可以长期保持他们的工作。在之前的博客文章中,我们断言如果想从事网络安全工作,他们不必太懂如何编写代码。事实上,有些人认为,这个行业的技能短缺并不是缺乏技术人才。相反,行业需要技术人员,他们还拥有高级阅读、高级写作、沟通、管理、组织、批判性思维以及故障排除技能等其他技能。大多数雇主实际上认为软技能比硬技能更重要。
  • 识别出他们可以从事网络安全的天赋。有些学生在追求他们认为技术性太强的职业时可能感到吃力。音乐个体和那些平均拥有高于平均眼球协调能力的人(例如电子游戏玩家)在网络安全领域可能有很高的成功机会。他们是富有创造力的人物,当涉及解决问题和创新时,尤其是当他们受到充分的培训时他们可以跳出框框思考问题。教育工作者可以利用这些理论背后的研究来启发学生的兴趣。
  • 为学生提供一个学习、分享和应用他们所学知识的平台。在这个时代,找到一个平台可能并不困难。我们已经提到过YouTube。还有代码猴子的GitHub,如果你的孩子使用短信而不是社交网站与他们的朋友取得联系,那么可以创建一个房间并可以帮助完善。还有Twitch,其中一些游戏模型实际上会发布和测试他们想要改进的游戏代码。
  • 寓教于乐。 游戏化,或使用游戏机制和设计,是推动重要的重点,,可以带来高度的参与度,否则可能会让学生感到枯燥。更何况,这非常有趣。教育工作者可以应用这些方法。他们可以像一位教师已经证明的那样,将课程评分系统从字母等级改为“经验点”(或游戏世界中的XP),授予学生实用奖励,如徽章,在班内小组间进行锦标赛,以及使用实际游戏讲授网络安全、隐私和黑客行为。对于中学到高中的教育工作者,请评估您是否可以向您的学生介绍TIS-100、深圳I / O等游戏以及上行链路。Zachtronics在其网站上有各种游戏可供选择。
  • 教他们必要的安全技能。 如果一个人连基本的网络安全知识都没有,那么这个人就无法在网络安全方面工作,在这个时代,任何行业都是这样的。这是根本,但它不应该停留在那里。一旦教师进入教育阶段并开始工作,学生将学习并采用更好的安全技术来保护自己和公司的资产,因此必须要拥有某种安全基石或基础。
  • 持续发展。教育不应该以机构开始和结束。这并不难,但重要的是要提醒学生,在工作中学习是必不可少的,但通过阅读书籍和研究以了解课堂中未遇到的概念也同样重要,现在的生活节奏很快,稍不注意,有价值的知识就会从我们身边溜走。
  • 为扩大网络安全教育普及所有学生努力。 这可能只适用于大学设置。扩大网络安全教育意味着它不应该只是被STEM课程培训的学生。课程应包括安全在他们选择的职业中的实际应用,以及不安全的做法可能会不仅会影响他们的就业,还会影响他们所服务的客户。真实世界的场景和例子是最好的案例研究。

酷的因素

尽管教育工作者向学生展示了网络安全中令人兴奋和高度积极的方面,但他们也不可避免地将看到另一方面:网络犯罪的开发、方法以及网络安全产业正在与之斗争的网络犯罪和黑客团体。

由于越来越多的媒体报道了违法行为,有关各种黑客主义思想的书面作品和视频的可用性,以及电视剧和电影中对计算机和网络技术的戏剧化滥用,学生们相比前几代人相比思考的内容更多。不幸的是,在今天的文化中,越来越多的演员在演戏之前没有花时间思考。在许多情况下,孩子和青少年对一件事情的喜欢,“酷炫因素”占绝大部分。

这不完全是一件坏事。电视和电影中的黑客戏剧化,无论它们呈现多么糟糕,都无意中将网络安全置于媒体地图上,引发观众的想象,这可以帮助形成理想主义和梦想,并推动知识分子和创意人追求“如果“。

因此,如果你听到学生们表示同情埃利奥特·艾尔德森的职业生涯,那么这个学生应该去找一个他为之工作的邪恶公司,喜欢佩内洛普·加西亚在生死攸关的情况下的专注和敏锐的才智,或者对哈罗德·芬奇的无私有着深深的着迷,执着于忠诚于拯救事业而不是夺取他人生命,就随他们去吧。但这些也可以轻松地将它们带回现实,同时介绍现实生活中黑客的开眼纪录片以及网络文化是如何诞生的。

参考链接:

https://blog.malwarebytes.com/101/2018/05/engaging-students-cybersecurity-primer-educators/

https://securityintelligence.com/class-is-in-session-improving-cybersecurity-awareness-in-the-education-sector/

 

发表评论