美国联邦调查局(FBI)周四发布的一份警报警告高等教育机构,网络安全人员已经发现美国大学的学历证书正在暗网犯罪市场和可公开访问的互联网论坛上被宣传出售。
警报说:“截至2022年1月,俄罗斯网络犯罪论坛出售或张贴公开访问美国众多已确定的大学和各类学院的网络凭据和虚拟专用网络访问权限,其中一些包括屏幕截图作为访问证明。”“发布待售凭证的网站通常列出的价格从几美元到几千美元不等。”
该机构警告说,即使只有一部分密码仍然是准确的,用户名和密码的暴露也会显着增加机构遭受暴力凭证破解网络攻击的风险;FBI还表示,由于用户通常在多个账户、网站和服务中重复使用相同的凭证,因此被盗凭证中的个人用户面临更大的身份盗窃和经济损失风险。
联邦调查局警告说:“这种敏感凭证和网络访问信息的暴露,特别是特权(或管理)用户账户,可能会导致随后对个人用户或附属组织或者企业的网络攻击。”
该机构列出的另一个例子是一年前的一起事件,在一个公开的即时通讯平台上发现了36000个以.edu结尾的电子邮件账户的凭证,联邦调查局没有点名。
Proofpoint的网络安全专家在去年12月份表示,他们发现主要针对北美大学的电子邮件威胁急剧增加,试图窃取大学的登录凭证,其中许多是利用COVID-19主题,包括测试信息和当时新的Omicron变体。
在2021年12月7日发布的Proofpoint博客文章中,该公司的网络安全分析师解释说,自2021年10月以来,针对大学和利用COVID-19主题的凭据盗窃活动一直在增加。该网络安全公司说,专门针对大学的威胁不遗余力地模仿大学的合法登录门户。“在接下来的两个月里,随着高校为学生、教师和其他工作人员在假期期间和之后往返校园提供并要求进行测试,以及Omicron变体更广泛地出现,这种活动可能会增加。”Proofpoint专家说。
联邦调查局为高等教育机构推荐的预防措施
FBI在其警报中建议所有学术实体与其当地的FBI办事处建立“牢固的联络关系”,后者“可以帮助识别学术界的漏洞并减轻潜在的威胁活动”。
该机构还建议学术实体“审查并在需要时更新列出行动的事件响应和沟通计划……如果受到网络事件的影响。”
联邦调查局警报中列出的其他建议包括以下内容:
1.使所有操作系统和软件保持最新。及时打补丁是一个企业可以采取的最有效和最具成本效益的步骤之一,以最大限度地减少其对网络安全威胁的暴露。定期检查软件更新和生命周期结束通知,并优先修补已知的被利用的漏洞。
2.尽可能实现自动化软件安全扫描和测试。
3.为学生和教职员工实施用户培训计划和网络钓鱼练习,以提高对访问可疑网站、点击可疑链接和打开可疑附件的风险的认识。
4.要求所有使用密码登录的帐户都使用强而唯一的密码,并为错误的密码尝试建立锁定规则。避免跨多个帐户重复使用密码或将密码存储在对手可能获得访问权限的系统上。
5.要求对尽可能多的服务进行多因素身份验证,最好使用防网络钓鱼的身份验证器,尤其是对于有权访问关键系统、网络邮件、VPN和管理备份的特权帐户。
6.通过限制账户和凭证的使用地点以及使用本地设备的凭证保护功能,减少凭证暴露并实施凭证保护。
7.对网络进行分割,以帮助防止恶意行为者的未授权访问或恶意软件的传播。
8.使用记录和报告所有网络流量(包括网络上的横向移动)的网络监控工具识别、检测和调查异常活动。
9.使用异常检测工具来识别流量异常增加和失败的身份验证尝试。
10.通过授权策略执行最小权限原则。帐户权限应明确定义,范围要小,并定期根据使用模式进行审计。
11.确保远程桌面协议(RDP)的使用,并对其进行密切监控。
12.限制通过内部网络访问资源,尤其是通过限制RDP和使用虚拟桌面基础架构。如果RDP被认为在操作上是必要的,请限制原始来源并要求MFA减少凭证盗窃和重用。如果RDP必须在外部可用,请在允许RDP连接到内部设备之前,使用VPN、虚拟桌面基础架构或其他方式来验证和保护连接。
13.监控远程访问/RDP日志,在指定的尝试次数后执行账户锁定,以阻止暴力破解,记录RDP登录尝试,并禁用未使用的远程访问/RDP端口。
14.确保设备配置正确并启用安全功能。禁用未用于业务目的的端口和协议(例如,RDP传输控制协议端口3389)。
15.在网络内限制服务器信息块(SMB)协议,只访问必要的服务器,并删除或禁用过期的SMB版本(即SMB版本1)。因为威胁参与者使用SMB在企业之间传播恶意软件。
16.审查第三方供应商和与你的企业相互连接的供应商的安全态势。确保第三方供应商和外部软件或硬件之间的所有连接受到监控,并审查可疑的活动。
17.实施应用程序和远程访问实施列表策略,只允许系统在既定的安全政策下执行已知和允许的程序。
18.记录外部远程连接。企业应记录经批准的远程管理和维护解决方案,如果工作站上安装了未经批准的解决方案,应立即进行调查。