早期針對SolarWinds和 Kasaya等軟體供應商的攻擊,突顯了這些公司遭受網路攻擊時可能產生的嚴重後果。從各方面來看,這些攻擊對對方來說都是成功的,攻擊者以最少的投入實現了巨大影響。
最近,軟體供應商PowerSchool遭受勒索軟體攻擊,使得軟體供應商攻擊再次成為人們關注的焦點。據稱,勒索軟體攻擊者在執行贖金加密之前複製了盡可能多的 PowerSchool 數據,聲稱竊取了高度敏感的學生和教師資訊。
據稱,PowerSchool 支付了贖金,以換取威脅者刪除被盜資料。我們這些在數位風險領域花時間觀察這些參與者的人都知道,不幸的是,事實可能並非如此。我們發現勒索軟體資料出現在其他形式的攻擊中以及暗網和 Telegram 上被盜資料的交易中。並且,在這個特定的案例中,我們正在談論兒童的個人識別資訊(PII)。老實說,沒有什麼比這更可怕的了,如果 SolarWinds 還不足以起到警示作用,那麼這次攻擊應該可以起到警示作用。
根據2024 年 Verizon DBIR 報告,如今大多數違規行為仍然是使用被盜憑證造成的。而且,對 GroupSense BreachRecon 資料庫進行快速查詢,結果顯示僅在過去 12 個月內,K-12 機構就被盜或洩露了近 70 萬份憑證。出於幾個顯而易見的原因,這令人擔憂。
被盜憑證是網路犯罪生態系統中的寶貴商品,往往是發動更大規模攻擊的門戶。一旦獲得這些憑證,無論是透過網路釣魚活動、資料外洩或竊取憑證的惡意軟體,都可以以各種方式使用。常見的策略是憑證填充,攻擊者在多個平台上使用被盜的使用者名稱和密碼組合,利用重複使用密碼的使用者牟利。
在 K-12 環境中,這可能導致未經授權存取學生記錄、操縱成績,甚至控制通訊系統。此外,威脅行為者經常在暗網論壇和 Telegram 等加密訊息應用程式上出售或交易憑證,其他網路犯罪分子可能會利用這些憑證對家長、員工和管理人員進行有針對性的魚叉式網路釣魚攻擊。更令人擔憂的是,被盜的管理員級憑證可用於直接部署勒索軟體、停用安全工具或竊取敏感資料進行勒索。
此類攻擊的連鎖反應遠遠超出了直接的財務或營運影響。這些違規行為從根本上破壞了信任。對於家長和教育工作者來說,學生資訊的洩漏讓他們感到非常私人的擔憂,他們擔心孩子的隱私和安全。這種信任的喪失可能導致人們對受影響學區保護資料的能力產生懷疑,並可能促使家長要求採取透明度和問責措施。
隨著時間的推移,反覆發生的事件不僅會削弱對個別供應商的信心,還會削弱學校對所依賴的更廣泛的數位工具的信心,從而有可能減緩旨在加強教育和安全的技術的採用。重建這種信任需要的不僅僅是補救;它需要清晰的溝通、預防行動和持續的警覺。
更糟的是,直到事件「清理」之後很久,人們才可能完全了解其影響。威脅行為者經常利用未成年人的身分資訊來創造「合成身分」。合成身份是透過獲取一個人的 PII 並將其與另一個人或虛構的人的信息相結合來創建的。這些合成的資料隨後被用來開設銀行帳戶、獲得貸款或進行金融欺詐,讓犯罪者建立信用記錄,然後透過大額交易「套現」並消失。
這種類型的詐欺行為特別陰險,因為它可能多年都不被發現,只有當受害者試圖使用其被盜的 SSN 進行合法目的時才會被發現。換句話說,這些 K-12 學生中的一些人可能不知道自己的信用被利用了,直到他們很久以後才嘗試獲得第一張信用卡或申請學生貸款並被拒絕。
受影響的組織應立即採取措施保護其公司和員工。所有組織都應該準備好一份事故計劃(並且最好是經過多輪桌面演習測試過的計劃)。這些計劃可作為事件發生期間和事件發生後溝通、法律和遏制事務的路線圖。至少,組織應該控制和補救違規行為,進行法醫調查,透明溝通,提供支援服務,重建信任並實施預防措施,例如 MFA 和網路安全教育。
當發生像 PowerSchool 這樣的違規行為時,受影響的個人一旦收到通知,應確保透過免費服務(如 annualcreditreport.com)定期檢查信用報告中是否存在異常活動,以監控個人和財務信息,並警惕身份盜竊的跡象,例如意外賬單或信用查詢。他們應該向主要信用機構實施信用凍結,以防止以受害者名義開設未經授權的帳戶。
此外,他們應該更新密碼,避免在多個帳戶中重複使用相同的憑證,並盡可能啟用多因素身份驗證 (MFA)。最後,如果發現詐欺行為,個人應透過identitytheft.gov向聯邦貿易委員會(FTC)舉報,並在必要時提交警方報告。並且,如果發現異常通信或數據濫用,他們應該通知學校或機構。
當我們談論保護關鍵基礎設施時,重點通常放在從網路保護角度需要優先考慮的組織或實體資產。但是數據怎麼樣?或許,將特定資料類型歸類為急需保護的資料類型是下一個最佳步驟。在這種情況下,未成年人的 PII 應被歸類為關鍵資訊。
網路對手已經並將繼續認識到軟體服務提供者的危害所帶來的投資回報。從 SolarWinds 到 MOVEit,一次攻擊就能捕獲整個行業的數據,攻擊多個受害組織、多個勒索目標並提出無數勒索軟體要求,這種效率實在太誘人了。這就是未來,鑑於 SaaS 解決方案提供者的廣泛採用,包括成人和兒童在內的每個人都會受到影響,因此採取適當的安全措施來保護我們的關鍵數據比以往任何時候都更加重要。