山的防御

对于加州大学圣巴巴拉分校(UC Santa Barbara)网络安全前线的工作人员来说，4月份是一个相对较慢的月份。他们平均每天看到14.8万起网络攻击企图。前一年的平均值是多少?每天大约有28万次攻击。

加州大学圣塔芭芭拉分校的网络每天承载着成千上万人的互动。今年4月，这意味着328太字节的流量在校园和外部世界之间流动。

操作这样一个规模的系统所面临的挑战是普通家庭网络所不具备的。在大学这样的网络上，人数和设备的绝对数量足以引起网络罪犯的注意。

该校首席信息安全官萨姆?霍洛维茨(Sam Horowitz)指出，尽管这些数字看起来令人震惊，但对于我们这样规模的机构来说，它们可能在正常范围内。尽管如此，由于安全措施和校园安全团队的不懈努力，活动进行得如火如荼。

那么他们是怎么做到的呢?

攻击的性质取决于攻击背后的个人目标。许多事件只是试图扫描网络。霍洛维茨解释说:“扫描的作用是试图确定校园里有哪些设备，以及这些设备上可能存在哪些漏洞。”

扫描帮助攻击者找出特定设备上包含的信息，以及是否值得尝试窃取。扫描之后，攻击者可以向被发现的特定漏洞发送恶意软件。这是最常见的攻击类型。其他攻击试图用恶意软件破坏网络或设备，以窃取数据或招募设备为攻击者服务。间谍软件和病毒是下一个最常见的攻击类型。

幸运的是，大学采用了一个强大的通用威胁管理系统(UTM)来保护网络及其用户免受所有这些威胁。UTM结合了防火墙和其他安全措施的优点。自2017年12月安装以来，这个系统已经帮助校园阻止了超过1.07亿起“不良事件”，霍洛维茨这样形容它们。

从根本上说，防火墙根据其特性阻止网络流量。简单的一个使用简单的标准，比如“from”地址、“to”地址和通信使用的端口。将设备的IP地址与街道地址进行比较，端口类似于办公室或公寓的号码，Horowitz解释说。“端口号处理服务器如何监听，”他说。“服务员正占据着那间办公室套房，等待有人敲门。”

保护校园网络的防火墙还考虑程序的协议(最常见的可能是http或超文本传输协议)等特性、识别特性和行为。“行为是你检测扫描的方式，”霍洛维茨说。如果系统注意到一个程序用询问轰炸一个设备，然后转移到另一个设备，UTM将介入并阻止扫描。不过，Horowitz说，UTM并不关注跨网络压缩数据的实际内容。

防火墙还阻止与安全漏洞相关的端口的通信，例如Microsoft文件共享端口。这就是为什么你不能通过微软文件共享在校园内外的设备之间传输文件。

校园安全团队还利用了分层防御的优势，就像净水器中的不同过滤器一样:这种组合确保不会有有害物质通过。这些层包括本地杀毒软件和数据加密，以及管理谁可以访问网络的不同部分。

校园社区的成员也在这方面发挥了作用。用户名和密码是网络安全的重要因素，每个人对设备更新的承诺也是如此。“你应该每次都更新，”霍洛维茨说。即使在防火墙之后，最新的软件也提供了另一层防御，关闭设备可能存在的任何漏洞。

Horowitz还建议关闭不需要或未使用的函数。例如，如果不使用文件共享，关闭设备的文件托管功能——这会减少其暴露在前线的风险。他说:“如果你不开通服务，你就不会听到交通状况。”因此，如果攻击者以该频道为目标，“没有任何东西在听”。就好像他们在对着一个空房间说话。”

信息安全团队知道没有一种防御方法是100%有效的。因此，他们也在寻找那些可能已经从UTM中溜走的问题，以便解决这些问题，并加强大学的防御。安全专家之间也相互交流，推动防御措施在计算机安全的动态图景中演变。

“良好的安全包括人员和技术，”霍洛维茨说。“我们依靠我们的社区来保护他们的密码，避免点击钓鱼链接。我们使用技术来识别和阻止可能出现在我们面前的侦察和攻击。总之，这些方法为校园提供了一个更安全的环境来完成其使命。”