全员受害？教育机构网络安全威胁持续加剧

去年，KnowBe4 的报告《针对高等教育机构的网络攻击呈指数级增长》已揭示了大学和学院面临日益严峻的网络威胁。该报告指出，庞大的数据存储库、开放的网络环境、有限的安全资源以及分散的治理结构共同构成了一场“完美风暴”，使教育机构成为攻击者的主要目标。

不幸的是，随着 2025 年年中的临近，英国政府最新网络安全漏洞调查数据表明，这一趋势不仅持续，更在以惊人速度加速恶化。

数据警示：持续扩大的攻击面

整体受害率飙升： 所有教育层级机构报告数据泄露的比例均显著上升。

高等教育近乎“全员受害”： 2024 年，高达 97% 的高等教育机构报告了违规事件，远高于前一年的 85%。

基础教育亦难幸免： 即便是过往被视为低风险的小学，漏洞识别率也增长了约 11%。

风险远高于平均水平

与更广泛的商业环境对比，教育机构的处境尤为堪忧：尽管 2023 年至 2024 年间，所有英国企业的漏洞识别率平均上升了 18%，但高等教育机构遭受攻击的可能性几乎是普通企业的两倍。

网络钓鱼：入侵的“万能钥匙”

网络钓鱼攻击仍是攻击者的首选入口，100% 的高等教育机构报告了此类尝试。更令人不安的是攻击复杂度的显著提升，冒充攻击（如冒充可信来源）在所有教育领域均呈现大幅增长：

高等教育： 86% → 90% (+4%)

继续教育： 64% → 78% (+14%)

中学： 42% → 58% (+16%)

这些攻击已非简单的垃圾邮件，而是利用社会工程和内部信息的高针对性、情境化攻击。

DoS攻击：破坏性日益凸显

拒绝服务（DoS）攻击也变得更加普遍：

高等教育受害率： 30% → 40% (+10%)

中学受害率： 8% → 14% (+6%, 近乎翻倍)

此类攻击不仅意图窃取数据，更旨在中断关键运营，造成重大财务与声誉损失。

恶意软件：技术手段升级

最令人担忧的或许是恶意软件在所有教育部门的急剧增加：

高等教育： 64% → 77% (+13%)

这标志着攻击者正投入资源开发更复杂、专门针对教育环境的技术手段。

人为因素：内部威胁不容忽视

所有教育部门中，由员工引发的未授权访问事件均有所增加：

继续教育学院违规率： 11% → 19% (+8%)

高等教育机构报告称，27% 的违规源于内部人员。

这再次印证了 KnowBe4 最初报告的核心观点：当人为因素存在脆弱性时，仅靠技术防御无法保障教育机构安全。

人为风险管理：安全新前沿

2024 年的数据充分证实了 KnowBe4 的评估：教育领域亟需更强大的网络安全战略。账户接管（高等教育：16% → 20%）和未授权访问的增加即是明证，表明攻击者正积极寻找规避标准防御的途径。

最先进的防火墙也无法阻止授权用户犯下安全错误。因此，教育机构必须建立全面的人为风险管理计划，包含以下关键要素：

基于威胁情报的防御： 主动拦截威胁，使其难以触及用户。

超越合规的安全意识培训： 摒弃“年度打钩”形式，追求实效。

可衡量行为改变的模拟钓鱼： 设计能真正提升防御能力的演练。

“可教时刻”的及时干预： 在事件发生后立即提供针对性指导。

培养安全倡导者： 将安全意识深入嵌入组织各层级。

赋能用户报告： 提供便捷工具，鼓励用户及时上报可疑情况。

用户失误后的保护控制： 建立机制，在用户成为攻击受害者时限制损害。

前路：制度性承诺刻不容缓

最新泄露数据揭示的趋势表明，网络安全绝不能再被视为仅是IT部门的职责。教育机构领导层必须认识到，网络安全是一项系统性风险，需要董事会层面的重视与投入。

不作为的代价正急剧攀升。尽管技术防御和人为风险管理计划需要投入，但与一次严重数据泄露可能引发的财务崩溃、运营瘫痪和声誉崩塌相比，这些投入微不足道。

迈入2025年，教育机构面临明确抉择：主动出击，制定全面安全计划以同时堵住技术与人为漏洞；抑或被动等待，成为下一则灾难性数据泄露新闻的主角。

来源：The Worsening Landscape of Educational Cybersecurity

部分图片来自freepik