![]()
2019年5月,马里兰州巴尔的摩市政府陷入一片混乱。网络犯罪分子将该市大量关键文件锁定,并索要赎金要求解密。市政府拒绝支付赎金,但此次攻击导致房地产交易、账单支付等一系列服务陷入瘫痪,恢复成本高达数百万美元。
麻省理工学院城市研究与规划系(DUSP)开设的网络安全诊所课程(11.074/11.274),将巴尔的摩事件列为典型案例,用以说明针对市政府及其他公共机构的勒索软件攻击日趋普遍。为应对此类威胁,讲师Jungwoo Chun与城市及环境规划福特讲席教授Lawrence Susskind于2019年创立了麻省理工学院网络安全诊所,此后几乎每学期都会开设这门课程。
课程模式与法律或医疗诊所类似,既为学生提供实战训练,也为高风险社区提供免费服务。学生完成教学模块并通过认证考试后,将以小组形式被分配至一个客户。学期结束时,每个小组须提交一份报告,评估客户面临的网络攻击漏洞,并提出改进建议。迄今为止,该诊所已为新英格兰地区的市政机构和医疗机构提供了逾40份保密且免费的评估报告。
2025年,美国联邦调查局(FBI)互联网犯罪投诉中心记录显示,针对美国人的网络攻击平均每天高达2765起。Chun表示,当攻击波及城市和乡镇时,其影响远不止于经济损失:"会对我们生活的方方面面产生令人不寒而栗的连锁效应。"
近年来,针对此类社区的网络攻击已威胁到供水安全,阻碍了911及警务服务的正常运行,并导致市民个人数据泄露。
尽管许多小型市政机构和医院是关键基础设施的重要门户,但它们普遍缺乏受过专业网络安全培训的内部人员。当前劳动力市场上,网络安全专家的供需严重失衡,而公共部门的预算也难以与私营企业为合格候选人开出的高薪相匹敌。
根据Comparitech的数据,2018年至2024年间,美国政府机构共遭受525次勒索软件攻击,平均约每五天一次,造成的停机损失估计高达10.9亿美元。
Susskind表示:"资金不足的公共机构和非营利组织需要走一条自助之路。只需免费服务诊所的一点指导,这些组织就能采取许多低成本的防护措施。"
防御性社会工程学
许多人或许会感到惊讶:这所大学的网络安全项目竟然设在计算机科学系之外。Chun是一位专注于公共政策与规划的应用社会科学家,Susskind则是冲突解决与共识构建领域的著名学者。他们将自己为诊所开发的方法称为"防御性社会工程学",以强调网络安全并非单纯的技术挑战。
Chun坦言,人工智能的快速发展为犯罪分子提供了令人警惕的新工具——"现在AI不仅能识别漏洞,还能自主发动攻击,这真的非常可怕"——同时市面上也涌现出各种声称能抵御此类攻击的软件。因此,课程在网络安全技术层面投入了大量篇幅。"但归根结底,"Chun说,"最大的攻击入口仍然是人。"
"社会工程学"这一术语通常指犯罪分子操控受害者、使其主动破坏安全防线的手段(例如向骗子转账、下载恶意代码或泄露敏感信息)。Susskind和Chun提出的防御性社会工程学同样根植于人类心理学。该方法强调,无论技术岗位还是非技术岗位,网络安全都应成为每个人工作职责的一部分。
"关键在于让人们知道该怎么做,做出正确的选择,"Chun说,"帮助他们将现有资源和预算用在经久有效的地方,而不是一味购买最新的杀毒软件。"
Susskind表示:"有计算机科学背景的学生会对我们如此重视帮助客户建立组织能力感到意外。学生需要理解客户社区内部的领导层动态。IT主管不能只按自己的意愿行事,他们的预算依赖于地方政府,招募新员工也需要获得批准。"
另一方面,Susskind指出,规划或社会科学背景的学生往往研究智慧城市创新,却对管理相关风险所需的技术知之甚少。而AI与先进系统设计,以及网络法律等网络安全领域的关键议题,工程系学生在其他课程中也未必能接触到。网络安全诊所旨在弥补各学科学生的知识短板。课程每学期还会邀请至少六位来自业界、其他高校、麻省理工学院各院系及相关政府机构的嘉宾演讲。
例如,今年春季的演讲阵容包括:Industrial Data Works创始人Dan Ricci,讲解预算约束环境下能源系统的风险建模;I&C Secure Inc.总裁Gus Serino,讲授工业控制系统的运营技术网络安全;以及来自马萨诸塞州网络安全中心和网络安全和基础设施安全局的代表,分别介绍各自州级和联邦级组织的项目与举措。
"有些高度专业化的内容,尤其是AI如何改变网络安全的前沿知识,需要外部专家协助教授,"Susskind说,"网络安全领域的变化速度,使得大多数学者都很难跟上。"
改进路线图
诊所学生在学期的前四周完成实地任务的准备工作。一系列在线模块辅以课堂讨论,涵盖针对关键城市基础设施的网络攻击的范围与性质,梳理与客户类型最相关的23个风险领域,并为评估流程的每个步骤提供指导,其中包括模拟棘手的客户互动场景——如果客户不重视学生的意见怎么办?如果他们不提供必要信息怎么办?如果他们要求获得一份比实际情况更为乐观的评估报告怎么办?
"我从来没有上过一门课,能让我们为如此真实的场景做好准备,"今年春季完成该课程的计算机科学与工程专业大四学生Diego Contreras说。
在线模块以一场考试作为收尾,学生必须一次通过才能获得实地任务资格。学期余下时间,他们将通过每周课堂会议获得持续支持,并就草稿报告获得教师指导,但协调团队工作、建立客户信任的责任在于学生自身。
"你代表的是麻省理工学院,这是一份相当重大的责任,"Contreras说,"这门课培养了我在其他任何场合都难以习得的人际交往能力。"
"这个项目最微妙的地方在于如何平衡评估结论,"去年秋季以数理经济学与金融专业大四学生身份修读该课程的Zev Moore表示,"我们的方式是在提出重要改进建议的同时,充分肯定客户已经建立的积极安全举措,确保报告呈现为一份共同努力的改进路线图。"
大多数报告都会提出若干共同的核心建议:清点所有接入网络的硬件和软件,追踪访问权限;定期修补软件漏洞并备份数据;要求启用多因素身份验证并定期更新密码;培训员工不要打开来路不明的附件;制定攻击响应预案,明确权责划分并确立组织在支付赎金问题上的立场;仅使用具备良好网络安全习惯的供应商。
"这些措施没有一项耗资巨大,"Susskind说,"但综合起来,它们很可能能够规避80%甚至更多的网络攻击风险和损失。"
推广模式
迄今为止,已有逾120名学生在麻省理工学院完成了完整的课程学习。为学生认证提供准备的在线模块已作为大规模开放在线课程(MOOC)在MITx平台上免费向公众开放,课程名为"关键城市基础设施网络安全",已吸引数万名学习者。这些模块也被其他设有自己网络安全诊所的大学所采用——这一群体正在不断壮大,部分得益于麻省理工学院于2021年与加州大学伯克利分校、印第安纳大学和阿拉巴马大学联合创立的高校联盟(目前已有61所成员机构且仍在增加)。
大多数学生小组在完成建议报告后即结束客户工作;少数人选择在学期结束后继续作为志愿者,为方案落地提供咨询。无论哪种情况,Susskind和Chun都会在每次合作结束后至少两年内定期回访客户。
"我们经常听到客户反映,漏洞评估报告成为了组织在短期、中期和长期内提升应对能力的行动蓝图,"Chun说,"我们主要与IT主管或首席技术官合作,许多人在合作结束后告诉我们,他们将麻省理工学院的报告提交给了市镇领导层,并借此成功争取到了额外预算或专项资金。他们以学生报告为依据说:'这不只是我个人的判断。一支可信赖的团队花费了大量时间,得出了这样的结论。'"
"每当一些老客户过了一段时间后又主动找上门来说:'我们换了新人,添置了新设备,能不能再做一次评估?'——这真的让人由衷地感到欣慰,"Chun补充道。
Q&A
Q1:麻省理工学院网络安全诊所课程的学生具体怎么帮助客户?
A:学生完成在线模块学习并通过认证考试后,以小组形式被分配给真实客户。他们通过调研评估客户的网络安全漏洞,最终提交一份涵盖风险识别与改进建议的报告,内容包括软硬件清点、多因素认证、员工培训及应急响应计划等,全程保密且免费。
Q2:什么是防御性社会工程学?
A:防御性社会工程学是麻省理工学院网络安全诊所提出的一种方法论,强调网络安全不只是技术问题,更是人的问题。该方法关注组织内部的人员行为与决策,主张通过提升每个员工的安全意识和正确操作习惯,从源头减少被攻击的风险,而不是单纯依赖最新的技术软件。
Q3:中小型市政机构和医院为什么容易遭受网络攻击?
A:这类机构通常缺乏专业网络安全人员,原因在于网络安全人才供不应求,而公共部门薪资水平难以与私营企业竞争。预算有限导致安全投入不足,也缺乏系统性的防护体系,因此成为勒索软件等网络攻击的高危目标。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.