2019年5月的一個清晨,美國馬里蘭州巴爾的摩市政府的工作人員像往常一樣打開電腦,卻發(fā)現(xiàn)關(guān)鍵文件全部變成了無法讀取的亂碼。屏幕上彈出一條冷酷的提示:所有數(shù)據(jù)已被加密,必須支付贖金才能解鎖。那一刻,這座港口城市的行政心臟驟然停擺。
市政府拒絕向勒索團伙低頭。隨之而來的,是一連串公共服務(wù)系統(tǒng)的崩塌——房地產(chǎn)交易被迫擱置,水費電費等市政賬單無法在線支付,甚至連911應(yīng)急響應(yīng)和警務(wù)調(diào)度都受到不同程度的波及。恢復(fù)重建的賬單最終飆升至數(shù)百萬美元,而整個社區(qū)對網(wǎng)絡(luò)世界的脆弱性有了切膚之痛。
![]()
這個案例被收錄進(jìn)一門叫作“網(wǎng)絡(luò)安全診所”的大學(xué)課程。開課地點不在計算機學(xué)院樓,卻藏在麻省理工學(xué)院城市研究與規(guī)劃系里。2019年,也就是巴爾的摩遭襲的同一年,講師Jungwoo Chun和福特城市與環(huán)境規(guī)劃教授Lawrence Susskind正式啟動了這個獨特的診所項目,此后的幾乎每個學(xué)期都未曾間斷。
就像法學(xué)院或醫(yī)學(xué)院為學(xué)生開設(shè)的法律診所、醫(yī)療診室一樣,這門課程一邊為學(xué)生提供逼真的實戰(zhàn)訓(xùn)練,一邊向高風(fēng)險社區(qū)交付免費的公益服務(wù)。學(xué)生先要完成一系列教學(xué)模塊,并通過嚴(yán)格的認(rèn)證考試,然后編成小組,對接到真實的客戶組織。到學(xué)期結(jié)束時,每個團隊都要交付一份深度評估報告,梳理客戶面臨的網(wǎng)絡(luò)攻擊薄弱環(huán)節(jié),并給出具體可操作的防護建議。
到目前為止,這個小小的校園診所已經(jīng)完成了超過40份此類評估,全部保密且分文不取,客戶主要集中在馬薩諸塞州等新英格蘭地區(qū)的基層市鎮(zhèn)和醫(yī)療機構(gòu)。當(dāng)聯(lián)邦調(diào)查局互聯(lián)網(wǎng)犯罪投訴中心在2025年記錄下平均每天高達(dá)2765起針對美國民眾的網(wǎng)絡(luò)攻擊時,這些默默運轉(zhuǎn)的“學(xué)生保安隊”就以幾乎零預(yù)算的方式,在關(guān)鍵處補上了一塊缺口。
Chun在課堂上常用“連鎖坍塌效應(yīng)”來描述一次成功的勒索攻擊對城市生活的打擊。不只是賬面上的贖金和修復(fù)費用,更深層的是信任和基本服務(wù)的瓦解。他提醒學(xué)生:一旦水處理系統(tǒng)、交通事故管理系統(tǒng)或醫(yī)院掛號平臺被鎖死,居民所面臨的就不再是電腦病毒,而是真實的物理世界危機。
事實上,近年來針對類似診所所服務(wù)的那類小型社區(qū)的襲擊,已經(jīng)直接威脅到飲用水供應(yīng),癱瘓過911電話和警察內(nèi)部網(wǎng)絡(luò),還導(dǎo)致大量市民的敏感個人信息被泄露到暗網(wǎng)上。這些機構(gòu)雖然掌管著最基本的基礎(chǔ)設(shè)施入口,自身卻根本沒有專職的網(wǎng)絡(luò)安全人員。勞動力市場上,這類專業(yè)人才長期處于嚴(yán)重供不應(yīng)求的狀態(tài),而公共預(yù)算開出的薪酬,幾乎完全無法與私營巨頭為合格工程師提供的優(yōu)厚待遇競爭。
Comparitech的一項統(tǒng)計更加觸目驚心:從2018年到2024年,美國各級政府機構(gòu)累計遭遇525起勒索軟件攻擊,平均大約每五天就發(fā)生一起。即便受害機構(gòu)重建了系統(tǒng),業(yè)務(wù)中斷所造成的累積停機成本,估算下來也高達(dá)10.9億美元之多。這些數(shù)字背后,是一個個被反復(fù)按在地上摩擦的學(xué)校和市政廳。
Susskind對此的觀察直指痛點:資金拮據(jù)的公共部門和非營利機構(gòu)必須學(xué)會走“自救”這條路。在他看來,只要得到一點來自免費診所的專業(yè)指導(dǎo),這些組織完全能實施大量低成本甚至零成本的防御動作。關(guān)鍵不在于一次投入多少錢買設(shè)備,而是能否建立一套可持續(xù)的安全意識和操作習(xí)慣。
或許讓人意外的是,這個項目的牽頭人并非傳統(tǒng)意義上的技術(shù)黑客。Chun是一位專攻公共政策與規(guī)劃的應(yīng)用型社會科學(xué)家,Susskind則是沖突解決與共識建構(gòu)領(lǐng)域的資深學(xué)者。他們把自己開發(fā)的這一整套方法論稱作“防御性社會工程”。從稱呼就能看出,他們從一開始就沒打算把網(wǎng)絡(luò)安全問題當(dāng)作純技術(shù)題來解。
在診所的視角里,一次攻擊之所以成功,往往不是因為某一行代碼寫得不夠好,而是因為有人點開了不該點的郵件附件,或老舊的管理員密碼被掛在論壇上公開叫賣。因此,課程里大量篇幅被分配給組織流程再造、人員培訓(xùn)機制、簡單但易被忽略的備份策略,以及如何在危機來臨時保持對外溝通的清晰度。這些內(nèi)容看上去不炫酷,卻恰恰是那些“守不住”的機構(gòu)最缺的東西。
學(xué)生進(jìn)入診所后,首先經(jīng)歷的是一段密集的理論與規(guī)章學(xué)習(xí)。每一節(jié)模塊都圍繞一個真實的攻擊場景展開:比如某個小鎮(zhèn)的稅務(wù)數(shù)據(jù)庫被突然加密,應(yīng)該先通知誰?要不要立刻拔網(wǎng)線?怎么判斷犯罪分子的真實意圖?認(rèn)證考試則模擬了基層公務(wù)員最常遇到的釣魚陷阱和社交工程套路,只有通過測試的人才有資格接觸客戶數(shù)據(jù)。
被分配到客戶后,學(xué)生小組通常會在保密協(xié)議的保護下,獲得對著真實網(wǎng)絡(luò)拓?fù)鋱D和內(nèi)部政策手冊任意“挑刺”的權(quán)利。他們可以要求查看服務(wù)器的補丁更新記錄,檢查員工是否使用了弱密碼,甚至模擬撥打電話測試前臺人員會不會輕易透露內(nèi)部信息。整個過程被嚴(yán)格限定在善意探測范圍內(nèi),所有發(fā)現(xiàn)只寫在最終報告里,絕對不對第三方公開。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.