![]()
2019年5月,馬里蘭州巴爾的摩市政府陷入混亂。網絡犯罪分子鎖定了該市大量關鍵文件,并索要解密贖金。巴爾的摩市政府拒絕支付,但這次攻擊導致房地產交易、賬單支付等大范圍服務癱瘓,事后恢復費用高達數百萬美元。
麻省理工學院城市研究與規劃系(DUSP)開設的11.074/11.274課程(網絡安全診所)將巴爾的摩案例納入教學大綱,作為市政府和公共機構遭受勒索軟件攻擊日益普遍的典型案例。為應對此類威脅,講師Jungwoo Chun與城市及環境規劃福特講席教授Lawrence Susskind于2019年共同創辦了MIT網絡安全診所,此后幾乎每學期都開設該課程。
與法律或醫療診所類似,該課程兼具兩重意義:既是學生的實踐培訓,也為高風險社區提供公益服務。學生完成教學模塊學習并通過認證考試后,將以團隊形式被分配至一位客戶。學期結束時,每支團隊須提交一份評估報告,分析客戶面臨的網絡攻擊漏洞,并提出改進建議。迄今為止,該診所已為新英格蘭地區的市政機構和醫療機構提供了逾40份免費保密評估報告。
2025年,美國聯邦調查局互聯網犯罪投訴中心記錄顯示,針對美國民眾的網絡攻擊平均每天高達2765起。Chun表示,當網絡攻擊襲擊城鎮時,影響遠不止于經濟損失:"這會對我們生活的方方面面產生令人恐懼的連鎖效應。"近年來,針對此類社區的網絡攻擊已威脅到供水安全,妨礙911及警務服務正常運行,并導致公民個人數據泄露。
盡管許多小型市政機構和醫院是關鍵基礎設施的重要門戶,卻普遍缺乏專業網絡安全人員。當前勞動力市場中,此類專業人才的需求遠超供給,公共部門的薪資待遇又難以與私營企業相抗衡。根據Comparitech的數據,2018年至2024年間,美國政府機構共遭受525次勒索軟件攻擊,約每五天一次,估計造成停機損失高達10.9億美元。
Susskind表示:"資金匱乏的公共機構和非營利組織需要走一條自助路徑。在免費服務診所的指導下,這些機構可以采取許多低成本舉措。"
防御性社會工程學
有人或許會對一所網絡安全課程開設于計算機科學系之外感到意外。Chun是一位專注于公共政策與規劃的應用社會科學家,Susskind則是沖突解決與共識構建領域的權威學者。他們將診所的核心方法稱為"防御性社會工程學",以此強調網絡安全并非單純的技術挑戰。
Chun坦承,人工智能的快速發展為犯罪分子提供了令人警覺的新工具——"如今AI不僅能識別漏洞,還能直接發動攻擊,這真的非常可怕"——與此同時,市面上也涌現出各種聲稱能防御此類攻擊的軟件。為此,課程投入了大量時間探討網絡安全的技術層面。"但說到底,"Chun說,"最大的攻擊入口依然是人。"
"社會工程學"一詞通常指網絡犯罪受害者被操控、進而危及自身安全的各種手段(例如向騙子匯款、下載惡意代碼或泄露敏感信息)。Susskind與Chun提出的"防御性社會工程學"同樣根植于人類心理學,強調網絡安全必須成為每位員工職責的一部分,無論其是否從事技術工作。
"關鍵在于讓人們知道該怎么做,作出正確的選擇,"Chun說,"幫助他們把現有資源和預算用在能產生長遠效果的地方,而不是一味追購最新的殺毒軟件。"
Susskind表示:"有計算機科學背景的學生往往對我們重視幫助客戶構建組織能力感到驚訝。學生需要了解客戶所在社區的領導層動態。IT主任無法獨自行事,他們的預算依賴于地方政府,招募新員工也需要審批。"
另一方面,Susskind指出,來自規劃或社會科學背景的學生往往研究智慧城市創新,卻對管理相關風險所需的技術知之甚少;而工程專業學生則可能在其他課程中接觸不到AI、先進系統設計、網絡法律等網絡安全領域的關鍵知識。網絡安全診所旨在彌補各學科學生的知識短板。此外,課程每學期至少邀請六位來自業界、高校、MIT學術部門及相關公共機構的嘉賓講師,進一步拓寬學生視野。
以今年春季學期為例,嘉賓陣容包括:Industrial Data Works創始人Dan Ricci,主講預算約束環境下能源系統的風險建模;I&C Secure Inc.總裁Gus Serino,主講工業控制系統的運營技術網絡安全;以及來自馬薩諸塞州網絡安全中心和網絡安全與基礎設施安全局的代表,分別介紹各自州級和聯邦級組織的項目與舉措。
Susskind說:"有些高度專業化的內容,尤其是AI正在如何改變網絡安全這一議題,需要外部專家協助講授。網絡安全領域的變化速度之快,使大多數學者很難跟上節奏。"
改進路線圖
學期的前四周,診所學生專注于實地任務準備。一系列在線模塊結合課堂討論,梳理了針對城市關鍵基礎設施的網絡攻擊的范圍與性質,回顧了與客戶最相關的23個風險領域,并為評估流程的每個步驟提供指導,其中包括模擬棘手的客戶互動場景——如果客戶不認真對待學生怎么辦?如果客戶拒絕提供必要信息怎么辦?如果客戶要求獲得比實際情況更為樂觀的評估結果怎么辦?
"我從沒上過一門課像這門課一樣,為我們模擬了如此真實的場景,"今年春季修完該課程的計算機科學與工程專業大四學生Diego Contreras說。
模塊學習以一場考試收尾,學生須一次性通過方可獲得實地任務資格。此后整個學期,學生將通過每周課堂會議持續獲得支持,并可就草稿報告獲取教師反饋,但協調團隊工作、建立客戶信任的責任主要落在學生自己身上。
"你代表的是MIT,這是相當大的責任,"Contreras說,"這門課讓我獲得了在其他任何場合都無法培養的溝通技能。"
"這個項目中最微妙的部分,是如何平衡評估結論,"主修數學經濟與金融的2026屆畢業生Zev Moore說,他在去年秋季選修了這門課,"我們的做法是在提出重要改進建議的同時,肯定客戶已有的安全措施,確保報告讀起來更像是一份協作式的改進路線圖,而非單方面的批評。"
大多數報告中都會出現若干核心建議,例如:清點所有接入網絡的硬件與軟件,追蹤訪問權限歸屬;定期為軟件打補丁并備份數據;強制實施多因素身份驗證并定期更新密碼;培訓員工不要打開來源不明的附件;制定攻擊應急響應計劃,明確指揮鏈條,并明確組織對于支付贖金的立場;以及僅與具備良好網絡安全衛生習慣的供應商合作。
"這些措施沒有一項是昂貴的,"Susskind說,"綜合運用,它們很可能可以規避80%乃至更多的網絡攻擊風險與損失。"
模式推廣
迄今為止,已有逾120名學生在MIT完成了完整課程。為學生認證做準備的在線模塊已作為公開課發布于MITx平臺,課程名為"關鍵城市基礎設施網絡安全",吸引了數以萬計的學習者。這些模塊同時被其他高校的網絡安全診所采用。2021年,MIT聯合加州大學伯克利分校、印第安納大學和阿拉巴馬大學共同創建了一個聯盟,目前成員機構已達61所,推動了網絡安全診所模式在更多高校的落地。
大多數學生團隊在提交最終建議后即結束與客戶的合作,少數團隊則自愿在學期結束后繼續提供實施輔導。無論哪種情況,Susskind和Chun都會在每次合作結束后至少兩年內定期回訪客戶。
"我們經常聽到客戶反映,漏洞評估報告已成為他們制定短期、中期和長期備戰計劃的行動藍圖,"Chun說,"我們主要與IT主任或首席技術官合作,許多人在合作結束后告訴我們,他們將MIT報告呈交給市鎮領導,并借此成功爭取到了額外預算或專項資金。他們拿著學生報告作為依據,說:'不只是我一個人這么說,我們有一支專業可信的團隊,花了大量時間研究,這是他們的發現。'"
"每當曾經的客戶過段時間再次聯系我們,說:'現在我們有了新員工,剛采購了新設備,能不能再來評估一次?'這真的讓我們感到由衷的欣慰,"Chun補充道。
Q&A
Q1:MIT網絡安全診所主要為哪些機構提供服務?
A:MIT網絡安全診所主要面向資金有限的公共機構和非營利組織,尤其是新英格蘭地區的市政機構和醫療衛生機構。這些機構往往缺乏專業的網絡安全內部人員,卻又掌管著供水、警務、醫療等關鍵基礎設施,極易成為勒索軟件攻擊的目標。診所為其免費提供保密的漏洞評估報告,迄今已完成逾40份。
Q2:MIT網絡安全診所的"防御性社會工程學"是什么意思?
A:"防御性社會工程學"是MIT網絡安全診所提出的核心方法論,強調網絡安全不僅僅是技術問題,更是人的問題。網絡攻擊最常見的入口是人為失誤,例如點擊釣魚鏈接或泄露敏感信息。該方法主張讓組織內每位員工都具備網絡安全意識,知道如何作出正確決策,并幫助機構將有限預算用在能產生長期效果的舉措上,而非僅依賴技術軟件防護。
Q3:參加MIT網絡安全診所課程的學生需要完成哪些任務?
A:學生需先用約四周時間完成在線教學模塊學習,并一次性通過認證考試,方可獲得實地任務資格。之后,學生以團隊形式被分配至真實客戶,在剩余學期內獨立協調團隊工作、與客戶建立信任關系,最終提交一份涵蓋漏洞評估結果與改進建議的完整報告。整個過程中,教師提供定期反饋支持,但主要責任由學生自主承擔。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.