2019年5月,馬里蘭州巴爾的摩市政府陷入一片混亂。網路犯罪分子將該市大量關鍵文件鎖定,並索要贖金要求解密。市政府拒絕支付贖金,但此次攻擊導致房地產交易、賬單支付等一系列服務陷入癱瘓,恢復成本高達數百萬美元。
麻省理工學院城市研究與規劃系(DUSP)開設的網路安全診所課程(11.074/11.274),將巴爾的摩事件列為典型案例,用以說明針對市政府及其他公共機構的勒索軟體攻擊日趨普遍。為應對此類威脅,講師Jungwoo Chun與城市及環境規劃福特講席教授Lawrence Susskind於2019年創立了麻省理工學院網路安全診所,此後幾乎每學期都會開設這門課程。
課程模式與法律或醫療診所類似,既為學生提供實戰訓練,也為高風險社區提供免費服務。學生完成教學模組並通過認證考試後,將以小組形式被分配至一個客戶。學期結束時,每個小組須提交一份報告,評估客戶面臨的網路攻擊漏洞,並提出改進建議。迄今為止,該診所已為新英格蘭地區的市政機構和醫療機構提供了逾40份保密且免費的評估報告。
2025年,美國聯邦調查局(FBI)網際網路犯罪投訴中心記錄顯示,針對美國人的網路攻擊平均每天高達2765起。Chun表示,當攻擊波及城市和鄉鎮時,其影響遠不止於經濟損失:"會對我們生活的方方面面產生令人不寒而慄的連鎖效應。"
近年來,針對此類社區的網路攻擊已威脅到供水安全,阻礙了911及警務服務的正常運行,並導致市民個人數據泄露。
儘管許多小型市政機構和醫院是關鍵基礎設施的重要門戶,但它們普遍缺乏受過專業網路安全培訓的內部人員。當前勞動力市場上,網路安全專家的供需嚴重失衡,而公共部門的預算也難以與私營企業為合格候選人開出的高薪相匹敵。
根據Comparitech的數據,2018年至2024年間,美國政府機構共遭受525次勒索軟體攻擊,平均約每五天一次,造成的停機損失估計高達10.9億美元。
Susskind表示:"資金不足的公共機構和非營利組織需要走一條自助之路。只需免費服務診所的一點指導,這些組織就能採取許多低成本的防護措施。"
防禦性社會工程學
許多人或許會感到驚訝:這所大學的網路安全項目竟然設在電腦科學系之外。Chun是一位專注於公共政策與規劃的應用社會科學家,Susskind則是衝突解決與共識構建領域的著名學者。他們將自己為診所開發的方法稱為"防禦性社會工程學",以強調網路安全並非單純的技術挑戰。
Chun坦言,人工智慧的快速發展為犯罪分子提供了令人警惕的新工具——"現在AI不僅能識別漏洞,還能自主發動攻擊,這真的非常可怕"——同時市面上也湧現出各種聲稱能抵禦此類攻擊的軟體。因此,課程在網路安全技術層面投入了大量篇幅。"但歸根結底,"Chun說,"最大的攻擊入口仍然是人。"
"社會工程學"這一術語通常指犯罪分子操控受害者、使其主動破壞安全防線的手段(例如向騙子轉賬、下載惡意代碼或泄露敏感資訊)。Susskind和Chun提出的防禦性社會工程學同樣根植於人類心理學。該方法強調,無論技術崗位還是非技術崗位,網路安全都應成為每個人工作職責的一部分。
"關鍵在於讓人們知道該怎麼做,做出正確的選擇,"Chun說,"幫助他們將現有資源和預算用在經久有效的地方,而不是一味購買最新的殺毒軟體。"
Susskind表示:"有電腦科學背景的學生會對我們如此重視幫助客戶建立組織能力感到意外。學生需要理解客戶社區內部的領導層動態。IT主管不能只按自己的意願行事,他們的預算依賴於地方政府,招募新員工也需要獲得批准。"
另一方面,Susskind指出,規劃或社會科學背景的學生往往研究智慧城市創新,卻對管理相關風險所需的技術知之甚少。而AI與先進系統設計,以及網路法律等網路安全領域的關鍵議題,工程系學生在其他課程中也未必能接觸到。網路安全診所旨在彌補各學科學生的知識短板。課程每學期還會邀請至少六位來自業界、其他高校、麻省理工學院各院系及相關政府機構的嘉賓演講。
例如,今年春季的演講陣容包括:Industrial Data Works創始人Dan Ricci,講解預算約束環境下能源系統的風險建模;I&C Secure Inc.總裁Gus Serino,講授工業控制系統的運營技術網路安全;以及來自馬薩諸塞州網路安全中心和網路安全和基礎設施安全局的代表,分別介紹各自州級和聯邦級組織的項目與舉措。
"有些高度專業化的內容,尤其是AI如何改變網路安全的前沿知識,需要外部專家協助教授,"Susskind說,"網路安全領域的變化速度,使得大多數學者都很難跟上。"
改進路線圖
診所學生在學期的前四周完成實地任務的準備工作。一系列在線模組輔以課堂討論,涵蓋針對關鍵城市基礎設施的網路攻擊的範圍與性質,梳理與客戶類型最相關的23個風險領域,並為評估流程的每個步驟提供指導,其中包括模擬棘手的客戶互動場景——如果客戶不重視學生的意見怎麼辦?如果他們不提供必要資訊怎麼辦?如果他們要求獲得一份比實際情況更為樂觀的評估報告怎麼辦?
"我從來沒有上過一門課,能讓我們為如此真實的場景做好準備,"今年春季完成該課程的電腦科學與工程專業大四學生Diego Contreras說。
在線模組以一場考試作為收尾,學生必須一次通過才能獲得實地任務資格。學期餘下時間,他們將通過每周課堂會議獲得持續支持,並就草稿報告獲得教師指導,但協調團隊工作、建立客戶信任的責任在於學生自身。
"你代表的是麻省理工學院,這是一份相當重大的責任,"Contreras說,"這門課培養了我在其他任何場合都難以習得的人際交往能力。"
"這個項目最微妙的地方在於如何平衡評估結論,"去年秋季以數理經濟學與金融專業大四學生身份修讀該課程的Zev Moore表示,"我們的方式是在提出重要改進建議的同時,充分肯定客戶已經建立的積極安全舉措,確保報告呈現為一份共同努力的改進路線圖。"
大多數報告都會提出若干共同的核心建議:清點所有接入網路的硬體和軟體,追蹤訪問權限;定期修補軟體漏洞並備份數據;要求啟用多因素身份驗證並定期更新密碼;培訓員工不要打開來路不明的附件;制定攻擊響應預案,明確權責劃分並確立組織在支付贖金問題上的立場;僅使用具備良好網路安全習慣的供應商。
"這些措施沒有一項耗資巨大,"Susskind說,"但綜合起來,它們很可能能夠規避80%甚至更多的網路攻擊風險和損失。"
推廣模式
迄今為止,已有逾120名學生在麻省理工學院完成了完整的課程學習。為學生認證提供準備的在線模組已作為大規模開放在線課程(MOOC)在MITx平台上免費向公眾開放,課程名為"關鍵城市基礎設施網路安全",已吸引數萬名學習者。這些模組也被其他設有自己網路安全診所的大學所採用——這一群體正在不斷壯大,部分得益於麻省理工學院於2021年與加州大學伯克利分校、印第安納大學和阿拉巴馬大學聯合創立的高校聯盟(目前已有61所成員機構且仍在增加)。
大多數學生小組在完成建議報告後即結束客戶工作;少數人選擇在學期結束後繼續作為志願者,為方案落地提供諮詢。無論哪種情況,Susskind和Chun都會在每次合作結束後至少兩年內定期回訪客戶。
"我們經常聽到客戶反映,漏洞評估報告成為了組織在短期、中期和長期內提升應對能力的行動藍圖,"Chun說,"我們主要與IT主管或首席技術官合作,許多人在合作結束後告訴我們,他們將麻省理工學院的報告提交給了市鎮領導層,並藉此成功爭取到了額外預算或專項資金。他們以學生報告為依據說:'這不只是我個人的判斷。一支可信賴的團隊花費了大量時間,得出了這樣的結論。'"
"每當一些老客戶過了一段時間後又主動找上門來說:'我們換了新人,添置了新設備,能不能再做一次評估?'——這真的讓人由衷地感到欣慰,"Chun補充道。
Q&A
Q1:麻省理工學院網路安全診所課程的學生具體怎麼幫助客戶?
A:學生完成在線模組學習並通過認證考試後,以小組形式被分配給真實客戶。他們通過調研評估客戶的網路安全漏洞,最終提交一份涵蓋風險識別與改進建議的報告,內容包括軟硬體清點、多因素認證、員工培訓及應急響應計劃等,全程保密且免費。
Q2:什麼是防禦性社會工程學?
A:防禦性社會工程學是麻省理工學院網路安全診所提出的一種方法論,強調網路安全不只是技術問題,更是人的問題。該方法關注組織內部的人員行為與決策,主張通過提升每個員工的安全意識和正確操作習慣,從源頭減少被攻擊的風險,而不是單純依賴最新的技術軟體。
Q3:中小型市政機構和醫院為什麼容易遭受網路攻擊?
A:這類機構通常缺乏專業網路安全人員,原因在於網路安全人才供不應求,而公共部門薪資水平難以與私營企業競爭。預算有限導致安全投入不足,也缺乏系統性的防護體系,因此成為勒索軟體等網路攻擊的高危目標。






