2019年5月,马里兰州巴尔的摩市政府陷入混乱。网络犯罪分子锁定了该市许多关键文件,并要求支付赎金以解密这些文件。该市拒绝支付赎金。这次攻击使一系列服务瘫痪,包括房地产交易和账单支付,恢复成本飙升至数百万美元。
麻省理工学院城市研究与规划系(DUSP)的课程11.074/11.274(网络安全诊所)的大纲,将巴尔的摩的情况作为市政政府和其他公共机构日益常见的勒索软件攻击案例进行研究。为了应对此类威胁,讲师郑正宇(Jungwoo Chun)和福特城市与环境规划教授劳伦斯·萨斯金德(Lawrence Susskind)于2019年成立了麻省理工学院网络安全诊所。自那以来,他们几乎每学期都开设这门课程。
该课程就像法律或医疗诊所一样,既为学生提供实践培训,也为高风险社区提供免费服务。完成教学模块并通过认证考试后,学生将被分组分配给客户。到学期结束时,每个团队都会提交一份报告,评估客户面临的网络攻击漏洞,并提出改进保护的建议。迄今为止,该诊所已提供了40多份免费且保密的评估,主要服务于新英格兰地区的市政机构和医疗保健组织。
2025年,联邦调查局互联网犯罪投诉中心记录显示,美国人每天平均遭遇2,765起网络攻击。当这些攻击针对城市和乡镇时,其影响远超财务层面,郑正宇表示:“它会对我们生活的方方面面产生可怕的连锁反应。”
近年来,针对麻省理工学院诊所服务对象的网络攻击已危及供水、阻碍911和警察服务,并暴露公民的个人数据。
尽管许多小型市政机构和医院是关键基础设施的门户,但它们缺乏受过网络安全培训的内部人员。当今劳动力市场对此类专家的需求远超供给,公共部门预算很少能与私营公司为合格候选人提供的薪资相匹配。
根据Comparitech的数据,从2018年到2024年,美国政府实体共发生525起勒索软件攻击,约每五天一起,造成约10.9亿美元的停机成本。
“资金不足的公共和非营利机构需要走自助之路,”萨斯金德说。“这些组织只需通过免费服务诊所的少量指导,就能实施许多低成本措施。”
防御性社会工程
有些人可能会惊讶地发现,一所大学的网络安全项目设在计算机科学系之外。郑正宇是一位应用社会科学家,专长于公共政策和规划,而萨斯金德则是冲突解决与共识构建领域的领军学者。他们为诊所开发的这种方法被称为“防御性社会工程”,以强调网络安全不仅仅是技术挑战。
郑正宇承认,人工智能的快速发展为犯罪分子创造了令人担忧的新工具——“现在人工智能不仅能识别漏洞,还能自行发动攻击,这真的很可怕”——以及不断更新的软件声称可以防范这些攻击。因此,该课程在网络安全的技术方面花费了大量时间。“但归根结底,”郑正宇说,“最大的攻击途径仍然是通过人。”
“社会工程”一词通常指操纵网络犯罪受害者破坏安全的方式(例如,向诈骗者汇款、下载恶意代码或泄露敏感信息)。萨斯金德和郑正宇的防御性社会工程概念同样基于人类心理学。该方法强调网络安全必须成为每个人工作的一部分,无论是否涉及技术。
“这关乎人们知道该做什么,人们做出正确的选择,”郑正宇说。“这是在帮助他们利用现有资源和预算做长期有效的事情,而不是仅仅购买最新的杀毒软件。”
“有计算机科学背景的学生对我们重视帮助客户建立组织能力这一点感到惊讶,”萨斯金德说。“学生需要了解客户社区的领导动态。IT主管不能只做自己想做的事。他们依赖当地政府的预算。他们需要批准才能聘用新员工。”
另一方面,萨斯金德说,来自规划或社会科学背景的学生经常研究智慧城市创新,却很少了解管理相关风险所需的技术。还有人工智能和先进系统设计方面——以及网络法律和其他对网络安全至关重要的主题——工程专业的学生可能在其他课程中没有学到。网络安全诊所旨在全面培养各学科学生的知识。该课程还通过每学期邀请至少六位来自行业、其他大学和麻省理工学院学术部门、行业和/或相关公共机构的客座讲师,拓宽学生的知识面。
例如,今年春季的讲师阵容包括:工业数据工程公司创始人Dan Ricci,主题是预算受限环境下能源系统中的风险建模;I&C Secure Inc.总裁Gus Serino,主题是工业控制系统的运营技术网络安全;以及MassCyberCenter和网络安全与基础设施安全局的代表,分别介绍其州级和联邦级组织的项目与举措。
“有一些高度专业化的内容需要学习,尤其是关于人工智能如何改变网络安全的内容,我们需要帮助教学,”萨斯金德说。“网络安全领域的变化速度意味着,大多数学者很难跟上。”
改进路线图
诊所学生在学期的前四周为实地任务做准备。一系列在线模块辅以课堂讨论,概述针对关键城市基础设施的网络攻击的范围和性质;回顾与其客户类型最相关的23个风险领域;并为评估过程的每一步提供指导。这包括模拟棘手的客户互动。如果客户不认真对待学生,或未能提供必要信息怎么办?如果他们争论要求给出比事实更有利的评估怎么办?
“我从未参加过如此贴近真实场景的课程,”Diego Contreras说,他是计算机科学与工程专业的大三学生,今年春天完成了这门课程。
这些模块以考试结束,学生必须一次性通过才能获得实地任务。在学期的剩余时间里,他们将通过每周的课堂会议获得持续支持,并就起草的报告获得教师反馈,但协调团队活动和建立客户信任的责任在于学生。
“你代表麻省理工学院,这是一项相当大的责任,”Contreras说。“这门课程给了我在其他任何环境中都无法培养的人际交往能力。”
“项目最微妙的方面是平衡我们的评估发现,”Zev Moore '26说,他去年秋季作为数学经济学和金融专业的高年级学生选修了这门课程。“我们的方法是在提供重要反馈的同时,认可客户已有的积极安全措施,这确保了我们的报告感觉像是一份协作式的改进路线图。”
某些关键建议出现在大多数报告中。例如,建议客户清点连接到其网络的所有硬件和软件,并跟踪访问权限;定期修补软件并备份数据;要求多因素身份验证和频繁更新密码;培训员工不要打开未知方的附件;制定明确权力界限并包含组织对支付赎金立场的攻击响应计划;以及仅使用具有良好网络安全卫生习惯的供应商。
“这些项目都不昂贵,”萨斯金德说。“综合起来,它们很可能避免80%或更多的网络攻击可能造成的成本和危险。”
推广模式
迄今为止,已有120多名学生在麻省理工学院完成了完整课程。用于学生认证准备的在线模块作为大规模开放在线课程在MITx上免费向公众提供,课程名为关键城市基础设施网络安全,已吸引数万名学习者。这些模块也被拥有自己网络安全诊所的大学使用——这是一个不断壮大的群体,部分得益于2021年由麻省理工学院与加州大学伯克利分校、印第安纳大学和阿拉巴马大学共同创立的联盟(目前有61个成员机构)。
大多数学生团队在完成建议后结束客户工作;少数人自愿在学期结束后留下来指导实施。无论哪种情况,萨斯金德和郑正宇都会在每次参与后至少两年内定期与客户保持联系。
“我们经常听到,漏洞评估报告成为组织短期、中期和长期议程的蓝图,以更好地应对未来攻击,”郑正宇说。“我们主要与IT主管或首席技术官合作,他们中的许多人在参与后告诉我们,他们将麻省理工学院的报告分享给了市或镇领导,并说服他们需要额外预算或特定项目。他们用学生报告作为杠杆说,‘这不只是我说的。我们有一支投入时间的可靠团队,这些是他们的发现。’
“这真是一种谦卑的体验,”郑正宇补充道,“当一些过去的客户过一段时间再次联系我们时说:‘现在我们有不同的人了,我们刚刚购买了新设备。我们可以重新做一次吗?’”
0 Comments
Log in to join the conversation.No comments yet. Be the first to share your thoughts.