2019年5月,马里兰州巴尔的摩市因网络攻击陷入混乱,网络犯罪分子锁定了市政的许多关键文件,并要求支付赎金以解密。尽管城市拒绝支付,攻击导致包括房地产交易和账单支付在内的多项服务瘫痪,恢复费用飙升至数百万美元。MIT城市研究与规划系的课程11.074/11.274(网络安全诊所)将巴尔的摩的案例作为日益频繁的针对市政政府和其他公共机构的勒索攻击的典型示例。为应对这一威胁,讲师Jungwoo Chun和城市与环境规划的Ford教授Lawrence Susskind于2019年启动了MIT网络安全诊所,并几乎每学期都开设该课程。
该课程不仅是学生的实践培训,也是对风险社区的公益服务。完成教学模块并通过认证考试后,学生们分成小组,负责为客户提供服务。学期结束时,每个小组会提交一份评估报告,分析客户的网络攻击脆弱性,并推荐改进措施。截至目前,诊所已为新英格兰地区的市政和医疗机构提供了40多份保密且免费的评估报告。2025年,FBI的互联网犯罪投诉中心记录到每天针对美国人的网络攻击平均达2765起。Chun指出,这些攻击的后果不仅限于经济:“对我们生活的每个维度都有令人恐惧的连锁反应。”
近年来,针对MIT诊所所服务的客户社区的网络攻击已危及水源,妨碍911和警务服务,并暴露市民的个人数据。尽管许多小型市政和医院是关键基础设施的门户,但却缺乏经过培训的网络安全人员。如今,对网络安全专家的需求远超供给,而公共部门的预算通常无法与私营公司为合格候选人提供的高薪竞争。根据Comparitech的数据,从2018年到2024年,美国政府实体遭受了525起勒索攻击,平均每五天一起,造成约10.9亿美元的停工损失。Susskind表示:“资金不足的公共和非营利组织需要遵循自助路径。只需少量辅导,这些组织就可以实施许多低成本措施。”
在MIT的网络安全诊所中,Chun和Susskind提出的“防御性社会工程”方法强调网络安全不仅仅是技术挑战。Chun承认,人工智能的快速发展为犯罪分子创造了令人担忧的新工具——“现在,人工智能不仅可以识别脆弱性,还能进行攻击,这真的很可怕。”课程中,学生们学习了网络安全的技术方面,但Chun指出:“最终,最大的攻击途径仍然是人。”
“社会工程”通常指的是网络犯罪受害者如何被操纵以妥协安全(例如,向骗子汇款、下载恶意代码或披露敏感信息)。Susskind和Chun的“防御性社会工程”概念同样基于人类心理学,强调网络安全必须成为每个人的职责,无论是技术性还是非技术性。“这关乎人们知道该怎么做,做出正确的选择,”Chun说。
课程还邀请行业、其他大学和MIT相关公共机构的至少六位客座讲师,拓宽学生的知识面。学生们在学期的前四周为现场任务做准备,学习网络攻击的范围和性质、相关风险领域,以及评估过程的每一步指导。课程还模拟了客户互动中的棘手情境,帮助学生们在实际中建立信任。
到目前为止,已有120多名学生完成了该课程。为认证准备的在线模块在MITx上作为开放在线课程“关键城市基础设施的网络安全”免费提供,并吸引了数万名学习者。Susskind和Chun定期与客户跟进,确保他们能在未来两年内更好地应对网络攻击。
“我们经常听到评估报告成为客户组织短期、中期和长期计划的蓝图,以更好地应对未来的攻击,”Chun补充道。“许多IT主管或首席技术官表示,他们利用MIT报告作为杠杆,与城市或镇的领导层沟通,争取额外预算或特定项目。”
博主点评: MIT的网络安全诊所通过将理论与实践相结合,培养学生的技术能力与社会责任感,为面临网络威胁的社区提供了宝贵的支持。这种跨学科的合作不仅提高了学生的专业素养,也为公共机构的网络安全建设提供了切实的解决方案。