专家建议北约应接受进攻性网络行动

2019年10月14日

美国陆军网络司令部，弗吉尼亚州贝尔沃堡（资料来源：美国陆军网络司令部/比尔·罗氏）

2008年5月，美国国防部和德国国防部签署了关于“信息保障与计算机网络防御合作” 的谅解备忘录。计算机网络防御（CND）是指在计算机网络上采取的监视和保护网络的行动。这不是美国国防部与盟国签署的有关网络防御的唯一备忘录。

2016年底，美国网络司令部的运营商从位于德国的一台服务器上清除了伊斯兰国的宣传材料。德国政府以某种方式得到了通知 ，但并未要求事先同意，这引起了其很多挫败感。尽管美国网络司令部的行动可能侵犯了德国的主权，但并未明确违反该备忘录。这不是伊斯兰国的CND行为，而是一种计算机网络攻击（CNA），旨在破坏、否认、降级或破坏。

这揭示了网络合作中的不和谐状况：即美国的可能盟国不同意进攻性网络行动的适当程序和界限。更具体地说，关于军事网络组织何时可以访问盟国的系统和网络以破坏对抗活动，没有达成协议。正如我之前所说，这个问题最终可能导致盟国的信任和信心遭受重大损失。我建议的解决方案：北约盟国应建立对盟国境内系统或网络中进攻性网络效果作战的谅解备忘录。

联盟网络中的网络外作战目标

北约联盟可以至少以三种方式在彼此的系统或网络中进行操作：作为观察方，收集有关网络中对抗活动的情报；作为旁观者，穿越联盟的系统和网络以访问特定的对抗目标；或作为对抗者，试图为盟友的网络或系统中的对手的行动制造障碍。上面讨论的德国案例是一个国家在联盟网络中充当破坏者的唯一公开案例。但我们可以预期，将来会有更多此类案件公开披露。

它现在被广泛讨论，美国网络司令部已在一个显著转变的战略思维走朝向持续交战以完成威慑和保护任务。继最近的这些变化中的战略思维，美国网络司令部旨在引起摩擦“无论对手演习”，“全球范围内，连续的无缝连接。”操作与此类似，国家安全局局长和网络司令部司令保罗-中曾根在为联合部队季刊写的一篇文章中表示：“我们必须……在全球相互联系的战场上无缝地进行机动，尽可能接近敌人及其作战，并不断塑造战场，为我们创造作战优势，同时拒绝敌人的优势。”

我们已经看到一些国家朝着这个方向前进。8月1日，《通信安全建立法》（CSE）在加拿大生效。根据加拿大政府的说法，“ CSE有权在阻止外国网络威胁破坏加拿大系统或信息资产之前进行主动阻止，并进行在线作战以推进国家目标。”加拿大政府未在其最新战略中明确提及在“全球范围内，连续无缝”作战。在这方面，需要做更多的战略思考。

但是拟议的网络犯罪谅解备忘录解决了这种可能性。

谅解备忘录的目标

拟议备忘录的目的是减少盟友之间的分歧；增强盟友之间的信任、透明度和信心；并提高破坏和威慑对手在网络空间中行动的效率。

备忘录的范围应包括：（a）为试图在联盟系统或网络中实现网络效应的网络外作战开发一个通用的通知框架；（b）确定程序，以便在各国之间针对联盟领土内的系统或网络传达攻击性网络效果作战的效果和行为；（c）确定持续交换进攻性网络作战信息所需的技术解决方案和行政文件。

在编写备忘录时，各国首先应就允许签署方在彼此网络中进行网络作战所涉及的权限，以及对这些权限的相对权重达成一致。应考虑的公平性包括：（a）行为体采取行动，以消除对方网络和系统上或对对方网络和系统的已知威胁的能力；（b）采取行动可以消除已知威胁的可能性；（c）威胁的迫切性和规模；（d）附带损害的风险；（e）该计算机系统或网络是政府所有还是私人所有；（f）确定对手将使用该系统或网络来实现战略效果的确定性。

关于谅解备忘录，存在三个悬而未决的问题。

一、拟议备忘录是北约范围还是双边形式？

谈判整个北约协定有很多好处，包括确保它有助于捍卫所有北约成员网络并增强整个联盟的弹性。正如我之前所说，它还可以防止潜在的攻击者利用持久交战和前出防御策略：

对手不会随机选择要引导其作战的中间节点。如果俄罗斯可以选择通过一个会引起美国与美国盟国之间严重外交摩擦的网络，或者通过一个不会对美国造成外交摩擦的网络来进行，它会首选什么？对手应该通过与美国有密切关系但不希望美国在其网络内操作而造成任何影响的那些国家的网络来行动。

但是，北约广泛的备忘录也受到限制。首先，并非所有国家都同样愿意共享情报信息。双边协议将使更容易根据两国政府的具体偏好和能力来调整通知权限框架。

二、可以用作公共信令设备吗？

谅解备忘录中的通知权限框架部分可以保密。政府可能不会在第一时间做到正确。由于该框架可能需要调整，因此立即公开披露是有风险的。但是，如果精心设计公开版本，也可以帮助设置迈克尔·菲舍克勒（Michael Fischerkeller）和理查德·哈克内特（Richard Harknett）所说的“ 议定竞争 ” 的参数。也就是说，它可以帮助阐明允许和禁止对手进入彼此网络的位置。如果我们想要网络空间的稳定性，这是一种实现它的机制。

三、备忘录是否还应解决联盟网络以外的网络作战问题？

范围狭窄的谅解备忘录（即解决盟国仅在联盟领土内的系统或网络中进行的网络行动的行为）将忽略对这些系统和网络以外的盟军情报行动和能力的负面影响。

军事网络组织一直在由情报机构主导的全球环境中运作，而“五眼联盟”一直以来都是网络空间中最主要的参与者。但是英语国家情报联盟并不是在世界各地运作的唯一情报参与者。最近的案例，例如臭名昭著的黑客组织Cozy Bear入侵荷兰的美国国家情报和安全局（General Intelligence and Security Service），说明了五眼联盟以外的盟军情报业务在全球的持续流行和价值。

如果军事网络组织越来越多地扮演“破坏者”的角色，则可能对盟军的全球情报收集产生负面影响，尤其是那些倾向于长期使用而不是立竿见影的国家。它还将更有可能发现并消耗相关功能。

发生的风险比人们认为的要高，因为情报机构有一种趋势和动机来瞄准和追踪同一实体。例如，2014年末，网络安全公司卡巴斯基实验室在《威胁的磁铁》杂志上进行了报道。这家网络安全公司在中东发现了一个服务器，该服务器同时为至少五个高级持续威胁（APT）参与者托管植入物：Regin和Equation Group（英语），Turla和ItaDuke（俄语），Animal农场（法语）和Careto（西班牙语）。考虑一下，如果这五个APT组之一试图对中东目标造成破坏性影响，而不是收集情报，那将会发生什么。威胁情报公司（或其他行为者）可能会更早地发现并进行分析，从而揭示每个行为者组的战术、技术和程序（TTP）。

同样，即使预期来自一个盟国的非联盟网络中更多的网络效应行动也可能导致另一国的行动发生变化。的确，过去各国已经表明，早日发现一项行动的期望已导致其TTP发生变化。例如，美国国家安全局（NSA）创建了一个名为FoxAcid 的“漏洞协调器”，这是一个基于Internet的系统，能够根据是否在给定网络中被发现或可能被发现，以多种不同方式攻击目标计算机。FoxAcid采用模块化设计，具有灵活性，允许NSA交换和替换漏洞利用程序，并基于各种考虑因素运行不同的漏洞利用程序。在检测机会很高的技术复杂的目标上，FoxAcid通常会选择运行低价值的攻击。

不是银弹

虽然我认为北约关于在盟国领土上的系统或网络中的进攻性网络作战的谅解备忘录可以极大地帮助促进稳定并增强盟国之间的信任，但这并不是灵丹妙药。它只能减少相关的顾虑，而不能消除它们。军事网络组织可能仍在未经许可的情况下在同盟领土上进行基于效果的行动，导致盟友断言其主权受到侵犯。还有另一个关键的参与者。正如中曾根将军在《联合部队季刊》上所指出的那样，网络空间主要归私有部门所有，他们也是重要的参与方。

作者：Max Smeets，是安全研究中心（CSS）的高级研究员。他还是牛津大学斯坦福大学国际安全与合作中心和研究与研究中心的会员。他曾被《战略研究杂志》授予2018年度Amos Perlmutter奖。2015年，他还因与乔治·博格登（George Bogden）共同撰写的文章而获得了德国马歇尔基金会的青年作家奖。Max之前是斯坦福大学CISAC的博士后研究员和讲师，牛津大学的Keble学院的大学讲师。他还曾在新美国，哥伦比亚大学SIPA，科学Po CERI和北约CCD COE。在他的学术生涯之前，马克斯曾在伦敦和阿姆斯特丹从事金融工作。他获得了罗斯福大学，乌得勒支大学经济学，政治学和统计专业的文学学士学位，以及牛津大学国际关系专业的M.Phil（布拉索诺斯学院）和DPhil（圣约翰学院）

声明：本文来自网电空间战，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。