美国的军政两界对现行的网络战略存在一些争议,其中有两个较为突出的观点:一是现行战略可能无法促使他国减少网络空间内发生的意外事件和鲁莽行为;二是“防御前置”与“网络威慑”之间的模糊关系可能会带来一定的负面影响。通过讨论上述两个观点,指出不能指望各国仅靠默契就能形成共同的网络规则。在制定美国的下一版网络战略的过程中,建议美国与各国积极坦率地开展外交协商,以厘清“防御前置”的方式、时间和条件等,从而更好地帮助美国取得网络优势。

内容目录:

1 “防御前置”及其风险

1.1 现行战略能否促使各方尽力减少意外事件和鲁莽行为

1.2 现行战略是否澄清了美国的网络威慑态势

2 政策影响与结论

2.1 开展坦率的交流

2.2 明确“防御前置”的时间、方式和对象

3 结 语

在发布《2018 年网络态势评估》报告的 4年后,美国国防部正在评估美军的网络能力和网络行动同更高层军事战略之间的联系,并预计将很快完成评估。在美国现行的网络战略中,一项关键的战略构想就是“防御前置”。此构想旨在从源头上打断或挫败恶意网络活动,从而阻止攻击者实现其目标。关于“防御前置”构想的具体内容,请参见《2018 年美国网络司令部指挥愿景》《2018 年国防部网络战略》和《2020 年网络空间日光浴委员会最终报告》等。

过去 4 年,学术界一直围绕此构想的优缺点争论不休,而尽管当前的评估仍保留这一构想,但并不意味着各方对此构想已达成一致意见。一方面,在“防御前置”的支持者看来,此构想将迫使对手将资源用到防御上,从而在某些情况下为网络攻击链下游带来正面影响;然而评估方也应意识到,在另一些情况下,“防御前置”会对攻击链下游直接造成负面影响(比如导致对手因时间仓促而鲁莽行事)。另一方面,不同的美方关键文件对“防御前置”有着不同的看法,尤其是美国究竟是否有意实施网络威慑,如果有意,那又对谁、对哪些级别的活动实施威慑等。还需要指出的是,一些纯粹出于防御目的的网络行动可能会削弱美国网络威慑的可信度。因此,在制定下一版网络战略时,美国必须努力化解这些争议,并设法将“防御前置”构想与其他政策工具结合起来。

1 “防御前置”及其风险

1.1 现行战略能否促使各方尽力减少意外事件和鲁莽行为

“防御前置”构想的目标之一,就是通过抬高网络行动的成本来约束对手的行为。然而在谈及美国网络战略如何发挥这种效果时,各方的意见又不尽相同。总的来说,网络空间内的“防御前置”就是不断对对手采取网络行动,从而使对手不得不把更多的时间和资源花在防御上,最终迫使对手改变战略理念,放弃未来的网络攻击行动。

尽管如此,在最初提出“防御前置”构想时,其支持者可能过分强调了此构想累积产生的正面影响,同时又忽视了可能对攻击链下游产生的负面影响。举例来说,一些对手可能置风险于不顾,集中力量优先完成攻击任务;另一些对手可能因美方实施“防御前置”而故意采取更加鲁莽的战术,或是因此忙中出错,比如动用了尚未经过充分测试的攻击手段。在这些情况下,“防御前置”可能会刺激对手做出更危险的行为,对那些自认为不值得费力进行防御的对手来说更是如此。

一些黑客组织之所以行事谨慎,并不是出于好心,而是因为经过仔细权衡后,他们认为与其因发动破坏性攻击而过早暴露,不如暗中利用被其入侵的目标。以俄罗斯黑客组织为例,在入侵“太阳风”(SolarWinds)公司的软件供应链平台后,这些黑客组织很可能并未借此攻击使用该平台的绝大多数系统。毕竟他们深知,胡乱攻击不但更容易暴露自身,还可能使美方及早阻止其对优先目标的攻击。与此类似,“震网”(Stuxnet)等恶意软件也刻意采取了一些措施来限制自身的传播,以尽量减少被对手发现的可能性(当然此举也顺带减少了附带损害)。“在网络空间谨慎行事”往往是一种奢侈的战略选择,做出这一选择意味着需要付出大量的时间和精力,背后的原因往往也不是技术或经济实力不济。既然如此,“防御前置”又怎么能阻止对手发动一场精心策划的精准网络攻击呢?

一旦黑客组织的活动过早暴露,该组织又认为尚有一丝机会来利用某个漏洞,就可能会产生“漏洞不用就作废”的心态:既然不论再怎么慎重或投入再多的成本,其活动都已然暴露,那么就没有必要继续保持克制了。转瞬即逝的攻击机会反而可能刺激黑客组织加快行动速度,这种与时间赛跑的行为可能促使黑客写错更多代码,或是遗漏了关键的控制措施 [ 比如恶意软件的“自毁开关”(kill switch)],以致产生更多附带损害或加大第三方系统的网络风险。

例如在 2021 年上半年,某国的黑客组织无差别地在数十万台 Microsoft Exchange 服务器上安插了网站后门工具(web shell),结果这些服务器不但为该国的网络攻击提供了途径,也为其他国家的官方黑客组织和网络犯罪团伙提供了可乘之机。此外,黑客组织也可能故意用一种漏洞来为其他“翘首以盼”的攻击者提供攻击窗口,以便尽可能造成损害——软件供应链攻击的增多或许就反映了这种心态。如果黑客组织预计某项情报收集行动可能危及正在进行的另一项行动,该组织就可能采用破坏性战术来拖慢对手的调查进程。这方面的一个例子就是某国的黑客组织决定对智利银行发动“雨刷攻击”(wiper attack),以掩饰其从该银行窃取了 1 000 万美元的行为。技术高超的黑客组织可能无须大动干戈便能顺利入侵目标,技术低下的黑客组织则或将越发青睐“打砸抢”的行事方式,对造成的附带损害毫无顾忌。这两起事件表明,在任何情况下都不能排除对手鲁莽行事的可能性。

除此之外,一旦网络行动时间被压缩,攻击方就需要以更快的速度开发新工具,并在行动暴露前迅速部署这些工具,而这会增大出错和发生意外的可能性。对“防御前置”构想的支持者而言,最好的情形就是对手在重压之下难以发挥攻击能力,反而被迫转入网络防御,最终发现继续与美国展开网络攻防是得不偿失之举。这种情形当然是可能的,由美国网络司令部发起、旨在破坏恐怖组织“伊拉克与大叙利亚伊斯兰国”(ISIS)宣传活动的“光辉交响曲”(Glowing Symphony)行动就是一大明证。尽管如此,为了能够应对危机和更全面地评估战略效果,决策者们仍需评估其他不那么理想的情景。举例来说,黑客组织可能会迅速部署未经充分测试的工具,由此产生意料之外的后果乃至更广泛的次生影响。此外和普通软件一样,恶意软件也可能存在漏洞,所以如果部署的恶意软件不够成熟,就可能被其他黑客组织利用,比如用来扰乱防守方的溯源工作,或是添加新功能后为己所用等。

放眼未来,美国将通过“防御前置”举措来更频繁地破坏对手的行动(比如取缔对手的命令与控制服务器),这或将使美国的各路对手越发依赖能够自动执行的网络行动。在此类行动中,即便无人直接操作,恶意软件也仍能在网络间传播。黑客组织既可能基于某一普遍性漏洞来编写传播性较强的蠕虫病毒(如 NotPetya),也可能命令恶意软件在特定时间或特定条件下才开始活动。此外,尽管难度更大,但黑客组织也可能会研究人工智能辅助下的攻击方式,以实现自动发现漏洞等自动化网络行动。这种充斥着“猝死开关”(dead man switch)和“人在环外”(human out-of-loop)机制的做法,不但会削弱美国及其盟友直接影响对手行动的能力,还会对无关目标造成更多附带损害,同时也会削弱黑客组织对网络行动的控制力度,进而增大发生意外情况的可能性。需要指出的是,事前很难判断“防御前置”究竟会迫使对手将资源转移到防御上,还是会刺激对手加大攻击力度。

虽然美国很可能仍会保留“防御前置”这一战略构想,但在开展当前的网络态势评估时,美国应意识到“防御前置”也可能对网络攻击链下游造成明显的负面影响,并设法积极管理由此引发的敌对行为。而要做到这一点,仅靠“防御前置”支持者所说的“敌我双方会心照不宣”显然是不够的。既然“谨慎行事”往往是一种奢侈的战略选择,美国就应先明确回答某些问题,以确定该如何实施“防御前置”。举例来说,一旦打断尚处于测试阶段的敌对行为,那么对手是会放弃行动,还是直接动用未经测试的攻击手段?一旦通过网络反击挫败俄罗斯和朝鲜的攻击企图,二者是会都把资源转而投入网络防御,还是会各自做出不同的反应?在制定下一版网络战略时,美国必须考虑到这些细微之处,以尽量降低“防御前置”对网络攻击链下游造成负面影响的可能性和程度。

1.2 现行战略是否澄清了美国的网络威慑态势

除 1.1 节所述问题外,在当前的网络态势评估中,美国还需化解围绕现行网络战略的另一项重大争议:美国是否有意实施网络威慑?如果有意,那又对谁、对哪些级别的活动实施威慑?另外美国的决策者们也必须研究一个问题:目前各大国明显不愿对彼此的关键基础设施发动战略级别的网络攻击,但这种克制究竟该直接归功于“防御前置”构想,还是得益于其他机制?在回答这一问题的基础上,美国还需评估其当前的网络行动是否与此类克制机制相悖。

“ 防 御 前 置” 构 想 之 所 以 走 上 前 台, 很大程度上是因为有人提出了“从战略上讲,在网络空间施加惩罚或采取拒止措施并不能产生威慑效果”的观点。研究人士费舍尔凯勒尔(Fischerkeller)和哈克内特(Harknett)就不赞同网络威慑,他们认为网络空间的特点就是“不断接触”,鉴于此,美国应在美国的网络之外与敌对黑客组织“持续交战”,而不是从一开始就试图劝服对手放弃网络行动。

尽管如此,事关美国网络战略的多份关键文件还是纳入了“威慑”(亦称“吓阻”)概念:其中,《2018 年美国网络司令部指挥愿景》试图“通过更有效地持续开展烈度低于武装冲突的行动和对抗来吓阻侵略”;《2018 年国防部网络战略》先后 11 次提到“吓阻”,其中包括“预防、挫败或吓阻以美国关键基础设施为目标、并可能引发重大网络事件的恶意网络活动”,以及“吓阻‘有使用武力之嫌’的恶意网络活动”;《2020 年网络空间日光浴委员会最终报告》则用了整整一节来专门论述“分层威慑”理念,并阐述了如何通过“防御前置”的累积作用来践行这一理念。

就美国目前的网络战略而言,还有一大争议就是“防御前置”究竟是要替代“威慑”理念,还是对“威慑”理念的补充,抑或是不同分析层面上两个互不相干的概念——毕竟“防御前置”着眼于日常对抗,“威慑”则着眼于战略级别的攻击。通过对比可以发现,《2018 年国防部网络战略》似乎希望通过惩罚“针对关键基础设施的攻击行为或有使用武力之嫌的攻击行为”来实现威慑,而《2020 年网络空间日光浴委员会最终报告》则明确呼吁通过“使对手的网络行动得不偿失”的方式来实现威慑。这些用词上的差别可能会带来误判和误解,尤其可能误导外国政府中那些“试图评估美国将在网络空间作何反应”的分析人士。

化解这一难题的办法之一,就是从一系列小而具体、看上去确实起到威慑作用的行为入手,然后在此基础上强化各方共识。过去几年中,有迹象表明各大国之所以不发动破坏性网络攻击,就是因为担心遭到同等的报复。研究人士布鲁斯·施耐尔(Bruce Schneier)援引多位消息人士的话称,为回应俄罗斯对美国大选的干预,美国政府曾于 2016 年策划对俄方发动网络攻击,但由于担心俄罗斯可能反过来攻击美国的关键基础设施,美国政府最终放弃了这一想法。

研究人士杰姬·施耐德(Jackie Schneider)则于2022 年 2 月向美国国会作证称,尽管东亚某大国在 10 年前的军事学说中暗示,一旦发生危机,就可能攻击美国的关键基础设施,但该国最近的言论又表明其担心自身的关键基础设施成为软肋。各国似乎都隐隐形成了一种观念,即如果对手也有能力攻击己方的电网等关键基础设施,那么就不值得冒险攻击对方的此类设施。然而以上观念却并未转化为稳定的共识,比如在入侵对方的电网后,“潜伏在电网系统中”和“对电网造成破坏性影响”显然有着截然不同的震慑力。那么,各国要将对方的电网入侵到何种程度,才能使对方确信攻击电网很可能招致报复?双方要以多快的速度来修复系统,才能不用担心这种报复?美国与其对手能否就“具体哪些系统属于关键基础设施”以及它们的停运后果达成共识?

决策者们不能想当然地认为以上细节问题都有了答案,更不能盲目认为美国与其对手之间必然会“心照不宣”,而是要考虑让双方就具体问题进行沟通。如果上述问题都没有现成的答案,那么美国是否应为无法达成默契(特别是在危机期间)的情形做好准备?毕竟比起分享彼此的网络漏洞,单纯假设“己方网络攻击造成的破坏将超过敌方网络行动的战略价值,因此足以阻止敌方行动”或许要简单得多。

此外决策者们还应认识到,尽管“防御前置”纯粹出于防御目的,但仍可能不利于双方在微妙的攻防平衡中形成共识。举例来说,假设美国与某大国爆发了一场危机,于是美国积极修复了对方此前用于入侵美方电网系统的所有漏洞,关闭了对方的命令与控制服务器,且 / 或切断了对方网络攻击部队与互联网之间的连接。尽管美国采取这些行动是为了减轻自身电网受到的威胁,并认为这完全是防御性行动,但对方仍可能认为美方在破坏稳定。对方之所以会产生这样的想法,是因为达成默契的前提是双方了解彼此的软肋,而一旦美国单方面消除了自身软肋,对方就可能不再相信美国不会攻击其电网。该大国可能会将美方行动错误地解读为“对己方关键基础设施发动破坏性网络攻击”的前奏,并 / 或解读为美方打算升级局势的信号。从以上假设可以看出,“防御前置”构想和“威慑”理念不仅存在差异,还可能彼此妨碍。因此美国既需要为“防御前置”规定适当的时间和方式,也需要采取适当的外交举措作为补充。

既然美国政府将低层级的网络活动归类为“日常对抗”,决策者们就必须进一步阐明其究竟只是希望降低敌对网络行动的频率和影响,还是希望最终阻止对手开展低层级的网络行动。如果急于达成后一目标,美国政府就可能遭遇失败,并对美国的信誉造成不必要的损害。更重要的是,通过阐明这些问题,决策者们或可对“在网络空间内如何通过‘防御前置’来实现目标”一事形成更明确的共识。虽然美国确实想在网络空间内取得优势,但不一定非要把对手挡在网络空间之外,其只需在阻止对手实现目标的同时确保己方能实现目标,就同样能取得优势。根据行动目标的不同,这种优势可能是长期优势或全面优势,也可能只是暂时性的局部优势。对手若是因此放弃网络行动,那自然再好不过;但若把赢得此类优势当作战略目标,就可能背离“通过‘防御前置’来保护美国利益”的初衷。

2 政策影响与结论

2.1 开展坦率的交流

从围绕美国现行网络战略的以上争议来看,美国不能指望仅靠心照不宣就与其他国家达成公认的规则。一方面,根据对手反应的不同(尤其是是否加快以及以何种方式加快网络行动的节奏),“防御前置”构想可能无法引导所有对手都做出相同的反应,反而可能导致各方自行其是。举例来说,有一些对手可能把用于网络攻击的资源转而投入网络防御;另一些对手可能决定无论如何都要发动攻击,并为此动用未经充分测试的攻击手段;还有一些对手可能把成功完成任务放在首位,为此不惜造成更大的附带损害或放弃对恶意软件的控制。另一方面,分析人士想当然地假设对手会把“防御前置”视为纯粹的防御行动,然而在缺乏沟通的情况下,美国没有理由认为对手一定持相同的看法。

正如研究人士艾米丽·戈德曼(Emily Goldman)所建议的那样,美国政府——尤其是美国国务院——应重新积极而坦率地制定网络空间的行为准则。美国必须开展外交工作来配合“防御前置”,以降低在网络空间内发生意外事件和鲁莽行为的可能性和影响。虽然世界各国可能无法就“打击网络间谍活动”等事宜形成公认的规范,但大多数国家或许都愿意承诺不制造、不动用基于普遍性漏洞的蠕虫病毒(如 NotPetya或 WannaCry)。就算无法做出这般承诺,各国也仍可能同意为所有此类病毒设置一个自毁开关,并安排一组主题专家来监控和检验病毒代码。美国应带头明确各类网络行动的技术面,以便国际机构能够监视各方的网络行动是否足够克制,并对任何不够克制的网络行动进行公开核查。随着时间的推移,这些约束与核查工作甚至可能演变为类似于《禁止化学武器公约》或《集束弹药公约》的正式条约。此外,这些有着明确规则的工作也将逐渐约束各国的行为,尤其是约束那些正打算发展网络能力的国家。

除多边机制外,美国也不应回避包括私下会谈和非官方团体交流在内的双边对话,毕竟“双方已围绕最重要的基础设施系统形成长期相互威慑”只是一种笼统的默契,而这些对话则有助于澄清默契背后的细枝末节。经过坦率的交流后,即使双方只知道对方各层级的负责人,或只澄清了可能被对方误解的一个要点,也仍可能有助于缓解潜在的危机。此外,既然没有任何一方能确保长期入侵对方系统,那么坦率的交流就有助于避免双方利用共有的漏洞发动攻击。

2.2 明确“防御前置”的时间、方式和对象

美国还应在当前的网络态势评估中厘清一点,即通过“防御前置”取得网络优势的最佳方式到底是什么?在“防御前置”构想问世后的 4 年间,阐述基础理论的学术论文、美国政府的官方文件、中曾根(Nakasone)将军①等领导层发表的政策性文章以及各路学者和分析人士都对这一构想进行了解读和探讨。然而正如本报告所讨论的那样,各方对实施“防御前置”的理由、是否实施“防御前置”、具体的实施方式以及“防御前置”与“网络威慑”间的关系都莫衷一是。

决策者们应把“防御前置”的主要目标限定为“在己方选定的时间和位置赢得网络优势”,而不是泛泛地阻止他国或非国家团体参与美国政府口中的“日常网络对抗”。举例来说,当海军成功封锁敌方港口后,敌方海军便无法自由行动,而这有助于保证己方部队在公海上自由行动;与此类似,“防御前置”的目的也应只是“阻止敌方在网络空间内自由行动”,而不是以此威慑对手。

阐明“防御前置”的政治意图也有助于澄清一系列细枝末节,比如美国应在哪些情况下以何种方式规划相关行动等。正如研究人士希利(Healey)等人指出的那样,网络反制的形式多种多样,其中既包括将恶意流量引入沉洞(sinkhole)或进行重定向等较为被动的措施,也包括夺取或摧毁对手的基础设施等破坏性措施,而这些措施的效果和作用时间可谓千差万别。尽管美国希望能依靠这些反制措施与对手达成默契,但美国又到底该鼓励哪些行为、阻止哪些行为?对美国来说,在某些情况下,最好的做法是让对手充分测试其攻击手段,并有时间彻底检查其代码;在另一些情况下,最好的做法是不停地破坏对手的准备工作;在其他一些情况下,最好的做法则是临时——而不是永久——打断对手的行动。如果美国能阐明“防御前置”这一战略构想的具体内涵,美国的网络部队就能更好地回答以上问题。

3 结 语

长久以来,各方一直对“防御前置”的本质争论不休。不过既然各方都在讨论相同的问题,而不是各说各话,那么说明相关讨论还是取得了一定进展。当下摆在美国面前的挑战就是如何在“防御前置”问题上达成全面共识,或至少形成一些笼统的共同意见,从而实现“防御前置”的初衷:更好地保护美国的网络安全。

作者简介

珍妮· 俊(Jenny Jun):大西洋理事会(Atlantic Council)客座研究员,美国哥伦比亚大学政治系博士生,主要研究方向为战争谈判模式、网络冲突的战略动向以及东亚安全问题,曾参与撰写美国战略与国际问题研究中心(CSIS)在 2015 年发布的《朝鲜的网络行动:战略与回应》报告。

译者简介

吕玮(1985—),男,硕士,高级工程师,主要研究方向为网络安全与信息安全领域的情报研究。

此报告翻译方式为摘译,原文链接:

https://www.atlanticcouncil.org/wp-content/uploads/2022/03/Preparing-the-next-phase-of-US-cyber-strategy.pdf)

选自《信息安全与通信保密》2022年第5期(为便于排版,已省去参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。