如今,网络空间已经与陆、海、空和太空并列成为美军的第五战场。而特朗普政府最近发布的国家安全战略中将大部分冲突领域外包给第三方私营企业,这就使美国更易受到外国的攻击。因此,美国《外交政策》杂志刊登《In Cyberwar, There Are No Rules》一文,分析并强调了网络战没有规则,更不存在“公平竞争”的残酷特点,并列举了不同领域若干真实案例;最后呼吁美国尽快建立信息安全的相关法律。现由学术plus编译全文,仅供参考。文章版权归原作者所有,观点不代表本机构立场。
网络战,没有规则
世界迫切地需要日内瓦数字公约
来源: https://foreignpolicy.com
作者:plus评论员 张涛
网络战最令人恐惧的地方就是具有针对性:敌人可以跨越国界攻击一个人、一类人、甚至一个区域或一个国家。
如今,网络空间已经与陆、海、空和太空并列成为美军的第五战场。截止目前,美国政府已经在网络安全方面开展了很多工作。特朗普政府最近发布的国家安全战略中将大部分冲突领域外包给第三方私营企业,这就使美国更易受到外国的攻击。
因此,围绕网络安全不断增加的恐惧、不确定性和怀疑导致我们已经无法分辨网络中哪些事情已经发生,哪些事情还没有发生。网络战的本质是不对称的。单个战斗人员就可以在国家和国家规模公司的大规模防御中找到一个小的漏洞并利用漏洞发起攻击。这种攻击可能不会成为网络上的珍珠港攻击,引起美国或其他国家、地区的恐慌。更可能的形式是针对工业控制系统、交通网络和医疗保健提供商等的普通攻击,因为这类基础设施从安全性上讲都已经过时了,存在很大的网络安全风险。更糟糕的是利用一些漏洞可以使用数字工具对公众舆论和选举结果进行无形地操纵,例如有针对性的广告和使用deepfake技术制作的伪造领导人的图片、音频和视频。
军事和网络安全从业人员都认识到:即将到来的攻击是不可预测的,但目前的预防战略有个明显的缺陷,那就是认为“传统战争规则也可以扩展到网络空间中”。然而,网络战的规则并不是我们已经习惯传统战争中的规则,公平竞争恰好不在网络战的规则中。而且,这些规则对于精通常规战争的将军来说并不容易直观地理解。
因为网络战不会在通知了相关的技术部门之后再爆发,所以这是一个关键的问题。比如,最近谷歌就撕毁了与美国国防部AI相关的合同,微软也停止了美国移民局和海关的办公软件合同。目前只有政府和跨国公司正在制定规则,但他们也没有提出“全球公认的战争行为”确切的定义,然而给出定义也只是防止这种违法行为的第一步。
美国军方给出的最接近的定义是:根据具体情况对“造成重大后果的行为”进行审查,其中部分评估工作可能需要国会参与。但考虑到网络攻击破坏关键基础设施的速度,期望国会能够及时做出有效回应是不现实的。网络行动中还可能有附带其他严重伤害的风险。尽管在美国批准网络行动之前会进行伤害评估,但明确还没有国际协议要求其他权力机构采取类似的措施。
2014年针对美国的一次重大网络攻击是一个例子——索尼影业被黑客攻击,该事件说明了非政府组织和公民如何承受这类网络行动的攻击。几乎所有的网络安全专家、联邦调查局都认为这次攻击来源于朝鲜。朝鲜攻击了美国的民用目标(区别于军用目标,索尼影业),意图破坏其稳定运行,攻击活动最终取得了成功。索尼影业应对此次攻击的成本超过1亿美元,如果将这个成本转换为传统战争带来的破坏,相当于对德克萨斯州油田或阿巴拉契亚煤矿产生了物理性地破坏。如果这类高价值民用资源被外国势力故意攻击,那将被视为战争行为。未来,像索尼被黑这样的攻击可能会大规模发生。现实生活中有无数的漏洞可能会导致大规模伤亡,但是没有成文的规范或规则来定义如何对这样的犯罪进行处罚。
航空业属于安全防护比较脆弱的部门之一。一家欧洲飞机制造商每周会清理一次飞机驾驶舱的安卓恶意软件。但飞行员可以通过智能手机UBS连接的方式将恶意软件传播给第二个、第三个飞行员。飞机上还布满了计算机病毒。在这样恶劣的网络环境下,即使技术不够成熟的黑客也能够对系统造成严重破坏。一个发送到给空中飞行员的国家安全告警或重新安排飞机这样的消息都会导致紧急着陆和大范围的恐慌,因此更复杂的攻击可能会导致更严重的后果。
美国的医保系统的操作系统的医疗设备也普遍存在老旧过时的问题,因此根本无力应对常见的网络入侵。一些小型医院甚至无法定期更换医疗设备,而设备供应商为了销售更新的设备可能并不会对原来的设备进行安全更新。
这是一个很关键的问题,因为现在许多的外科手术都是由机器人辅助完成的,而医院很难保证这些设备的安全。对使用机器人手术设备的医院发起的网络攻击可能会导致机器人手术设备发生故障,导致病人受到致命的伤害。
如果一个国家或恐怖组织决定对一名正在坐在医院进行机器人辅助手术的美国参议员进行攻击,然后抹掉相关记录,那么肇事者的身份将很难确定,而且美国也没有将医疗设备被黑客攻击分类为暗杀或战争行为的法律先例,同时没有明确的报复协议。
最近,克利夫兰的一个用于胚胎的冷藏设施因为未能注意到其储存罐上的远程可触及警报已关闭,导致超过4000个冷冻卵和胚胎的损失。许多工控系统的运营商从不修改系统的默认密码或安全凭证,这使他们极易遭受勒索攻击。甚至有些政府医疗部门官员认为攻击者不会故意攻击冷藏胚胎的基础设施。随着诸如冷冻卵等技术的应用在富裕(发达)国家变得越来越普遍,这种简单的攻击可能会越来越多。
外国士兵拿斧头到制冷剂罐摧毁4000个冷冻卵和胚胎,和士兵从6000英里外使用键盘远程关闭设备的温度维持协议来摧毁4000个冷冻卵和胚胎本质上是没有区别的。这两种行为在道德层面上同样令人发指,可能有人会认为后者只会出现在科幻小说和电影中,但事实并非如此,类似的事情正不断在现实中上演。
网络攻击正在不断发生,不过普通民众并不会注意到。公众对网络安全的许多困惑和恐惧主要来源于身边的一些歪曲事实的宣传。
技术和网络空间的变化速度之快,远超过立法和谈判的速度。定义和评估针对美国的网络战的问题在于:在涉及到定义“illegal cyberact”(非法网络行为/网络战)和信息安全研究人员的计算机操作方面,没有明确和稳定的法律。
美国大多数信息安全研究的法律地位不明确,主要是受到1986年计算机欺诈和滥用法案(Computer Fraud and Abuse Act , CFAA)的管辖和限制。CFAA是一份饱受诟病的法案,因此产生了一些不必要的恐慌。
这些信息安全研究方法包括使用Nmap(计算机网络发现和映射工具)或Shodan(物联网上的设备的搜索引擎)之类的工具进行网络扫描。但这种网络扫描并不属于入侵活动,只是找出系统中有漏洞不安全的地方。解决这一问题最快的办法就是推翻CFAA,鼓励从事预防性研究的网络安全研究人员。CFAA的限制阻止了许多信息安全研究人员进入网络安全行业。这导致美国政府严重缺乏顶级的信息安全专家。而且美国缺乏一个可行的立法计划来增强其基础设施应对网络攻击的能力。
所有应对网络攻击的防御措施都应遵循基本的美国基础设施设计原则:战略家规划、技术人员执行、专家检查。
网络安全应该属于基础设施预算中的一项。基本的网络安全措施应加入各级组织的预算中,比如升级加密、测试数据丢失时的恢复能力以及适当用户访问的例行审计。当发生事故时,应该由具有监管权限的审计员和事故响应人员进行检查,就像由国家运输安全委员会(NTSB)处理涉及航空公司的重大事故一样。
然而,目前美国缺乏专门处理网络安全事件的机构。由于政府缺乏专业知识,因此过度依赖安永、普华永道、德勤等第三方公司来处理这类工作。如果美国政府无力对重大网络事件进行事后分析,那么公民就应该问为什么,而不是让立法者将工作交给承包商。政府在应对重大网络攻击事件时需要的是训练有素的政府分析师,而不是会计师和律师。有一些专家提出了有关信息安全和最佳实践的可靠建议。但是,政府部门的网络人才在不断地流失而不是被更高级的人才替代。
总的来说,网络防御是一个持续的漏洞发现和修复的过程,因此需要大量的致力于保护人民安全的网络人才,人才的数量应该要比海豹突击队更多。在网络防御中,要抓住重点,就像木桶原理一样,改善网络安全中最低安全标准的基础设施,才可以最有效地进行防御。
声明:本文来自学术plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。