编者按

英国智库亨利·杰克逊协会2月发表了为英国议会准备的研究报告《第一次网络战争的教训:在数字战场上支持乌克兰如何帮助提高英国的在线弹性》。该报告由该协会副研究员大卫·基里琴科撰写,总结了英国应从俄乌网络战争汲取的七点经验教训,并提出了五项政策建议。

报告称,俄乌冲突引发了二战以来欧洲最大规模的战争。此次冲突还标志着两个民族国家间的首次全面网络战争;俄罗斯早期争取网络胜利的尝试基本上遭到挫败,乌克兰网络防御经受住了“数字珍珠港”的考验;西方政府在加强乌克兰网络防御方面发挥了重要作用,西方科技公司也发挥了越来越重要的作用;随着乌克兰和俄罗斯都寻求利用非国家行为体支持网络战以及平民作用的不断增强,网络战也变得分散化和众包化;鉴于全球数字互联程度,保护乌克兰的网络也意味着西方正在保护自己的网络;西方必须重新思考如何支持乌克兰并帮助提高乌克兰对俄罗斯发动更大规模网络攻击以支持其战场目标的能力;随着西方科技公司撤离俄罗斯,乌克兰发动更具破坏性的网络攻击的机会将会增加,帮助乌克兰发动这些网络攻击将有助于西方更多地了解如何在未来的冲突中运用网络武器以及如何改进针对某些攻击的网络防御。

报告认为,对于英国来说,重要的是要认识到战争性质的快速变化,以及黑客组织等灵活的非国家行为体及其对技术的使用如何被俄罗斯等对手用来推进其国家利益,扩大对乌克兰的支持资源,包括先进的网络能力,以支持乌克兰在数字领域的攻防战略;“战争是政治通过其他方式的延续”论断和“战争迷雾”概念在现代网络战争的背景下具有深刻的意义;展望俄乌战争的未来,网络攻击的强度和规模将继续增长;当前应重新思考西方如何运用军事理论来支持乌克兰,并开始寻找新的方法来支持乌克兰的网络和实体战场进攻。

报告提出,英国应从俄乌网络战争汲取七点经验教训:一是支持乌克兰会增加英国遭受网络攻击的风险;二是太空战威胁会随着网络行动遭抑制而增加;三是网络战正变得日益分散化和众包化;四是关键基础设施将继续成为网络攻击的首要目标;五是俄罗斯工业间谍活动将继续增长;六是所有事物和人员都可能成为网络攻击的目标;七是俄罗斯将继续无视网络战争的基本规则。报告向英国提出五项政策建议:一是改善私营和公共部门间的协调以加强网络防御;二是投资创建更强大的安全机制来保护关键基础设施;三是继续为乌克兰网络防御提供支持;四是向乌克兰提供更多有关俄罗斯漏洞的情报,使乌克兰能够开展网络攻势以支持其地面行动;五是扩大针对面临威胁的盟友的网络空间“前出狩猎”行动。

奇安网情局编译有关情况,供读者参考。

第一次网络战争的教训:

在数字战场上支持乌克兰如何帮助

提高英国的在线弹性

执行摘要

俄乌冲突引发了二战以来欧洲最大规模的战争。此次冲突还标志着两个民族国家间的首次全面网络战争,俄罗斯试图将网络攻击与实体打击结合起来。乌克兰的数字基础设施和系统面临着许多专家此前担心的“数字珍珠港”的考验。正如战争初期乌克兰在战场上的抵抗令世界措手不及一样,其网络防御也坚如磐石,成功抵御了最初的网络攻击。

俄罗斯早期争取网络胜利的尝试基本上遭到挫败,乌克兰军事卫星提供商Viasat的干扰被证明只是暂时的,影响也很小。乌克兰利用2014年克里米亚事件的丰富经验,为2022年的全面冲突做好准备,无论是在网络还是物理方面。网络防御的不同之处不仅在于西方政府在加强乌克兰防御方面发挥的重要作用,还在于西方科技公司将发挥越来越重要的作用。随着乌克兰和俄罗斯都寻求利用非国家行为体支持网络战以及平民作用的不断增强,网络战也变得分散化和众包化。

西方必须重新思考如何支持乌克兰并帮助提高乌克兰对俄罗斯发动更大规模网络攻击以支持其战场目标的能力。俄罗斯针对乌克兰和西方的网络战是其更广泛行动的一部分,其目的是在实体战线上取得胜利并摧毁乌克兰,然后再进一步向西推进。让乌克兰在战斗中保持活力并支持其防御不会带来胜利与和平,但给予乌克兰在数字和物理战线上获胜的能力和手段将保护西方世界。鉴于世界通过互联网和数字化社会相互联系的程度,保护乌克兰的网络也意味着西方正在保护自己的网络,正如2017年毁灭性的NotPetya攻击所体现的那样。

此外,随着西方科技公司撤离俄罗斯,而俄罗斯被迫利用外国或国内技术,乌克兰发动更具破坏性的网络攻击的机会将会增加。帮助乌克兰发动这些网络攻击将有助于西方更多地了解如何在未来的冲突中使用这些武器以及如何改进针对某些攻击的网络防御。此外,英国应该从俄罗斯的网络攻击及其暴露关键基础设施漏洞的方式中汲取教训。这些经验教训将告诉我们如何改进网络防御,并确保私营和公共部门建立健全的流程,以便在未来发生网络战争时密切合作。在数字战场上支持乌克兰时,英国应该:

1. 加强私营和公共部门间的协调以加强网络防御;

2. 投资创建更强大的安全机制来保护关键基础设施;

3. 继续为乌克兰网络防御提供支持;

4. 向乌克兰提供更多有关俄罗斯漏洞的情报,使乌克兰能够发动网络攻击,支持其地面作战;

5. 开始扩大与面临潜在威胁的盟国的“前出狩猎”行动。

(报告部分内容略译)

结论:英国从乌克兰网络战争中

吸取的教训

对于英国来说,重要的是要认识到战争性质的快速变化,以及黑客组织等灵活的非国家行为体及其对技术的使用如何被俄罗斯等对手用来推进其国家利益。像俄罗斯这样的国家只会增强其网络实力和网络威胁的复杂性。卡尔·冯·克劳塞维茨明白,只有坚强的意志才能带来预期的结果。克劳塞维茨强调意志力对于军事领导人及其军队取得胜利的重要性。他明白,战争不仅是一场物质上的斗争,也是一场精神上的斗争,战斗人员的决心和信念与他们的物质资源一样重要。如果英国真正致力于支持乌克兰在战场上取得胜利,就必须扩大对其提供的资源的考虑。这种支持不仅应包括用于实体战斗的常规武器,还应包括先进的网络能力,以支持乌克兰在数字领域的防御和进攻战略。

此外,卡尔·冯·克劳塞维茨的“战争是政治通过其他方式的延续”的论断在现代网络战争的背景下具有深刻的意义。俄罗斯将网络战争视为其征服乌克兰民众和摧毁该国整体行动的延伸。网络战争将政治对抗转移到数字领域,物理边界和常规军事力量的重要性减弱。在该领域,克劳塞维茨的“战争迷雾”概念——强调战争中固有的不确定性和混乱——变得特别有意义。网络战争的特点是匿名性和攻击归因困难,反映了这种“迷雾”。

俄乌战争就证明了这一点。随着俄罗斯在乌克兰的实际军事行动遭遇挫折,其越来越多地诉诸网络攻击。俄罗斯情报部门还通过“错误地假装匿名政治和黑客活动团体的身份来误导归因并从其网络行动中产生二阶心理影响”来制造更大的混乱。这些攻击针对电力和互联网等关键服务,旨在向乌克兰民众灌输恐怖情绪。美国国家安全局网络安全主管罗布·乔伊斯指出,这场冲突的长期性质只会增加乌克兰遭受这些破坏性网络攻击的脆弱性,特别是针对其关键基础设施的攻击。

展望俄乌战争的未来,网络攻击的强度和规模将继续增长,最近发生的Kyivstar攻击事件就证明了这一点。乌克兰需要为其网络防御提供额外支持,就像它需要防空系统来保证其实体城市的安全一样。现在是时候重新思考西方如何运用军事理论来支持乌克兰,并开始寻找新的方法来支持乌克兰的网络和实体战场进攻,以击败俄罗斯并保护西方世界免受俄罗斯的进一步侵略。

  • 教训1:支持乌克兰会增加英国遭受

    网络攻击的风险

英国向乌克兰提供的支持越多,俄罗斯针对英国开展的网络攻击就越多。2024年1月,英国与乌克兰签署了史无前例的安全协议,并提供了25亿英镑的军事援助计划。作为向乌克兰提供军事援助的最大捐助国之一,英国也成为“世界上第三大网络攻击目标国家,仅次于美国和乌克兰”。2014年,当北约因俄罗斯最初的军事行动而宣布支持乌克兰时,俄罗斯对北约网站发起了DDoS攻击作为回应。俄罗斯对英国的网络攻击可以被视为对其支持乌克兰的直接回应。

这些攻击对俄罗斯有多种目的。首先,它们是一种报复形式,旨在惩罚英国对乌克兰的支持。其次,这些袭击起到了警告作用,向可能考虑向乌克兰提供类似支持的其他国家指出了后果。最后,通过针对乌克兰的一个重要盟友,俄罗斯试图破坏乌克兰支持者间的集体反应和团结,并试图阻止未来的援助。英国国家网络安全中心(NCSC)也在2023年4月警告称,俄罗斯黑客对西方关键国家基础设施造成的风险增加。

随着战争越来越陷入僵局,随着俄罗斯探索针对乌克兰盟友的新攻击媒介,对英国关键基础设施的攻击必将开始更加频繁地发生。俄罗斯网络犯罪分子在国家的支持下,已经通过勒索软件攻击英国的关键基础设施,预计这些攻击未来将会增加。微软认为,随着乌克兰战争陷入静态并演变成堑壕战,俄罗斯网络攻击将集中于削弱“基辅的外部军事和财政援助来源”。

大英图书馆最近成为Rhysida勒索软件攻击的目标,该勒索软件组织据信来自俄罗斯。网络攻击导致该图书馆的目录和计算机系统瘫痪;修复损坏需要长达一年的时间,图书馆将耗尽大约40%的储备。Rhysida还对伦敦爱德华七世国王医院开展攻击,试图窃取英国王室的医疗信息。

  • 教训2:随着网络遭抑制,太空战威胁

    可能会增加

网络行动未能对战场产生重大影响可能会导致俄罗斯等国家在作为另一个战区的太空战中变得更加激进。乌克兰对卫星网络的使用在维持军事行动和维持全国通信方面发挥了至关重要的作用。毕竟,这就是俄罗斯在全面军事行动之初试图摧毁Viasat的原因。然而,尽管俄罗斯确实成功摧毁了Viasat服务,但乌克兰很快就恢复了这些服务。俄罗斯也曾试图攻击SpaceX乌克兰境内的“星链”服务。“星链”利用类似于其母公司SpaceX的现代DevSecOps工具,为乌克兰提供了快速敏捷性和增强安全性。这种方法可以快速执行传统卫星运营商需要数月才能完成的任务,就“星链”而言,其基础设施每天可以更新多次,从而降低了未修补漏洞的风险。这就是“星链”尚未被摧毁的原因。各国可能会选择物理摧毁卫星,而不是依靠网络攻击来试图摧毁太空中的卫星。Viasat拥有几颗覆盖大片区域的卫星,而“星链”在太空中拥有数千颗卫星,这使得它们更难被摧毁。网络攻击和导弹袭击的结合可以用来摧毁通信系统。

  • 教训3:行为体越来越分散化和众包化

网络战正在变得众包化和分散化。黑客正在迅速成为军事行动的核心部分,非国家行为体的作用只会继续增长。在俄乌战争爆发前,来自俄罗斯的网络攻击大幅增加。网络安全公司卡巴斯基报告称,此类攻击同比增加了450%。战争爆发后,这种升级仍在继续,针对美国国家安全目标的DDoS攻击急剧增加。根据NetScout的调查,其中许多攻击都与俄罗斯利益保持一致的黑客组织Killnet有关。

此次网络攻势中的另一个突出团体是NoName057(16),该组织以其批评西方“恐俄症”的宣言而闻名。与传统的网络攻击策略不同,NoName057(16)采取了一种独特的方法,激励独立黑客进行DDoS攻击。该组织为成功的攻击提供丰厚的加密货币奖励,本质上是将其网络战外包。该组织通过消息服务Telegram上的自动化系统简化了招聘和运营流程。

自2022年初成立以来,NoName057(16)迅速扩大了影响范围,到2023年9月已拥有超过52000名订阅者。该组织的网络攻击产生了广泛影响,扰乱了丹麦的金融业,阿姆斯特丹和格罗宁根等荷兰城市的港口运营,以及波兰和立陶宛的一系列企业。冰岛议会和部长理事会也遭受了类似的攻击,其网站因NoName057(16)的DDoS攻击而瘫痪。

虽然没有直接证据表明俄罗斯总统普京控制着NoName057(16),但该组织已表现出对他和俄罗斯地缘政治目标的一贯支持。2023年6月24日,NoName057(16)将其攻击重点集中在两个与俄罗斯瓦格纳雇佣兵相关的网站上,其通常的攻击模式出现了明显的偏差。这一转变与瓦格纳雇佣兵大胆但不成功的叛变同时发生,表明NoName057(16)与俄罗斯国家活动间存在联系。它还反映出这样一种趋势,即虽然可能有平民或黑客活动分子发动网络攻击,但他们的总体方向通常受到乌克兰和俄罗斯政府愿望的影响。

乌克兰方面在众包网络战方面更加成功。为应对2022年2月俄罗斯的全面军事行动,乌克兰迅速动员起来,组建了一支志愿IT军队。这支由黑客组成的网络民兵组织迅速壮大,吸引了来自全球各地的数万名志愿者。“乌克兰IT军队”已经从最初由网络爱好者志愿者组成的临时集合发展成为高度结构化和高效运作的组织。这种转变归因于几个因素。首先,乌克兰政府官员的持续支持,他们可能为其行动提供战略方向和合法性。其次,国际行为者的参与带来了全球视角和丰富的多元化网络专业知识。最后,使用行业领先的工具和技术大大提高了其操作效率。

“乌克兰IT军队”对网络战线产生了切实的影响。2022年2月,该组织成功策划关闭了备受瞩目的俄罗斯网站,包括莫斯科证券交易所和俄罗斯最大银行俄罗斯联邦储蓄银行的网站。这是一个重大打击,扰乱了克里姆林宫的金融和经济活动。2022年10月,“乌克兰IT军队”获得了列宁格勒地区电力公司Loesk的访问权限,其操作升级至更关键的基础设施级别。这次入侵导致整个地区停电,这表明该组织有能力影响俄罗斯的基本服务。

2022年11月,“乌克兰IT军队”瞄准了俄罗斯天然气工业银行(Gazprombank),该银行与俄罗斯国有能源公司俄罗斯天然气工业股份公司(Gazprom)有关联。该组织窃取了2.6GB的数据,其中包括27000个文件,其中包含有关银行运营和安全政策的信息以及员工的个人数据。这次袭击的复杂性甚至得到了俄罗斯天然气工业银行副总裁亚历山大·叶戈尔金对黑客创新性的称赞。

“乌克兰IT军队”利用定向DDoS攻击袭击俄罗斯唯一的产品认证系统(ChestnyZnak)。该系统对于俄罗斯各种产品的验证和标签至关重要,在该国的经济基础设施中发挥着重要作用。这次网络攻击的影响是深远且多方面的。它迫使俄罗斯政府暂时中止某些产品的强制标签和验证程序。此次暂停对俄罗斯企业产生了直接和切实的影响,特别是那些日常运营严重依赖核查系统的行业。无法验证产品导致了一系列问题,包括货物配送的延迟、维持库存控制的挑战以及市场动态的普遍破坏。

2023年10月,“乌克兰IT军队”暂时瘫痪了俄罗斯占领的乌克兰东南部的互联网服务。“乌克兰IT军队”的DDoS攻击摧毁了三个俄罗斯互联网提供商——Miranda-media、Krimtelekom和MirTelekom。在2023年12月的最近一次网络攻势中,“乌克兰IT军队”成功瞄准并破坏了Bitrix24的服务器,Bitrix24是俄罗斯广泛使用的客户关系管理(CRM)系统。这次攻击是针对俄罗斯关键数字基础设施的一系列持续DDoS攻击的一部分。2023年12月,“乌克兰IT军队”利用其官方Telegram频道宣布,成功破坏Bitrix24可能会给俄罗斯带来重大经济损失。“乌克兰IT军队”发帖称,“这可能意味着敌人的经济损失数千万甚至数亿美元,具体取决于我们能压制他们多久。还有谁有闲置设备?是时候启动它们了。” “乌克兰IT军队”估计其行动给俄罗斯造成了1至20亿美元的经济损失。

然而,俄乌战争中最大的两个黑客组织都承诺减少网络攻击,并遵守红十字国际委员会制定的新的交战规则。这些规则形成了“网络战日内瓦守则”,旨在规范民间黑客活动,此举最初遭到怀疑,但现在受到乌克兰和俄罗斯黑客的关注。尽管之前对两国民用服务的袭击造成了广泛影响,但这些组织(包括臭名昭著的亲俄罗斯Killnet)已承诺避免攻击影响平民的目标。同样,乌克兰最大的民间网络组织“乌克兰IT军队”也同意遵循这些准则。

继2024年1月对俄罗斯能源供应商 Permenenergo 发起最新一次攻击后,“乌克兰IT军队”在其Telegram账户上表示,“根据红十字会网络战规则”,彼尔姆地区平民的电力供应没有中断。乌克兰网络攻击的后果是“需要国家资金进行恢复并导致能源网络暂时失去控制”。“乌克兰IT军队”还对莫斯科主要互联网提供商AkadoTelecom开展了多次攻击,导致莫斯科政府和银行部门的互联网大范围中断;受影响的包括总统安全部门、联邦警卫局和俄罗斯情报机构联邦安全局。

  • 教训4:关键基础设施是首要目标

关键基础设施将继续成为主要目标,如果俄乌战争继续陷入僵局,情况更是如此。2022年5月,在一名同伙被捕后,网络黑客组织Killnet发出威胁,称其将针对英国的关键医疗设备,特别是英国医院的救生呼吸机。干扰这些系统的网络攻击可能会导致基本药物的延迟或不正确分配,从而对患者健康构成严重风险。此类网络攻击的潜在影响超出了个体患者的治疗结果。针对医院这些生命攸关系统的大规模、协调一致的网络攻击可能会导致更广泛的医疗危机,使无数生命面临风险,压垮医疗基础设施,并可能导致人员死亡。

英国内阁办公室大臣奥利弗·道登于2023年4月发出警告,称俄罗斯黑客试图破坏英国的基础设施,或者至少扰乱运营。英国国家网络安全中心(NCSC)还警告英国关键基础设施面临长期威胁。虽然美国和乌克兰的关键基础设施遭受了更为严重的攻击,但英国可能很容易遭受导致国家瘫痪并损害其部分关键基础设施的攻击。英国国家安全战略联合委员会认为,由于英国的关键基础设施容易受到勒索软件的攻击,英国可能“随时”因网络攻击而陷入瘫痪。

  • 教训5:俄罗斯的工业间谍活动将继续增长

由于西方公司逃离俄罗斯以及制裁的影响,工业间谍活动将继续增长。乌克兰发现俄罗斯网络间谍活动有所增加,这些活动一直试图渗透重要政府机构的系统。乌克兰信息安全和网络安全局局长娜塔莉亚·特卡丘克表示:

“主要的预期是俄罗斯情报部门越来越多地利用犯罪黑客组织针对西方国家开展情报和颠覆活动以及有针对性的网络行动。此类攻击的新载体将是工业间谍活动。毕竟,由于制裁措施的有效实施,俄罗斯已经失去了大量领先技术,而俄罗斯无法用自己的技术来替代这些技术,因此他们会试图窃取这些技术。”

由于缺乏西方技术,俄罗斯将被迫依赖替代解决方案,而这些解决方案可能不太安全并且更容易受到西方网络攻击。由于俄罗斯面临这种技术差距,它可能会越来越多地转向工业间谍活动,试图获取西方技术。此外,如果俄罗斯继续大量获取西方技术,西方可能会在针对俄罗斯目标部署零日攻击时表现出谨慎态度,担心附带损害也可能影响西方实体。

  • 教训6:一切事物和所有人都是目标

一切事物、所有人都可能成为黑客攻击的目标。俄乌战争爆发后,一场涉及信息作战的新型网络战争开始形成。这巧妙地涉及使用社交媒体和约会应用程序。俄罗斯士兵在Tinder上寻找好友时,无意中泄露了重要的军事信息。他们与使用人工智能技术创建的类似于真实乌克兰女性的虚假人物进行了交谈。这些聊天导致士兵们分享了泄露他们位置的照片。一名乌克兰妇女也使用了这种方法,她在边境附近的不同地点建立了2个Tinder账户。通过比较匹配的位置,她能够准确地找出俄罗斯军队的位置。她发现并向乌克兰官员报告了70多份此类资料,帮助他们收集有价值的信息。

虚假社交媒体资料的使用并没有就此停止。乌克兰黑客在Telegram等各种平台上制作了美丽女性的虚假个人资料,以吸引梅利托波尔附近的俄罗斯士兵。据英国《金融时报》报道,这些受骗的士兵发送了他们执勤时的照片。然后,黑客利用这些图片找出了乌克兰南部梅利托波尔附近一个隐藏的俄罗斯军事基地的位置。这一重要信息被传递给乌克兰军方,乌克兰军方不久后对该基地发动了袭击。

然而,士兵并不是黑客和社会工程的唯一受害者。俄罗斯养老金领取者成为电话诈骗者的目标,后者诱骗前者对军事征兵办公室进行燃烧弹袭击。一名俄罗斯安全官员表示,“诈骗者经常说服受害者交出银行详细信息或申请贷款,然后煽动他们攻击招聘办公室以挽回损失。”这对未来意味着许多人可能成为网络攻击的受害者,网络攻击可能会窃取他们的个人信息或银行账户详细信息,同时诱使他们犯罪或为外国政府从事间谍活动。类似科幻电视节目《黑镜》中的一集的未来可能并不遥远,俄罗斯等外国政府可能会侵入随机公民的个人设备,并勒索他们对英国基地进行间谍活动。

俄罗斯还入侵了基辅的在线监控摄像头,以监视防空部队和关键基础设施。这些摄像头最初安装在住宅楼上,供居民监控周围环境,但据报道被俄罗斯情报部门霸占。他们获得了远程访问权限,改变了摄像机的角度,并在YouTube上播放了敏感视频。

该镜头可能帮助俄罗斯在对乌克兰的大规模袭击中指挥无人机和导弹,其中近100架无人机和导弹袭击了基辅和哈尔科夫。

自俄乌战争爆发以来,乌克兰安全部门封锁了约10000个可能被莫斯科用于准备导弹袭击的摄像头。此外,“自由欧洲广播电台”(RFE-RL)的一项调查表明,俄罗斯情报部门可能使用Trassir(一种能够跟踪运动并识别面部和车牌的俄罗斯软件)获取了数千个乌克兰摄像机的视频。

未来对平民日常生活的影响将继续扩大。正如俄罗斯2008年对格鲁吉亚银行系统的网络攻击扰乱了日常生活一样,对乌克兰关键基础设施的持续攻击也给平民带来了持续的骚乱。值得注意的是,最具影响力的事件之一是最近对Kyivstar的攻击。随着世界日益数字化,漏洞倍增,导致此类破坏的机会更大。

  • 教训7:俄罗斯将无视网络战争的基本规则

为俄罗斯继续无视网络战争的基本规则做好准备。俄罗斯在乌克兰的军事行动不仅违反了战争习惯法和国际法,而且还违反了正在发展的网络规范和国际法。多年来,俄罗斯一再将其网络攻击重点瞄准乌克兰的关键基础设施,试图制造混乱,却从未寻求避免对平民造成附带损害。英国(和西方)必须做好应对愿意违反网络战争基本规则的修正主义国家的准备。

政策建议

英国和其他西方国家需要为这个在数字战场和实体战场上发生战争的新时代做好更好的准备。这些建议旨在支持更大的弹性,并鼓励西方持续支持乌克兰的网络防御,这是基辅对抗俄罗斯侵略的战争的一个方面,虽然受到的关注较少,但仍然至关重要,尤其是现在这场战争已成为一场长期的、消耗性的冲突。

改善私营和公共部门间的协调以加强网络防御。乌克兰得到了与西方公司和政府建立的协调的支持,这些协调帮助乌克兰在俄罗斯全面军事行动的最初几天保持正常运转。各国政府应与私营公司携手合作,确保在发生重大网络攻击或全面网络战争时,私营部门和公共部门间建立强有力的协调系统。私营部门凭借其庞大的数据资源,与政府一起发挥着至关重要的作用,特别是在了解网络威胁方面。专门从事网络攻击防御的公司拥有有助于威胁响应的宝贵情报。2023年7月,俄罗斯黑客对英国机场进行了攻击;如果俄罗斯确实设法使某些航空公司运营瘫痪,可能会在英国引起广泛的恐慌,特别是如果需要很长时间来补救任何袭击的话。因此,西方政府应致力于在私营和公共部门间创建一个透明的网络威胁数据库。现实情况是,少数私营公司在推动大规模网络防御方面发挥着关键作用。完善合作机制对于未来至关重要。

投资创建更强大的安全机制来保护关键基础设施。对银行主机和电网等现有基础设施系统进行彻底的风险评估。其中许多系统仍然依赖于过时的技术和遗留系统,这些系统可能无法应对现代网络威胁,尤其是在医疗保健和地方政府内部。与行业专家、政府机构和国际机构合作,制定和实施新的安全标准和准则。这些标准应该具有适应性、可扩展性,并且能够满足不断变化的网络威胁的需求。确保它们不仅适用于新系统,而且适用于采用传统技术的现有基础设施。英国需要确保安全系统不是静态的。定期更新、维护和审计应该成为关键基础设施网络安全协议的强制性组成部分。英国政府还应向私营部门提出更有力的建议,将其工作重点围绕18项互联网安全中心关键安全控制措施。然而,建议必须考虑到这些基础设施公司经常因人手不足和资金不足而面临挑战。此外,还应该对预防机制进行投资,例如威胁建模和渗透测试。各机构应该使用俄罗斯在乌克兰使用的已知攻击模式来定义常见的攻击技术,然后使用这些技术来强化银行、医院和其他关键机构的安全。

继续为乌克兰网络防御提供支持。英国负责冲突稳定与安全基金的首席大臣内维尔-罗尔夫男爵夫人表示,“英国和乌克兰正在针对俄罗斯的网络战争中并肩作战,俄罗斯的骇人听闻的攻击是无止境的。俄罗斯正在攻击乌克兰的网络基础设施,目的是伤害无辜人民、扼杀经济并制造混乱。”西方网络支持对乌克兰的重要性怎么强调都不为过。正如NotPetya在2017年所表明的那样,针对乌克兰的网络攻击将蔓延到西方。保护乌克兰的数字基础设施就是保护西方。

2023年10月,在爱沙尼亚的支持下,乌克兰建立了一个新的网络教室,将培训网络军事专家以防御复杂的网络攻击。这是爱沙尼亚于2022年为提高乌克兰军队的网络安全技能而建立的军事网络设施的补充。网络实验室提供了一个“培训环境,通过逼真的虚拟场景和实时模拟来测试和加强军事网络防御专业人员的实践技能,有助于更快、更有效地识别、监控和防范未来的网络攻击。”美国和英国应以爱沙尼亚的这些例子为基础,投资培训更多乌克兰军事人员的网络防御和进攻能力。

向乌克兰提供更多有关俄罗斯漏洞的情报,使乌克兰能够开展网络攻势以支持其地面行动。西方技术从俄罗斯撤出加剧了俄罗斯国家行为体面临的压力,俄罗斯可能很快就会因缺乏必要的硬件和软件更新而面临技术债务,或者转向不太可靠的替代品。这种情况可能会逐渐损害其国内电信、监控基础设施和先进网络研究组织的安全和效率。如果俄罗斯继续使用西方技术,那么零日攻击就更难使用,因为西方国家没有好的方法来应对它们。然而,如果西方技术被从俄罗斯撤走,并且它必须使用自己的或他国的替代品,那么使用零日攻击就会变得更容易,因为不用担心意外损坏西方系统。预计俄罗斯国内基础设施的漏洞数量(包括零日漏洞)将会增加。乌克兰应该获得正确的工具和利用漏洞来攻击整个俄罗斯。

除了协助乌克兰对俄罗斯进行更广泛的网络攻击外,向乌克兰转让网络武器还可能导致俄罗斯加大攻击乌克兰的压力。如果乌克兰(和西方)愿意冒这个风险,它可以让西方国家研究如何在未来的战争中利用零日漏洞,帮助他们相应地调整防御策略。正如乌克兰在2014至2022年期间是俄罗斯网络攻击的试验场一样,俄罗斯也可能成为乌克兰发射的西方网络武器的试验场。

俄乌战争爆发几个月后,俄罗斯威胁称,西方对俄罗斯的网络攻击可能会引发直接军事冲突,任何在网络领域挑战俄罗斯的企图都将导致莫斯科采取有针对性的反制措施。俄罗斯表示,其关键基础设施正成为来自美国和乌克兰的网络攻击的目标。尽管俄罗斯公开威胁西方向乌克兰提供的先进武器,例如“反坦克导弹”或“风暴之影”导弹,但莫斯科同样没有兑现其网络威胁。没有人知道红线在哪里。尽管普京发出了强烈警告,但增加反坦克导弹等武器供应或乌克兰对被占领的克里米亚的袭击并没有引起强烈反应,这一事实表明西方过于谨慎了。同样的教训也应该适用于网络领域。

前美国网络司令部司令保罗·中曾根强调了防御性和进攻性网络行动之间的协同作用,他表示,“通过持续存在、持续创新和持续交战,我们可以施加成本,抵消对手的努力,并改变他们的决策权衡。”建设乌克兰的防御对于西方政府来说是双赢的,因为他们可以利用这作为代理人战争来验证自己的实力,同时也了解他们应该在自己的系统中测试的漏洞。

开始扩大与面临潜在威胁的盟国的“前出狩猎”行动。鉴于美国2021年在俄罗斯全面军事行动前在乌克兰的行动取得了成功,西方国家应该考虑对台湾等国家和地区采取类似的做法,在入侵之前保护其关键基础设施。来自美国和英国的潜在团队可以帮助识别网络上的漏洞和恶意网络活动,并在不良行为者有机会执行攻击前加以阻止。

关于作者:

大卫·基里琴科是一位专门研究网络战和非常规战争领域的研究员和专家。他的分析广泛发表在大西洋理事会、欧洲政策分析中心、非常规战争中心和国会山等媒体以及同行评审期刊上。他的著作曾被《高级军事研究杂志》和马里兰大学非对称威胁分析中心等期刊引用。大卫·基里琴科一直从事安全工程领域的工作,专注于构建威胁检测、利用开源软件和管理漏洞。

声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。