编者按
美国哥伦比亚大学国际与公共事务学院高级研究学者杰森·希利近日撰文《战争中的网络效应:分类“地点”“内容”“原因”》,提出新的“战时进攻性网络行动框架”并辅以历史案例,旨在帮助更好地评估战时进攻性网络行动的影响,阐明进攻性网络行动在现代战争中的作用。
“战时进攻性网络行动框架”根据行动发生的时间或地点以及行动意图对进攻性网络行动进行分类。在时间和地点维度,将行动分为三类,即“敌对行动前开展的网络行动”“战斗前或战线后方发生的网络行动”“战斗期间战术性使用的网络行动”;在意图纬度,将行动分为五类,即“利用信息”“攻击信息、网络和IT系统”“破坏对政府的信任或削弱士气”“攻击对军事信息或系统的信任”“摧毁物理基础设施或武器系统”。
敌对行动前发生的进行性网络行动本身并非战时行动,但为未来某个时候或在武装冲突门槛以下的“战略竞争空间”中取得武装冲突胜利创造了条件。“利用信息”类行动的策略包括获取精确的军事情报以了解战略或军事计划或为作战环境做准备,如俄罗斯战前在乌克兰开展大规模间谍活动和战场准备;“攻击信息、网络和IT系统”以及“破坏对政府的信任或削弱士气”两类行动能够在战略层面产生累积影响,破坏或削弱国家力量源泉,塑造“不战而胜”的战略环境, 如俄罗斯军事情报机构对乌克兰政府、IT、能源和金融机构的系统发动的破坏性恶意数据擦除软件攻击以及俄罗斯通过网络行动干扰美国选举;“攻击对军事信息或系统的信任”类行动的目的是削弱对技术或操作系统按预期运行的信心,例如美国和以色列对伊朗核设施开展“震网”病毒攻击;“摧毁物理基础设施或武器系统”类行动涉及破坏军事相关基础设施,例如俄罗斯破坏乌克兰电网、美国通过“主动抑制发射”破坏朝鲜弹道导弹发射计划。
敌对行动开始后的进攻性网络行动不再是其他类型力量的替代,而是对其他力量的补充或独立能力,通常更具破坏性和战术性,旨在立即降低目标完整性或作战能力,从而夺取主动权或主导权。“利用信息”类行动策略可能包括窃取对手的作战计划或试图了解其战术资产的位置,如俄罗斯组织Gamaredon长期专注于获取军事和安全情报以支持作战部队;“攻击信息、网络和IT系统”类行动策略包括破坏对建立有效防御至关重要的系统或破坏后勤,如俄罗斯对乌克兰电信供应商Ukrtelecom开展大规模网络攻击行动;“破坏对政府的信任或削弱士气”类行动手段包括网络信息行动,如俄罗斯军事情报部门通过传播破坏性进攻性网络行动来产生二阶心理影响;“攻击对军事信息或系统的信任”类行动无需明显或甚至无需检测即可导致信任丧失,导致军事人员转而依靠可能对其战斗准备产生不利影响的变通方法,如俄罗斯黑客试图破坏乌克兰“Delta”战斗管理系统的信任;“摧毁物理基础设施或武器系统”类行动可以用作一种独立能力,用于打击战线后方的固定目标或拦截在后方移动的军事力量,如俄罗斯利用恶意软件AcidRain干扰乌克兰等国使用的Viasat卫星终端。
战斗期间的进攻性网络行动也可能在战术交战中发挥重要作用,包括大规模战斗和局部战斗。“利用信息”类行动可用于实时监控对手的通用作战图或跟踪某一类型的部队或平台,如俄罗斯通过渗透火力协调软件跟踪乌克兰榴弹炮;“攻击信息、网络和 IT 系统”类行动可以破坏或修改军事信息,从而影响战区指挥控制,如以色列对叙利亚防空系统开展的“果园行动”;“破坏对政府的信任或削弱士气”类行动示例包括俄罗斯通过网络信息行动向乌克兰前线部队发送虚假消息;“摧毁物理基础设施或武器系统”类行动示例包括俄罗斯和乌克兰对战场无人机开展黑客攻击。
文章称,与第一次世界大战驱动空战发展一样,俄乌战争同样推动了进攻性网络作战在战争中的运用;“战时进攻性网络行动框架”可以通过不仅纳入进攻性网络行动,还纳入防御性网络行动而得到大幅改进;进攻性网络行动在现代战争中的短期影响将在很大程度上取决于其能力和冲突的具体情况,网络空间和网络行动的复杂性导致进攻性网络行动效果难料;未来十年以后,战争中的进攻性网络行动可能不再受一场或几场战争的具体情况所驱动,而是更多地受全球冲突的频率和强度以及技术进步的总体方向所驱动;如果网络大国间的冲突变得更加频繁,进攻性网络行动将继续以令人惊讶的方式被运用,同时战争中的进攻性网络行动也可能根据技术变化朝着令人惊讶的方向发展;未来,全球社会和武装部队很可能继续越来越依赖不安全的技术,从而面临更多、更激烈的进攻性网络行动。
奇安网情局编译有关情况供读者参考。
战争中的网络效应:
分类“地点”“内容”“原因”
几十年来,军事从业者和学者提出了各种理论、证据和案例,表明进攻性网络行动可能会彻底改变现代战争。其他人也提出了同样令人印象深刻的论据,反驳此类行动甚至没有意义,因此很难得出任何明确的结论。本文介绍了一种新颖的分析框架,根据进攻性网络行动在战争不同阶段的使用情况(从冲突前的塑造行动到实际战场)来评估进攻性网络行动。该框架大大简化了从业者和学者的关键问题,从而提出了更直接的问题:进攻性网络行动将在何时、何地以及如何影响战争结果,无论是现在还是将来?
在动力飞行发明后的 15 年内,空军几乎所有的作战任务不仅被发现,而且都整合在一位指挥官的指挥下:比利·米切尔于 1918 年圣米耶尔战役中。长时间高强度战斗的压力推动了空中力量使用的创新,这在第一次世界大战之前是难以想象的,当时飞机似乎很脆弱,在战场上的用途有限。在那场战争中,由于技术改进、作战理论进步以及由一位指挥官协调使用,空中力量开始发挥作用,这位指挥官负责将空中力量与其他联合兵种整合起来,以在一场大战中取得胜利。
对乌克兰开展全面军事行动的俄罗斯同样也在推动进攻性网络行动,发现了新的意义和使命(在同样的战斗压力的驱动下),并暗示未来还有更多的可能性。俄乌战争提出了一个关键问题:进攻性网络行动将在何时何地如何影响战争结果?
40多年来,对这个问题的回答一直被转移到一场争论中,即进攻性网络行动是革命性的还是只是炒作。虽然这场争论具有启发性和重要性,但大部分争论都与研究战争的不同方面有关。它没有明确区分在武装部队传统战术交战中在实际战场上进行的进攻性网络行动、在前线后方进行的进攻性网络行动以及在战斗开始前进行的进攻性网络行动。它也没有明确说明目标是否是武器系统。许多评估都早于俄乌战争,因此缺乏足够的“高强度国家间战争中的网络空间行动”的例子或实证基础。许多评估还基于错误的假设——往往没有明说——即领土征服会有些“不合时宜”。
因此,本文引入了一种新颖的分析结构,以阐明进攻性网络行动在战争中的作用。“战时进攻性网络行动框架”根据进攻性网络行动在战争不同阶段的使用情况对其进行分类,从冲突前的塑造行动,到战斗前或后方梯队,再到实际战场。在这三个阶段中,进攻性网络行动可根据意图进行分类:利用信息、攻击信息、攻击对武器系统或关键基础设施的信任以及攻击武器系统或关键基础设施。
该框架不仅包含了几乎所有这15种情况的适当示例,而且这些示例中的许多行动似乎在战术上是相关的,在行动上也是成功的。大多数例子都来自一场高强度的俄乌战争。尽管这些进攻性网络行动“没有取得任何系统性影响,而且可以说它们的成本效益比动能火力更低——或者至少在能力上更受限制”,但它们表明各国将在战时以新的方式使用网络能力。
01
战时进攻性网络行动框架
表1总结了“战时进攻性网络行动框架”,该框架根据行动发生的时间或地点以及行动意图对行动进行分类。该框架首先区分攻击的地点和时间,以便更好地理解敌对行动前开展的网络行动、战斗前或战线后方发生的网络行动以及战斗期间战术性使用的网络行动。过去的许多分析不知何故未能将这一关键标准纳入评估中。
该框架未来可能会扩大到包括与冲突有关但在冲突外发生的进攻性网络行动(例如与乌克兰有关但针对欧洲或美国基础设施的俄罗斯行动)。我暂时省略了这一项,以使表格更易于管理。
“战时进攻性网络作战框架”根据作战意图对何时/何地变量进行了分类,该分类建立在《进攻性网络行动》作者丹尼尔·摩尔对作战行动的有用描述之上,即基于存在的行动(“从长时间的网络入侵开始到最终实现进攻目标的战略能力”)或基于事件的行动(“可部署在战场上立即引发局部事件的直接激活战术工具”)。该框架包括五种意图:利用或攻击信息、网络和系统(如窃取或删除信息);攻击对机构的信任或削弱士气(如通过网络信息作战);攻击对军事信息或系统的信任(“破坏对手对其能力的信心”,这是2003年美国国防部长签署的“路线图”中的一项核心能力);试图摧毁物理基础设施(如电网)或武器系统(如综合防空系统)。
这些是模糊的类别,有很大的重叠。发起进攻性网络行动的动机往往并不明显。此外,战争很混乱,很难轻易描述。因此,这些类别最好用作松散的指南。
尽管如此,本文提出的框架的一个重要区别——也是丹尼尔·摩尔和其他人多次提到的区别——是信息利用和破坏(军事术语中的计算机网络利用和计算机网络攻击)。该框架更进一步,对旨在攻击信息或系统本身的行动和攻击对方对信息或系统的信任的行动进行了罕见的区分。许多进攻性网络行动可能旨在同时实现这两种目的,如果硬杀伤太难,那么侵蚀信任也是可以接受的结果。“摧毁物理基础设施或武器系统”这一类别旨在捕捉旨在直接将物理对象从战斗中清除的行动,而不仅仅是对军事网络发动拒绝服务攻击,这是另一个棘手的区别。
其他研究也包括了其中的一些区别,尤其是利用和破坏间的区别,但并未包括对信任的攻击,也未比较进攻性网络行动在战场上的发生时间和地点。一个明确包括冲突阶段的例子受到了早期关于“战时进攻性网络行动框架”的研究的启发。其他重要研究,例如由学者约书亚·罗夫纳开展的研究,讨论了类似的因素,但没有提供正式的框架。因此,“战争中的进攻性网络行动框架”可以大幅改善分析方法和结果。
表1:战时进攻性网络作战框架
02
进攻性网络行动的时机和意图
提供一个透明的分析模型,并辅以历史案例,将有助于更好地评估战时进攻性网络行动的影响。本文提出的框架区分了网络行动的时间和地点——敌对行动前、战斗前或后方梯队,或战斗期间(即部队间的正面战术交锋)——以及行动的预期效果:利用信息或破坏信息、网络、系统、信任、关键基础设施或武器系统。本节介绍了在这些不同阶段发生的具有不同意图的进攻性网络行动的例子。
(一)敌对行动前
敌对行动前发生的行动本身并不是战时行动,但它们为未来某个时候或在武装冲突门槛以下的“战略竞争空间”中取得武装冲突的成功创造了条件。根据美国防部的理论,这包括在第0阶段或第1阶段发生的行动:塑造或威慑。各国经常在这些阶段使用进攻性网络行动来替代其他类型的力量,“以削弱或摧毁敌人在和平时期的能力,而不是被迫在现实世界中发起和参与代价高昂的冲突。”
利用信息的策略包括获取精确的军事情报,以了解战略或军事计划或为作战环境做准备。在俄乌战争爆发前,微软发现俄罗斯“试图获得对目标的初步访问权,这些目标可用于提供有关乌克兰军事和外国伙伴关系的情报”,以及“访问关键基础设施以供未来破坏”。此类入侵构成了战场的正常情报准备,对大多数先进军队来说都很常见。在2008年的一次名为“铅弹洋基”(Buckshot Yankee)的行动中,“对美国政府网络的广泛渗透可能为俄罗斯情报部门提供了对当前部署、未来规划和决策者想法的积极洞察”,这种访问权可能在武装冲突中起到决定性作用。另一种利用信息的方法是窃取对战场有用的技术优势。
在俄乌战争爆发前一个月,俄罗斯发动了“战时进攻性网络行动框架”中的另外两个类别的攻击:攻击信息、网络和IT系统以及削弱对机构的信任或士气。微软报告称,在俄乌战争爆发前一天,“与俄罗斯军事情报机构GRU相关的操作人员对乌克兰政府、IT、能源和金融机构的数百个系统发动了破坏性的恶意数据擦除软件攻击。”为了在发动军事行动前破坏信任,“乌克兰政府网站,包括外交部网站,被俄语、乌克兰语和波兰语的消息破坏,声称数据已从政府服务器中删除并将被发布。”
属于这两类的战术也可能塑造“不战而胜”的战略环境。俄罗斯干涉美国、乌克兰和其他地方选举,以削弱士气和政府。用“持续交战”的语言来说,这种网络行动“在没有武装冲突的情况下,可以在战略层面产生累积影响,并且可以破坏或削弱……国家力量的源泉”。
对手可能会利用网络能力来破坏后勤流向战区(对信息、网络和IT系统进行攻击),或许是为了将部队的抵达时间推迟到决定性时刻后。这是美国防部长期以来的担忧,因为“美国防部90%以上的部署和配送交易都是在非机密系统上处理的。”1991年,美国防部担心大规模的后勤中断,因为荷兰黑客在第一次海湾战争前夕“修改或复制了与美国战争行动有关的非机密但敏感的信息”。巧合的是,美国防部担心1998年2月的“太阳日出”(Solar Sunrise)行动旨在破坏对伊拉克的武力展示行动“沙漠之狐行动”(Operation Desert Fox, )。
针对军事信息或系统的信任发起攻击的目的是削弱人们对技术或操作系统按预期运行的信心。这种在敌对行动前开展的攻击性网络行动可能包括类似美国和以色列针对伊朗核浓缩计划的“震网”(Stuxnet)行动中使用的策略。主要目标似乎是摧毁与战争相关的基础设施,但攻击信任是该行动的关键组成部分。《纽约时报》记者大卫·桑格引用了一名Stuxnet行动参与者的话称:
袭击参与者称,“他们的目的是让这些故障让他们觉得自己很愚蠢,而事实也确实如此。”当几台离心机发生故障时,伊朗人就会关闭连接164台机器的整个“机房”,寻找所有机器被破坏的迹象。一名官员称,“他们反应过度,我们很快就发现他们解雇了员工。”
攻击实体基础设施和武器系统包括破坏军事相关基础设施,例如俄罗斯在2015年和2016年破坏乌克兰电网。它还包括破坏军事相关能力。这可能包括“主动抑制发射”攻击性网络行动,据称美国破坏了朝鲜弹道导弹发射,以减缓整个计划的发展。
进攻性网络行动也可能包括胁迫,但由于其他作者已对该主题进行了深入探讨,因此本文未将其纳入,本文主要关注战争的战术和战役层面。
(二)敌对行动期间:战斗前或在后方梯队
一旦敌对行动开始,塑造或威慑行动的时代就结束了。在第2阶段或第3阶段开展的进攻性网络行动——用美国防部的术语来说,就是夺取主动权或主导权——不再是其他类型力量的替代品,而是对其他力量的补充或独立能力。对于美国军方来说,此类行动很可能是“预先分配以支持作战计划或应急计划的特定方面”或“分配给作战指挥官”。敌对行动期间发生的进攻性网络行动的现有案例大部分似乎属于这一类,而不是在战场上发生的。
在敌对行动期间开展的进攻性网络行动往往具有破坏性,这意味着它们通常是基于事件的。丹尼尔·摩尔指出了其中的主要原因:
就像发射武器一样,基于事件的行动需要从攻击者向目标发送有效载荷,以期立即降低其完整性或作战能力。因此,这些能力通常更具战术性,更容易与现有的军事“观察-调整-决策-行动”(OODA)循环相结合,并且是联合作战的有希望的候选者。
俄罗斯的进攻性网络行动遵循了这一模式。据领先的网络情报和网络响应公司是曼迪昂特称,俄罗斯“绝大多数选择部署……‘纯粹’破坏性工具”。这些“纯粹”破坏性工具“设计轻量,可立即使用,仅包含破坏或拒绝访问目标系统所需的功能。”
利用信息的技术可能包括窃取对手的作战计划或试图了解其战术资产的位置。与俄罗斯联邦安全局(FSB)有联系的俄罗斯Gamaredon组织长期以来一直在“专注于获取军事和安全情报以支持潜在的入侵部队”。俄罗斯情报部门还监视乌克兰的铁路网络,这是“向前线附近基地快速、稳固地运送重型武器的关键”。乌克兰表示,这样做是为了帮助俄罗斯了解“供应依赖关系、时间表和特定设备/机械”。
攻击信息的策略包括破坏对建立有效防御至关重要的系统或破坏后勤。自俄乌战争爆发以来,俄罗斯已开展了数十次攻击以破坏乌克兰系统,例如2023年3月针对主要固定电话电信公司Ukrtelecom的大规模攻击性网络行动。
虽然这些行动并未产生持久或战略性影响,但俄罗斯过去通过破坏通信而更成功地使用了这种技术。在2008年俄罗斯入侵格鲁吉亚期间,“计算机研究人员发现僵尸网络在为袭击做准备时被‘筹备’,然后在俄罗斯空袭前不久被激活”,从而引发了战争。根据袭击10周年纪念日的一篇评论,“格鲁吉亚35%的互联网网络在袭击期间功能下降,在线活动的最高水平与俄罗斯入侵南奥塞梯的时间一致。……甚至格鲁吉亚国家银行也因网络中断而不得不暂停所有电子服务”11天。最近,在2015年和2016年的“发光交响曲行动”中,美国网络司令部动用了强大的力量来破坏伊斯兰国的社交媒体和互联网宣传。
破坏对政府的信任或削弱公众士气的手段包括一系列网络信息行动。一起事故清楚地表明,一种可能削弱信任和士气的方式是:如果夏威夷能够错误地发出有关来袭洲际弹道导弹的警告,就像它在2018年所做的那样,那么对手可能会在战时故意这样做,以引起恐慌。
然而,与本文介绍的框架中的大多数类别一样,俄乌战争提供了最具体的例子。曼迪昂特公司发现,俄罗斯军事情报部门设立了虚假的黑客身份,“以声称对网络攻击负责并泄露从受害者那里窃取的文件或其他证据”。他们的目标是“几乎肯定是试图用民众支持俄罗斯战争的叙述来引导信息空间,并从最初的攻击性网络行动中产生二阶心理效应”。
此前俄罗斯对乌克兰媒体集团发动的攻击散布了乌克兰总统泽连斯基已投降的虚假信息,其目的可能并非诱使乌克兰守军放下武器,而是为了“削弱人们对乌克兰媒体和机构的信心” 。
战斗前或后方梯队开展的进攻性网络行动也可用于削弱对武器系统或物理基础设施的信任。2022年底,一名与俄罗斯有关的黑客声称已非法访问乌克兰战斗管理系统Delta。他发布了“友军、敌军、军营、弹药库、情报数据和其他信息”位置的截图。此类行动无需明显或甚至无需检测即可导致信任丧失:“对指挥控制遥测的微妙恶意操纵,或瞄准延迟的微小干扰都可能对整个作战区造成严重破坏。”进攻性网络行动可能会对系统造成足够的破坏,以至于其操作员学会忽略它,转而依靠可能对其战斗准备产生不利影响的变通方法:“任务规划系统又出问题了。我们今天必须第三次改用铅笔和纸。”然而,随着军事部门对信息技术的依赖性越来越强,这种变通方法的选择越来越少。毕竟,可供使用的传真机、六分仪或印刷地图是有限的。
如果俄罗斯入侵美国防部机密网络的“铅弹洋基”(Buckshot Yankee)事件发生在与美国的实际敌对行动期间,美国军方可能不得不放弃整个网络,直到问题解决。即使怀疑对手可以阅读(或修改)作战计划和情报,也足以迫使军方使用效率较低的替代方案。如果这种攻击发生在北约盟国的系统中,可能会产生战略政治影响,该盟国可能会被驱逐或隔离于盟军指挥控制网络,以免感染他方。
美国为破坏朝鲜导弹试验而发起的“主动抑制发身”网络行动,突显了破坏一个系统和破坏对该系统的信任间存在很大重叠,其目的也可能是为了(或实际上)削弱朝鲜政权对其导弹在战时可靠性的信心。
针对物理基础设施或武器系统的攻击可以用作一种独立能力,用于打击战线后方的固定目标或拦截在那里移动的军事力量。无论是在战前还是战后,俄罗斯网络操作人员都破坏了乌克兰的Viasat商业卫星通信网络,“摧毁了战时管理军队和国家的关键指挥控制基础设施。”2022年4月,俄罗斯军事情报部门试图部署“针对高压变电站的 Industroyer2 恶意软件”但未能成功,该恶意软件已在数周前编程为在2022年4月8日引爆并破坏乌克兰的电力。
(三)敌对行动期间:战斗
进攻性网络行动也可能在战术交战中发挥重要作用——无论是军团或机群间的大规模战斗,还是单个排、舰船或飞机间的局部战斗。这通常发生在美国防部第3阶段——主导阶段——但也包括任何暴力军事交战,包括突袭或边境冲突。因此,“战斗”和“战场”被用作战术交战的宽泛描述。
使用网络能力来获取信息(第一个子类别)的基本原理与使用旧技术大致相同。例如,信号情报的正常目标(例如通过高频传输监听和解码摩尔斯电码,这是我的第一个军事情报单位的任务)也适用于网络能力。在20世纪90年代中期的一次演习中,第一个联合攻防网络单位在2小时内窃取了蓝军的空中任务指令,让他们完全了解第二天的突袭情况。一名乌克兰指挥官曾声称,他的单位入侵了俄罗斯无人机的视频源,以确定其基地,然后基地遭到炮击。
这种进攻性网络行动可用于实时监控对手的通用作战图(这可以通过使用传统信号情报来实现)或跟踪某一类型的单位或平台(这将非常困难)。例如,根据Crowdstrike公司的报道,2016年,俄罗斯军事情报部门知道乌克兰D-30榴弹炮的确切位置,并在9000名炮兵使用的协调火力安卓软件中植入了恶意软件。
随着现代军队为士兵配备智能或射频识别步枪以及用于态势感知的可穿戴计算机(例如美国陆军为游骑兵和其他精锐部队配备的Nett Warrior,基于三星 Galaxy Note II 手机),未来的对手可能能够知道战场上每个士兵或武器系统的确切位置。
下一个子类别是针对信息、网络和 IT 系统的攻击。利用网络能力破坏信息是一种明显的策略。20世纪80年代,美国似乎发现了“苏联高频指挥控制通信中的一个关键漏洞,可以利用该漏洞关闭……最高指挥部对其战略导弹部队、潜艇舰队和空军的命令。”
网络能力还可用于在战术交战期间修改信息(下一个子类别)。2008年的“果园行动”(Operation Orchard)期间,以色列空军显然使用了一种名为“高级苏特”(Senior Suter)的秘密网络能力。干扰叙利亚防空雷达会留下明显的迹象,让操作人员意识到异常情况,因此“高级苏特”显然向操作员展示了一个空白屏幕,指示计算机不要显示来袭的以色列攻击机。更阴险的是,对手可以操纵空中任务命令或通用作战图,甚至将敌方显示为友方或反之亦然。这样的行动很可能削弱操作人员对这些系统的信任,这可能是该活动的另一个目标。
修改信息可能会影响整个战区的指挥控制。俄罗斯在上述2008年的“铅弹洋基”(Buckshot Yankee)行动中访问了美国机密系统,这表明了这种可能性:计划和命令可能不仅被删除,而且被更改。即使这种行动能够成功针对坚固的美国机密网络发起似乎难以置信,但伊朗网络对美国网络司令部或以色列8200部队可能并不那么强大。印度和巴基斯坦、阿塞拜疆和亚美尼亚的网络也可能不足以抵御对方的攻击。
俄乌战争表明,军队可能在战斗中专门攻击信任,即第三个子类别。俄罗斯的网络信息行动针对乌克兰前线部队发送了诸如“你的营长已经撤退。照顾好自己。”和“你被包围了。投降吧。这是你的最后机会。”这些意味着这些信息是在战斗时或战斗前后发送的。
第四个子类别是攻击战斗期间对军事信息或系统的信任。虽然本文的研究没有发现有力的例子,但获得乌克兰Delta战斗管理系统访问权限的俄罗斯黑客吹嘘自己拥有比实际更多的访问权限。这可能是一次失败的尝试,目的是降低人们对该系统的信任,迫使乌克兰使用备用系统。据美国公司Recorded Future称:
对于Delta来说,信任至关重要。该系统能够实现快速的战场通信,最终有助于加快决策速度。如果乌克兰指挥官产生疑虑,让他们犹豫是否使用或与该系统共享信息,将对战争结果产生严重影响。
攻击基础设施或武器系统的技术是下一个子类别,包括禁用或破坏物理基础设施和武器系统。虽然这种情况似乎很少见,但美国防部早先曾感到恐慌。1998年,导弹巡洋舰约克城号完全配备了Windows NT,这“减少了10%的船员,节省了280多万美元”。不幸的是,在数据库管理器出现除以零的错误后,这艘船在水中无法航行,成功但具有讽刺意味地减少了海军人员的工作量。不难想象,由于敌人的行动,类似的事情也会发生。
虽然一项评估发现“目前还没有公开的俄罗斯网络行为者破坏战场军事装备的案例”,但俄罗斯和乌克兰军队似乎一直在破坏对方的无人机,不是通过直接干扰,而是通过攻击性网络行动。一名乌克兰军官声称“乌克兰经常在飞行过程中向俄罗斯无人机插入恶意代码。”乌克兰国防情报部门官方宣布对俄罗斯操作人员用来控制无人机的软件进行了“成功攻击”,导致持续中断。
与“硝基宙斯”(Nitro Zeus)相比,这种无人机黑客攻击的范围仍然相当狭窄,战术性也相当强。Nitro Zeus 是美国防部在2010年左右制定的一项大规模网络应急计划,旨在“破坏伊朗的防空系统、通信系统和电网的关键部分” 。
大约在同一时间,作为推翻卡扎菲政权的初始空中打击的一部分,美国曾考虑使用网络能力“削弱利比亚的防空能力并降低飞行员面临的风险”,但最终决定不这么做。不同的决策者给出了不采取行动的相互矛盾的理由,比如美国防部尚未做好准备(“我们只是时间不够了”),或者因为美国正在发起攻击,所以不需要使用其最先进的网络武器(“这些网络能力仍然像你放在车库里的法拉利,只在大赛时开出来,而不是在城里跑一圈,除非没有其他东西可以带你去那里”)。
进攻性网络行动的创新性在于,它们不仅能够瘫痪或破坏,而且能够破坏具有类似特征的所有目标。这不仅仅是理论上的:过去,整个组织、部门和国家都曾多次因为利用常见模式故障的早期攻击而下线,例如莫里斯蠕虫(1988年)和SQLSlammer(2003年)。直到2017年爆发前几个月,几乎每台运行Microsoft Windows的计算机都容易受到NotPetya背后的漏洞的影响(也许除了开发该漏洞的美国国家安全局的计算机)。武器系统和传感器也是如此。未来的某些攻击可能不仅会击落一艘导弹巡洋舰,还会击落所有其他具有相同漏洞的船只——而且是在同一时刻。
丹尼尔·摩尔举了一个令人毛骨悚然的战斧打击网络的例子,“据报道,任何有权限的人都可以登录……并控制导弹”,或者实际上是所有导弹。
最初是针对武器系统本身的攻击,后来演变为对信任的攻击,其影响不断扩大。
最后,进攻性网络行动不仅可用于破坏基础设施或武器系统,还可用于征用目标或征用具有类似特征的所有目标。毕竟,黑客攻击就是要破坏计算机,使其遵循攻击者的指令,而不是原始所有者的指令。
希望从本节中可以清楚地看出,使用本文介绍的新颖框架,可以更有效地分析进攻性网络行动对战争的影响。分析师需要这样的工具来区分进攻性网络行动的时间、地点和内容,以推动进一步和更好的分析。
03
进一步的研究
这里提出的框架本身可以通过更严格的分类得到进一步改进,以便更容易对大型数据集进行编码,并可以通过其他示例进行扩展。如前所述,它可能会受益于包括在冲突区外发生的旨在影响冲突的行动(例如,俄罗斯对欧洲能源基础设施的攻击)。
“战时进攻性网络行动框架”也可以通过不仅纳入进攻性网络行动,还纳入防御性网络行动而得到大幅改进。纳入防御性行动的主要困难在于,防御往往是分散的、松散协调的和稳定状态的。进攻由专门的部队开展,是有目的的、由特定目标驱动的,并且有时间限制。像本文中的框架这样针对进攻进行优化的框架可能永远无法充分解决防御问题。例如,尽管许多进攻性网络行动都是为了攻击信任,但很难为基础设施或军事装备构思防御性信任行动。
但是,该框架可以纳入防御行动的某些方面,最明显的是美国网络安全框架所称的防御阶段,即响应阶段(遏制网络事件的影响)和恢复阶段(恢复正常运营以减少网络安全事件的影响)。这些阶段仅在直接响应网络事件时发生,因此同样具有目的性和时间限制。当知道可能会发生攻击时采取行动时,保护阶段有时也很重要。以下是一些示例,说明如何使用此处介绍的框架对防御性网络行动进行分类:
敌对行动前:摧毁物理基础设施或武器系统。乌克兰的电网运营人员和工程师成功设法限制了俄罗斯利用Industroyer和BlackEnergy所造成破坏造成的损失。(响应阶段)
敌对行动前:攻击信息、网络和 IT 系统。微软专门开发并部署了新方法来防御和更好地检测俄罗斯的WhisperGate恶意软件,该恶意软件曾被用来攻击乌克兰的基础设施及其政府。(最初是微软的响应阶段,但为乌克兰防御者提供其他阶段的信息。)
在敌对行动期间、战斗前或后方梯队中:摧毁物理基础设施或武器系统。在俄罗斯的“AcidRain”恶意软件破坏了Viasat终端后,乌克兰指挥官和部队改用其他通信方式以保持弹性。(恢复阶段)
在敌对行动中、战斗前或后方梯队中:攻击对机构的信任或削弱士气。乌克兰官员2022年3月声称已破坏了5个传播虚假信息的俄罗斯僵尸网络。(响应阶段)
敌对行动期间、战斗前或后方梯队:攻击信息、网络和IT系统。俄乌战争爆发后不久,谷歌扩大了对拒绝服务攻击的保护,使谷歌能够吸收分布式拒绝服务攻击中的不良流量,并充当乌克兰较小网站的“盾牌”。(保护阶段)
04
网络能够不负众望吗?
进攻性网络行动在现代战争中的短期影响将在很大程度上取决于其能力和冲突的具体情况。从长远来看,技术创新以及冲突的频率和强度可能更为重要。
(一)短期内
基于对进攻性网络行动如何影响战斗结果的最广泛的非机密模型,J·D·沃克在2022年发表的一篇论文发现,进攻性网络行动的成功与现代海战的性质密切相关。由于大规模导弹交火导致“即使是相对较小的优势也会造成不成比例的影响”,J·D·沃克得出结论,进攻性网络行动提供了巨大的“对敌优势,在进攻性网络行动选项用于支持导弹射击的情况下,更多的敌方舰船被损坏或沉没。”
战时最具影响力的进攻性网络行动通常也是最困难的,需要大量情报、耐心规划和由精英操作人员和开明指挥官指导的先进能力。它也将受到极高不确定性的限制。也就是说,一些行动可能非常有效,而其他看似相同的行动可能会完全失败。结果很难事先预料。
例如,俄罗斯针对乌克兰的网络行动似乎没有完全发挥作用,部分原因是乌克兰成功进行了防御,而乌克兰得到了全球技术部门、志愿者和美国网络司令部的支持。因此,成功防御是可能的,但并非必然。在乌克兰,这些防御措施迄今为止阻止了网络灾难,但下一次会成功吗?伊朗的防御措施会战胜美国“硝基宙斯”计划吗?事先无法知道。
地面战的经验法则是,攻击者应拥有三比一到六比一的优势才能确保取胜。但在网络冲突中,就没那么容易估计了。全球网络攻击可能因一次偶然的发现而失败,防御最严密的科技巨头之一可能被青少年黑客入侵,或者攻击者可能只需先攻陷可信赖的供应商即可绕过精英防御。防御者可能轻而易举地击退了99次进攻性网络行动,而第100次行动则会横扫一切。虽然某些网络行动(如情报行动)的不确定性低于其他行动,但所有网络行动都比传统行动更难预测。
这不仅仅是说可能会出现“大卫战胜歌利亚”的奇迹:网络空间和网络行动的复杂性让人无法预测哪一方将获胜。
然而,即使是不太复杂的进攻性网络行动也可能极大地改变战场结果,特别是如果网络情报行动能够获得精准的洞察,使战场变得更加透明。相对简单的行动可能有助于实现既成事实或者被用作开场攻击,用理查德·贝茨的话来说,“当受害者的计划要求他做出反应时,让他感到震惊”。
俄罗斯曾试图通过Viasat攻击来破坏乌克兰的指挥控制,但这次攻击没有成功,只是因为乌克兰的准备不足。俄罗斯在2008年入侵格鲁吉亚期间取得了更大的成功。虽然没有起到决定性作用,但这些攻击阻碍了“格鲁吉亚政府的反应、回应和沟通能力,为俄罗斯在冲突初期塑造国际叙事创造了时间和空间。”
(二)更长远的未来
未来十年以后,战争中的进攻性网络行动可能不再受一场或几场战争的具体情况所驱动,而是更多地受全球冲突的频率和强度以及技术进步的总体方向所驱动。毕竟,未来与今天将大不相同。人类仍处于信息时代的最初几十年,就像之前的农业和工业时代一样,它将持续数十年甚至数百年。
战争推动创新和即兴发挥。由于大多数网络冲突发生在冷战后几十年的相对和平时期,网络冲突理论一直基于错误的假设,例如“领土征服继续变得有些不合时宜”。上述框架中的大多数例子都来自一场战争,即过去两年的俄乌战争。如果网络大国间的冲突变得更加频繁,进攻性网络行动将继续以令人惊讶的方式被使用。
战争中的进攻性网络行动也可能根据技术变化朝着令人惊讶的方向发展。自2022年以来,人工智能的进步使得很难评估人工智能驱动的进攻性网络行动的危险性或人工智能驱动的防御的承诺,尽管已经做出了一些努力来评估人工智能最终是倾向于攻击还是防御。
更普遍地说,如果各国成功大规模保护其关键基础设施或武器系统,对手将发现几乎不可能成功针对该框架的许多类别发起进攻性网络行动。然而,更有可能的是,社会和武装部队将继续越来越依赖不安全的技术,从而让自己面临更多、更激烈的进攻性网络行动。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
