编者按:美国海军学院网络科学系副教授杰夫·科塞夫在2024年北约网络冲突国际会议论文集上发文,全面介绍了美国网络司令部“前出狩猎”行动的要素,分析了国际法下“前出狩猎”行动的许可性,并探讨了美国及其盟友扩展“前出狩猎”行动范围以对对手开展集体反制措施的可能性。

文章称,“前出狩猎”行动催生于美国网络司令部的“持续交战”战略和“前沿防御”作战概念,是该司令部“应伙伴国要求”开展的“严格防御性行动”;“前出狩猎”通过减轻共享网络上恶意攻击的危害来保护美国盟友和美国,并为美国提供有关对手方法的宝贵情报; “前出狩猎”行动涉及三大要素,包括监控盟友国的系统和网络以搜索威胁和恶意软件、收集并利用有关共同对手网络策略的情报来改善美国网络安全以及基于发现的威胁情况向盟友提供基于最佳实路的补救措施建议;公开记录中没有任何内容明确定义“前出狩猎”行动的界限,也没有任何证据表明“前出狩猎”行动对伙伴国家以外地区有直接影响;评估“前出狩猎”行动在国际法下的许可性首先需要审查行动是否违反了美国对伙伴国承担的任何国际法律义务,仅在盟国同意的情况下分析其系统和网络并不会引起国际法方面的担忧,但如无意中对伙伴国的系统或网络造成损害则可能出现问题;美国必须获得伙伴国的明确授权才能在其领土内开展网络行动,并且行动不得超出授权范围,包括可以访问的系统、网络和信息以及活动类型、行动目的和持续时间等。

文章提出,尽管“前出狩猎”可能会扰乱对手在网络空间的目标,但向盟友提供网络防御援助并不会违反对对手承担的国际法律义务,从对手的角度开展的任何法律分析都应侧重于对对手的系统、网络和信息的影响;通过“前出狩猎”行动了解对手的网络策略并不会侵犯对手的主权,但如果行动造成足够的损害则可能越界构成主权侵犯;帮助伙伴国渗透对手的系统并禁用恶意网络行为的根源, 将是“前出狩猎”在未来合作行动中的合理延伸,将迫使对手停止导致国际不法行为的持续网络侵略,但这可能会引发对侵犯对手主权的担忧;美国与其盟友间的合作必须继续避免在对手网络上开展此类行动,或者以允许违反对对手承担的国际法律义务的活动的法律依据为基础,包括反制措施;国家在采取反制措施时面临重大限制,包括行动目标、方式、持续时间和影响等;各国普遍承认可以采取反制措施来应对网络空间的国际不法行为,但存在争议的是另一个国是否可以合法地代表受害国实施网络反制措施,爱沙尼亚、新西兰、哥斯达黎加等国表示支持集体反制措施,而法国等国则质疑或拒绝集体反制措施。

文章建议,接受网络空间的集体反制措施将为“前出狩猎”行动提供更多合作空间,使协作行动从仅仅帮助合作伙伴识别和分析其系统上的威胁扩展到帮助合作伙伴从源头阻止恶意活动;美国需要在当前纯防御性的“前出狩猎”结构外扩展合作范围,在专注于防御网络空间的网络空间保护团队(CPT)外纳入不同的网络部队,如致力于防御性网络空间行动-响应行动(DCO-RA)或进攻性网络空间行动(OCO)的团队;虽然围绕扩大“前出狩猎”行动范围的法律问题更加复杂,升级风险也更大,但当前“前出狩猎”模式的成功表明,美国及其盟友有充分的理由接受集体反制模式,不仅在收集信息和修复损害方面,还在防止对手进一步侵略方面,从而可以更充分地获得“前沿防御”和“持续交战”的裨益。

奇安网情局编译有关情况,供读者参考。

“前出狩猎”的国际法律框架

和集体对策案例

摘要:美国网络司令部的“持续交战”战略和“前沿防御”作战概念催生了“前出狩猎”行动。正如美国网络司令部所描述的那样,“前出狩猎”行动是美国网络司令部“应伙伴国要求”开展的“严格防御性行动”。“前出狩猎”通过减轻共享网络上恶意攻击的危害来保护美国盟友和美国,并为美国提供有关对手方法的宝贵情报。美国网络司令部已公开报告了在乌克兰、拉脱维亚、阿尔巴尼亚、爱沙尼亚和其他国家成功的“前出狩猎”行动。

本文利用公开来源,包括美国网络司令部报告和媒体评论,全面介绍了“前出狩猎”的能力、行动和局限性。本文认为,“前出狩猎”已经在世界各地开展了许多成功的行动,使美国及其盟友受益。然后,本文分析了“前出狩猎”在国际法下的基础,并得出结论,公开描述的当前行动是允许的。本文接着指出,尽管“前出狩猎”计划纯粹是防御性的,但未来的合作行动应包括协助削弱对手对美国及其盟友开展恶意网络攻击的能力。为了为合作行动提供进一步的喘息空间,全球社会应肯定使用集体反制措施,爱沙尼亚和哥斯达黎加等一些国家已经接受了这一概念,而加拿大和法国等其他国家则对此表示质疑。

关键词:反制措施、主权、前出狩猎、报复、间谍活动

1

引言

过去十年,美国的网络战略不断演变,以应对新威胁,逐渐从主动防御战略(一旦对手进入美国网络即予以打击)转变为“前沿防御”模式,即在美国境外运作,在威胁抵达美国前予以阻止。最近,美国国防部在2023年《美国防部网络战略摘要》中表示,“将继续通过破坏恶意网络行为者的活动并破坏其支持生态系统来实施前沿防御”。

“前沿防御”并不是2023年网络战略的新内容。五年多来,美国国防部一直将这种作战概念作为其持续与网络对手交战战略的关键组成部分。2023年战略摘要中最值得注意的是,美国国防部专注于与“我们的全球盟友和合作伙伴”密切协调,开展前沿防御。正如美国国防部在其战略中指出的那样,自2018年以来,其“定期与我们的盟友和合作伙伴合作,帮助识别其政府运营网络上的漏洞”,这些活动“有助于美国的网络安全准备,增强了联合部队的作战能力,并与包括乌克兰在内的许多国家建立或加强了强有力的信息共享关系。”美国国防部将这些行动称为“前出狩猎”。截至2023年9月,美国网络司令部已将“前出狩猎”团队部署到24个国家的77个网络上,时任美国网络司令部司令的保罗·中曾根在2023年称“前出狩猎”行动“取得了巨大成功”。例如,乌克兰认为俄罗斯入侵前开展的“狩猎前行”行动帮助其在入侵初期维持了火车服务。仅在2023年,“前出狩猎”就向公众发布了90个恶意软件样本。但“前出狩猎”究竟是什么?

美国网络司令部将“前出狩猎”行动定义为“应伙伴国要求,由美国网络司令部开展的严格防御性网络行动”。如果美国网络司令部团队受到伙伴国的邀请,他们会被部署“观察和检测东道国网络上的恶意网络活动”。美国网络司令部报告称,“前出狩猎”行动“可产生见解,加强美国国土防御,提高共享网络抵御网络威胁的能力”。美国将“前出狩猎”的调查结果公开,使得公司能够修补软件并“消除对手的网络访问和能力”。

虽然美国网络司令部的一般性描述为“前出狩猎”可能涉及的国际法问题提供了一些线索,但军事网络合作行动本身的敏感性意味着许多细节不能公开。尽管如此,美国网络司令部已向新闻媒体和以书面声明形式公开描述了许多“前出狩猎”行动。本文第二部分回顾了这些公开声明,试图更清楚地描绘出“前出狩猎”的范围。第三部分将国际法原则应用于这些事实,并认为,更广泛地接受集体反制措施可以建立在“前出狩猎”和类似的合作网络行动成功的基础上,从而更有效地应对对手的国际不法行为。

2

“前出狩猎”的要素

美国网络司令部对“前出狩猎”行动的公开描述有助于填补该行动总体定义中的一些模糊之处。

(一)搜索威胁和恶意软件

在“前出狩猎”行动描述中,最常见的要素之一是监控盟友的系统和网络是否存在恶意活动。例如,在描述2020年爱沙尼亚国防军网络“前出狩猎”行动时,美国网络司令部表示,美国和爱沙尼亚网络专家“在关键网络和平台上搜寻恶意网络行为者”。合作伙伴国家可以确定此评估的方向。在2023年立陶宛的“前出狩猎”行动中,美国人员“分析了合作伙伴确定并优先考虑的关键网络,以寻找恶意网络活动的证据,同时识别漏洞”。同样,在2022年伊朗对阿尔巴尼亚政府发动一系列网络攻击后,美国网络司令部向阿尔巴尼亚派遣了一支“前出狩猎”团队,为期3个月,“搜寻恶意网络活动并识别阿尔巴尼亚选择的网络上的漏洞”。

在2023年的一次采访中,时任美国网络国家任务部队指挥官威廉·哈特曼强调,此次评估是应伙伴国的邀请进行的。威廉·哈特曼表示,第一步是检测“异常活动”,“团队进行调查,最终他们将决定是否存在潜在的恶意IP,或者他们发现的恶意软件是好是坏。”他称,美国网络司令部在提供知情援助方面具有独特的优势,因为它与美国国家安全局及其网络安全部门设在同一个总部。威廉·哈特曼称,“我们可以获取网络安全主管掌握的有关针对美国或盟友和合作伙伴的对手的信息,所以我们最终想要执行一项情报驱动的任务。因为我们有情报告诉我们,威胁我们的对手也在威胁我们的某个合作伙伴。”这种专业知识使“前出狩猎”行动具有独特的优势,可以帮助合作伙伴检测其系统和网络上的威胁。

(二)收集情报

对美国来说,“前出狩猎”的主要好处是收集有关共同对手网络策略的情报,并利用这些情报来改善美国的网络安全。负责美国网络司令部J5事务的美国空军国民警卫队主任特别助理里德·诺沃特尼准将在2023年6月的一次会议上表示,“我们执行这些‘前出防御’任务,‘前出防御’任务的全部目的是了解其他人的网络、合作伙伴网络、其他国家网络的情况,以便我们能够带回这些信息并确保我们的网络更加安全。”

例如,美国网络司令部表示,在SolarWinds遭受攻击后开展的“前出狩猎”行动“获得了8份归属于俄罗斯对外情报局(SVR)APT29的文件”并且“获得了有关对手策略、技术、程序和意图的信息”。在讨论与驻拉脱维亚的加拿大武装部队开展的联合“前出狩猎”行动时,美国网络司令部指出,这些行动“让我们提前获悉了对手的工具和技术”。

情报收集不仅使盟友受益,也使美国自身受益。例如,保罗·中曾根与高级顾问迈克尔·苏尔迈在一篇2020年发表在《外交事务》上合著文章中写道,“前出狩猎”行动部分承担了美国在2018年破坏“破坏中期选举的协同努力”。同样,在2022年4月的美参议院听证会上,保罗·中曾根吹捧“前出狩猎”的情报价值在于“了解我们的对手在做什么,并且……广泛分享,不仅与我们的合作伙伴和北约,也与私营部门分享。”通过在伙伴国的系统和网络上开展行动,美国获得了有关对手方法和技术的宝贵见解,而美国与伙伴国共同制定的应对这些威胁的战略可能会在美国以后面临来自对手的类似威胁时派上用场。

(三)协助盟友进行补救

对于美国盟友来说,“前出狩猎”的一个主要好处是帮助其补救对手造成的损害。时任美国网络国家任务部队指挥官威廉·哈特曼在2023年的采访中表示,“前出狩猎”行动涉及在盟友网络上使用非机密设备。他称,“当我们在网络上发现恶意软件或某种类型的配置错误时,我们会指示合作伙伴,合作伙伴将在自己的网络上采取补救措施。”他将美国的一些补救支持描述为基于最佳实践向盟友提出的建议。

但是,除了补救建议之外,美国还提供了什么援助?公开的“前出狩猎”描述并未提供更多细节。尽管美国网络司令部将这些行动描述为“严格防御”,但目前尚不清楚防御行动与其他行动之间的界限究竟在哪里。例如,在描述2021年12月至2022年3月与乌克兰的“前出狩猎”行动时,美国网络司令部写道,美国“开展了针对关键网络的网络防御活动”。2021年的一篇关于“前出狩猎”的文章抓住了“严格防御”术语中的模糊性:记者布拉德·威廉姆斯在新闻网站Breaking Defense上写道,“事实上,在网络空间中,很难在进攻和防御之间划一条明确的界限。例如,如果美国网络司令部在对手疑似袭击美国之前破坏其基础设施,这是进攻行动还是防御行动?”威廉姆斯报道称,美国网络司令部副司令、空军中将查尔斯·摩尔“将美国网络司令部从足球队(球场上同时只有进攻或防守)演变为更像曲棍球队(任何特定的阵线变化都同时发挥进攻和防守作用)。”

简而言之,没有公开记录证据表明美国的补救援助超出了为伙伴国家提供技术建议和援助以加强对对手的防御范围。但对“前出狩猎”和未来合作努力的潜力的任何法律分析都应考虑这些行动对对手系统的可能影响。“前出防御”的一个组成部分是“布局”(positioning),美国网络司令部将其描述为“一种前沿网络态势,可以利用它来持续削弱对手能力的效力,并在对手进入美国网络之前削弱他们的行动和行动。”此类活动应成为未来合作的一部分,使美国及其盟友能够减轻共同对手持续攻击的影响。

3

“前出狩猎”、国际法和集体反制措施

本节分析了国际法下“前出狩猎”行动的许可性,并探讨了美国及其盟友在对抗共同对手的斗争中进行更强有力的合作的可能性。如上所述,公开记录中没有任何内容明确定义“前出狩猎”行动的界限。也没有任何证据表明“前出狩猎”行动对伙伴国家以外地区有直接影响。

本节的第一部分探讨了在伙伴国的物理领土、系统和网络上开展“前出狩猎”行动的国际法律问题,以及适当授权的重要性。第二部分探讨了协作行动对对手的影响的更棘手的国际法律问题,并认为,更多地接受集体反制措施将使美国及其盟友在对手实施国际不法行为时有更大的灵活性来充分利用“前出狩猎”的作战优势。

(一)围绕伙伴国的国际法律问题

根据“前出狩猎”,美国军队可以在盟国领土内开展网络行动,并可能监控盟国的系统或网络,以识别和补救敌对威胁。这些行动符合国际法,因为美国是在伙伴国同意的范围内行动的。

评估“前出狩猎”行动需要审查这些行动是否违反了美国对伙伴国承担的任何国际法律义务。仅在盟国同意的情况下分析其系统和网络并不会引起国际法方面的担忧。但如果美国的“前出狩猎”行动无意中对伙伴国的系统或网络造成损害,则可能会出现问题。在这里,美国必须获得伙伴国的明确授权才能在其领土内开展网络行动。可以肯定的是,至少有些国家认为,即使未经同意,一些轻微的网络危害也不会自动导致主权侵犯。

即使可能允许进行造成微不足道损害的网络行动,“前出狩猎”行动也必须始终基于明确界定的同意,并且不得超出该同意的授权范围。美国应格外小心,确保授权定义明确,并描述美国人员可以访问的系统、网络和信息的每个具体部分。该授权还应明确规定“前出狩猎”允许的活动类型以及行动的目的和持续时间。

(二)围绕对手的国际法律问题和集体反制措施案例

尽管“前出狩猎”行动是在伙伴国的物理领土上开展的,且具有严格的防御性,但对未来合作潜力的任何法律分析都应考虑到对对手网络可能产生的影响。

仅仅补救和防止对伙伴国系统造成进一步损害可能会挫败对手的目标,但很难看出这种援助会如何违反对对手承担的国际法律义务。尽管“前出狩猎”可能会扰乱对手在网络空间的目标,但帮助他们的目标加强防御并不会引起国际法下的任何合理担忧。从对手的角度进行的任何法律分析都应侧重于对对手的系统、网络和信息的影响。

公开的“前出狩猎”行动描述表明,美国从“前出狩猎”行动中受益的主要之一就是了解对手的网络策略。这种在伙伴国领土上进行的信息收集并不侵犯对手的主权。根据国际法的多数观点,即使“前出狩猎”行动导致美国观察到对手的系统,美国也不会侵犯主权。虽然网络间谍活动本身并不违反国际法,但如果这些行动造成足够的损害,则可能越界,构成主权侵犯。需要明确的是,“前出狩猎”行动的描述并不表明在对手系统内开展间谍活动,更不用说对这些系统造成损害的行动了。但在审查未来相互网络行动的允许法律范围时,这些考虑很重要。

同样,对“前出狩猎”的描述并不表明美国的“前出狩猎”行动包括帮助伙伴国渗透对手的系统并禁用恶意网络行为的根源。但此类行动将是“前出狩猎”在未来合作行动中的合理延伸,并允许美国及其盟友共同努力,迫使对手停止导致国际不法行为的持续网络侵略。此类行动可能会引发对侵犯对手主权的担忧。因此,美国及其盟友之间的合作必须继续避免在对手网络上进行此类行动,或者以允许违反对对手承担的国际法律义务的活动的法律依据为基础。

对此类活动的一个合理的法律依据是反制措施,根据美国学者迈克尔·施密特和肖恩·沃茨的说法,反制措施是“针对另一国违反国际法义务而采取的非强制性的,但在其他方面属于非法的行为。”2001年《国家对国际不法行为的责任条款草案》的评注指出,“一国实施国际不法行为,可能成为受该行为损害的另一个国家采取非强制性反制措施以促使其停止行为并获得损害赔偿的正当理由。”

国家在采取反制措施时面临重大限制。采取反制措施的国家“只能针对对国际不法行为负有责任的国家采取反制措施,以促使该国履行其国际法义务”。反制措施的众多要求之一是“仅限于采取措施的国家暂时不履行对责任国的国际义务”,并且必须“以允许恢复履行相关义务的方式采取”。反制措施还受比例原则的约束,这意味着它们“必须与所遭受的损害相称,同时考虑到国际不法行为的严重性和相关权利”。

因此,为了本文讨论反制措施,我们假设对手对美国盟友实施了国际不法行为。例如,假设A国持续对美国盟友B国的政府服务器开展拒绝服务攻击。假设拒绝服务攻击构成违反国际法律义务的行为,B国有权对A国采取相应的反制措施,以终止国际不法行为。

事实上,各国普遍承认可以采取反制措施来应对网络空间的国际不法行为,《塔林手册》也持类似立场。虽然受害国实施网络反制措施的能力得到普遍认可,但一个更具争议的问题是,另一个国家是否可以合法地代表受害国实施网络反制措施。换句话说,美国能否代表受害盟友B国对A国采取反制措施?《国家对国际不法行为的责任条款草案》触及了与此类“集体反制措施”有关的问题,但并未明确表态是否允许采取集体反制措施。第48条允许非受害国“援引另一国的责任”,前提是“所违背的义务是对整个国际社会承担的”,但该条并未明确提及集体反制措施。国际法委员会在《国家对国际不法行为的责任条款草案》评注中称,“似乎没有明确承认第48条所指的国家有权为集体利益采取反制措施”,因此,“在现有条款中列入有关第48条所指其他国家是否有权采取反制措施以促使责任国履行其义务的问题的规定并不恰当。”起草条款时的国际法委员会特别报告员詹姆斯·克劳福德后来写道,集体反制措施的提议分歧太大,不宜纳入。

大多数关于网络空间国际法的国家立场声明只字不提集体反制措施。起草《塔林手册》的专家对其许可性存在分歧。大多数专家的结论是“所谓代表另一国采取的反制措施是非法的”,但少数专家的结论是“非受害国可以针对对受害国的国际不法行为采取反制措施,只要后者要求其这样做。”对于“一国是否可以协助另一国采取反制措施”,专家们的分歧更大。

在《国家对国际不法行为的责任条款草案》发表近二十年后,在《塔林手册》第二版发表两年后,集体反制措施的合法性问题再次浮出水面。在2019年网络冲突国际会议 (CyCon)上,爱沙尼亚总统克尔斯季·卡柳莱德宣布了爱沙尼亚的立场,“未直接受害的国家可以采取反制措施,支持直接受到恶意网络行动影响的国家”。此后,其他一些国家也采取了这一立场。新西兰在2020年12月关于网络空间国际法的声明中表示,“它对受害国在有限情况下可以请求其他国家协助采取相称的反制措施,以促使违反国际法的国家遵守规定的主张持开放态度”。哥斯达黎加在其网络法立场声明中更强烈地支持集体反制措施,“各国可以采取网络或非网络反制措施,集体应对构成国际不法行为的网络或非网络行动”。爱尔兰在2023年表示,集体反制措施“在有限情况下是允许的”。

一些国家质疑或拒绝了爱沙尼亚对集体反制措施的立场。加拿大虽然对援助受害国的一般概念持开放态度,但指出它考虑过集体反制措施,但“迄今为止,没有看到足够的国家实践或法律确信来得出结论说这些措施在国际法下是允许的。”法国进一步拒绝承认这一概念,称“集体反制措施未获授权,这排除了法国采取此类措施以应对侵犯另一个国家权利的可能性。”

“前出狩猎”的成功有利于全球更广泛地接受集体网络反制措施。可以肯定的是,美国一直将“前出狩猎”描述为纯粹的防御性行动,并没有描述任何需要证明反制措施正当性的行动。但接受网络空间的集体反制措施将为此类行动提供喘息空间,以便更有效地进行合作。集体反制措施将使协作行动从仅仅帮助合作伙伴识别和分析其系统上的威胁(如“前出狩猎”)扩展到帮助合作伙伴从源头阻止恶意活动。

例如,假设一个小国,其地方政府计算机系统经常受到敌对大国传播的恶意代码的攻击。恶意软件通常会阻止地方政府开展日常工作和为选民提供服务。此类恶意行为可能违反国际法律义务,并将使目标国有权采取有限和相称的反制措施,以终止恶意行为。例如,小国可能会远程禁用作为恶意软件来源的对手的计算机系统。但想象一下,小国缺乏实施此类行动的技能、知识和人员。根据集体反制措施原则,美国“前出狩猎”团队可以直接对对手开展行动,也可以协助小国开展行动。这样的行动不仅会通过阻止对其系统的恶意操作使小国受益,而且还会通过削弱未来针对美国系统的潜在行动的来源使美国受益。

对集体网络反制措施的合理批评是,它们容易被滥用,并可能加剧紧张局势。虽然这种担忧是可以理解的,但可以减轻这种担忧,因为对线下世界的反制措施施加的限制也适用于网络空间。例如,反制措施必须是“相称的”,即“与所遭受的伤害相称,考虑到国际不法行为的严重性和相关权利。”在上例中,如果对手的计算机是恶意软件的来源,则允许的反制措施可能包括使对手的计算机离线,但对更大规模的电信系统发动更广泛的攻击是不相称的。集体反制措施只能以迫使对手方“履行其在国际法下的义务”为目的,且各国必须在“责任国履行其在国际法下的义务后”立即终止其反制措施。换言之,集体网络反制措施并不是让未受害国攻击对手、加剧紧张局势的一张“空白支票”。

可以肯定的是,我的建议将需要在当前纯防御性的“前出狩猎”结构之外大大扩展合作。它将需要不同的人员,不仅仅是专注于防御网络空间的网络空间保护团队(CPT),还包括致力于防御性网络空间行动-响应行动(DCO-RA)或进攻性网络空间行动(OCO)的团队。虽然围绕我的建议的法律问题更加复杂,升级风险也更大,但当前“前出狩猎”模式的成功表明,美国及其盟友有充分的理由接受集体反制模式,并与盟友合作,不仅在收集信息和修复损害方面,而且在防止对手进一步侵略方面。

4

结论

“前出狩猎”行动的前五年不仅为伙伴国家带来了巨大好处,也为美国带来了巨大好处。通过帮助盟友识别其网络上恶意网络行动的来源,美国获得了可用于国内安全的宝贵情报。只要美国获得伙伴国家的明确和具体授权,“前出狩猎”行动(如公开所述)不会引起国际法方面的担忧。更广泛地接受集体反制措施将使美国及其伙伴能够进一步利用合作来削弱对手的能力。虽然对滥用集体反制措施的担忧是合理的,但国际社会可以通过应用各国在反制措施一般法则下面临的相同限制来解决其中许多问题,包括比例原则以及目的和持续时间的限制。通过采用集体反制措施,将合作扩展到“前出狩猎”之外,将更充分地实现“前沿防御”和“持续交战”的好处。

声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。