近年来,我们看到以美国为代表的国家发布了大量APT组织报告,包括针对中国的APT1、APT3、APT10,俄罗斯APT28、APT29以及朝鲜APT37、APT38、Lazarus Group等组织,并发起对中国、俄罗斯、朝鲜等国家人员的司法起诉。目前,有关APT组织归因的话题已经成为网络空间国家博弈的重要内容,对全球网络空间安全态势造成重大影响。
一、美国网络空间威胁归因能力特点
美国政府高度重视网络空间威胁归因能力建设。特朗普任内首份《国家安全战略》报告中,强调“投入资源以支持并提升实现网络攻击归因的能力,确保有能力作出快速反应”。2018年以来美主要政策文件纷纷强调溯源归因能力建设的重要性,是美军实施反制的主要依据。
一是美已形成政府、企业多方配合网络威胁归因体系能力。美国网络安全公司是追踪APT组织的主力,如火眼、赛门铁克等众多网络安全企业拥有足以同政府情报和执法部门相媲美的数据情报收集与分析水平。同时,这些企在技术与数据上相互合作、互相呼应,在APT组织追踪上接力实施,体系发力,迅速形成压倒性影响。从已披露情况看,美众多网络安全企业围绕有关组织的特征信息等信息,进行了大范围的追踪溯源和关联分析,表现出了高度的一致性。
二是美在网络威胁归因具有技术与数据的突出优势。美安全公司发布的报告之所以能够起到这么大的影响力,归根到底是其具有强大的技术支撑,能够在技术层面形成证据链。从已发布的ATP3、APT10等追踪过程可以看出,美国掌握的全球数据在其中起到关键作用,这些是其他国家难以媲美的。匿名组织Intrusion Truth在分析中,甚至查询了2009年的Whois信息和优步软件等社会数据,这些早期的数据信息和社交软件数据没有美国政府支撑,一般组织是难以获得的。
三是美国网络安全企业积极发展网络威胁归因能力具有明显政治导向因素。从当前美国曝光APT黑客组织的情况看,政治性明显,突出了国家政府支持的APT组织信息,范围集中在美国的竞争对手或特定的问题国家,而对于美国政府及其盟友所实施的黑客行为则完成没有涉及。美国的网络安全私营企业与政府有着极其密切的合作,通过网络防务承包,两者已经形成了紧密且十分庞大的网络安全产业复合体。
二、美网络威胁归因能力产生的全球性影响
美国当前形成了相对于其他国家的极不对称网络攻击归因能力,不仅提升了网络空间话语权,对全球网络空间安全体系也构成了潜在重大影响。
一是折射出美强大的网络监控能力,对他国网络安全构成直接威胁。从目前全球曝光APT组织的情况看,主要集中在中国、俄罗斯、朝鲜、伊朗等国家,而有关美国的组织则非常少,这反向说明美国在网络空间几乎形成了对其他国家单向透明的监控优势。美国通过政企合作、五眼联盟等国际合作机制,在部门间、盟国间开展深度信息合作与数据共享,对其他国家的网络空间活动进行了全方位的监控监视,极大的威胁其他国家安全。从斯诺登公开的信息来看,美情报机构在网络监控与侦察工作中,已全面采用大数据技术,可利用关键字、语音和图像特征从截获的海量信息中自动分析筛选有价值信息,并整合高价值情报。
二是归因与执法相结合,对他国网络空间活动构成现实威慑。近年来,美国政府已经多次将网络归因能力与执法、经济制裁相结合,以打击对手。美国披露APT组织多发生在政府发布某些针对别国的外交政策前后,以证明其外交政策的正当性。美国的网络归因能力已经形成一种国际威慑力度,成为美国网络空间威慑战略的重要支持,其他国家在这种威慑下,不得不越来越谨慎。美特朗普政府《国家网络空间战略》,再次强调这种与归因相结合的威慑策略。可以预见,美国网络安全企业和执法机构将会进一步加强网络空间安全事件归因能力和调查力度。美一直将中国、俄罗斯、伊朗、朝鲜作为网络空间的主要威胁,针对中、俄的网络安全溯源行动必将更加频繁,使中、俄网络空间国际环境处于更加不利的地位。
三是通过网络归因确定目标,为对他国实施网络攻击提供依据。美国的网络进攻性战略意图越来越明显,美国国土安全部、国防部和白宫所发布的多个网络空间战略,都强调了对网络攻击活动的归因反制。美军网络司令部133支网络任务部队已经实现全面作战能力。并且,特朗普于2018年8月15日推翻了奥巴马签署的“第20号总统政策指令”(PPD-20),取消“在能导致‘重大后果’的网络行动前需层层审批并取得总统首肯”的限制,参议院军事委员会议员迈克·朗兹称赞该决定,并认为替代方案“将允许军队可采取更为迅速的方式进行进攻性反应”,给予网络司令部更大自由度。美国的网络归因措施将很可能成为美国发动网络战的主要依据。
四是不断宣扬中俄APT组织威胁,借势推动“武装法”适用于网络空间。中俄与美西方国家在国际法适用于网络空间的一个核心分歧,就是网络空间军事化议题。美希望武装冲突法适用于网络空间,这样凭借其绝对的网络归因技术优势,为以传统军事力量手段发起“自卫”提供国际法依据。而中俄等则要避免因溯源技术有限而无法如强国般拥有谴责、自卫等权利,进而过于被动,完全丧失话语权、且长期处于遭受物理袭击的风险中。美长期炒作其他国家的APT组织威胁,也是为其争夺网络空间国际法的主导权方面造势发声。(倪俊)
声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
