国家黑客行动、网络威慑以及国际规范需求

编者按

美国纽约大学全球事务中心帕纳约提斯·扬纳科乔格斯博士（Panayotis Yannakogeorgos）就国家支持的网络黑客活动发表看法。扬纳科乔格斯表示，在全球还未出台监管和平时期网络攻击和网络间谍的法律和规范的背景下，美国对恶意活动的公开曝光和起诉达到了三重目的：一是就负责任国家行为体如何利用网络空间中的政府资源向全球发出清晰的信号；二是有助利构建与盟友及合作伙伴国共同应对网络威胁的框架；三是通过曝光恶意网络活动技术信息向威胁者施加成本。此外，在网络攻击公开归因方面，美国通过强健执法、公私合作伙伴、网络威胁情报公司以及ISAC信息共享等方式取得长足进步，同时已开发出非常强健的归因分析框架。奇安网情局编译有关情况，供读者参考。

随着时间的推移，由国家支持的黑客攻击已成为一个越来越严重的问题，这些黑客攻击者们不仅窃取金钱、信息、信用卡数据、知识产权以及国家机密，还会探查关键基础设施。

当由俄罗斯、朝鲜和伊朗支持的APT组织受到了西方国家的大多数关注时，其他国家也开始“凑热闹”。

对各方而言，这似乎是自由的。因为，全球还未出台监管和平时期网络攻击和网络间谍的法律和规范，也未找到使民族国家恪守这些法律和规范的方法。

帕纳约提斯·扬纳科乔格斯博士指出，到目前为止，欧盟、美国和其他志同道合的同盟国都接受了一项有关网络犯罪的国际条约，即欧洲委员会《网络犯罪公约》。但该公约曾受到俄罗斯和中国的质疑，因此其并非全球性的，仅仅适用于签署者。

扬纳科乔格斯博士是纽约大学全球事务中心的教授和系主任，负责关于全球安全、冲突和网络犯罪的研究生学位课程。他认为该条约可能是世界各国协调其国内刑法的良好典范，也是与俄罗斯和中国开始漫长外交谈判以制定国际网络刑法的方式。

一、网络威慑策略

与此同时，各国在制定网络威慑战略时只能诉诸自身手段。

美国一直将网络间谍活动公开地归因于由国家支持的APT组织，并定期发布与这些间谍活动有关的技术信息。对涉嫌从事破坏经济、国家安全或公共安全相关黑客活动的外国个体，美国的立法者一直在提议新的法规以实施制裁。美国司法部也一直在稳步提出针对这些由国家支持的网络攻击者及间谍的诉讼。

扬纳科乔格斯博士称，尽管美国司法部的起诉不太有望能引渡这些被指控窃取公司或国家安全机密的黑客，但起诉和其他形式网络恶意活动公共归因可以服务于除公共曝光以外的多个目的。

他解释称，“首先，它们就一个负责的国家行为体应如何利用网络空间中的政府资源向全球发出清晰的信号。也就是说，为了维持公平自由的贸易，在全球竞争环境中，一个国家的情报部门不应该参与窃取公司机密，更不该将这些机密移交给以能让他们自身在全球贸易中获得竞争优势的公司。”

“其次，发表明确归因声明有助于建立一个框架，美国可以在该框架内与伙伴及盟友共同应对威胁。这包括与盟国的联合声明或多边声明，从而宣布威胁来源以及网络间谍活动所用基础设施的技术特性。”

最后，当进行公共归因时，通常还会发布入侵技术指标、所用工具软件以及其他方面的信息。

“这些技术信息发布具有非常实际的影响，因为它们‘烧毁’了威胁者花费时间、金钱和人才来开发的基础设施，从而导致威胁者不得不重新构建或更换。当然，如果目标尚未调整网络防御以阻断已知攻击路径，那么恶意软件和其他设施就仍然可以对目标造成不利。网络防御是一件困难的事情，因为从归因报告中入侵的公开指标出发存在复杂的时间维度；但是，一旦全世界都知道了，黑客成功入侵目标的成本也就增加了。”

“总体来说，专注于塑造威胁行动的策略需要纳入主动拆除已知的威胁基础设施。在美国范围内，这已被表述为通过‘前沿防御’战略而不断与对手交战。”

二、攻击归因问题

还需要解决如何处理和确认网络攻击归因的问题。

扬纳科乔格斯博士表示，虽然网络攻击的归因绝对不像“现实世界中看到的枪支冒烟”那样清晰，但有了强健执法、公私合作伙伴、网络威胁情报公司以及ISAC信息共享，美国已经取得长足进展，不仅在弄清网络空间犯罪始作俑者方面，还包括逮捕全球网络罪犯网络。

当然，当这些行为者为一个民族国家工作或代表一个民族国家工作时，事情将变得更加棘手。

他解释称，“如果这些活动是秘密行动的一部分，那么从定义上说，政府将尽其所能‘合理否认’其行动。对于网络空间之外的活动也是如此。各国可以互相指责，并列出证据。被告可以否认并称这些指控是捏造的。”

“但是，至少在美国，我们已经开发了一个非常强健的归因分析框架，可以消除盟友间的合理怀疑，并可以向对方计划者发出明确的信号。这样的分析框架本身可以成为一种规范，以帮助提高将网络活动归因于特定国家的证据标准。”

几年前，保罗·尼古拉斯（当时是微软全球安全战略总监）和不同的研究人员提议创建一个独立的全球性组织，以对重大网络攻击进行调查和公开归因。尽管他们承认在某些情况下，决定性的归因可能是不可能的。

最近，弗吉尼亚大学法学院主攻网络安全问题和网络法专业的克里斯汀·艾森瑟教授提出，“各国应制定一项国际法要求，公共归因必须得有足够的证据，以便能够交叉检查或证实指控”，而不仅限于盟国之间。

扬纳科乔格斯博士称，“在民族国家网络运用领域，联合国内部已经进行了近二十年的对话。最近的一次，联合国政府专家组就负责任国家行为准则进行了讨论，并发表了不具约束力的声明以指导各国发展网络能力。”

“此外，私营部门参与者，诸如宣布需要制定网络空间日内瓦公约的联盟，也在阐述规范方面发表意见。学者们也通过学术团体阐述规范，例如参与研究、讨论和撰写《塔林手册》1.0和2.0的人员。”

他表示，尽管明确具体规范并就此达成一致无疑是一项艰巨的任务，但让签署国实施这些规范将更加困难。

他总结道，“宣扬‘在和平时期各国不得将对方的网络空间关键基础设施列为攻击目标’是一回事，而对据称不仅将关键基础设施列为攻击目标还实质性地造成数字损害的国家进行公开回应又是另外一回事。”

声明：文章仅供交流参考，不代表本机构立场。

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。