美国学者评析乌克兰网络防御国际支持活动及经验启示

编者按

美国卡内基国际和平基金会技术和国际事务项目非常驻学者尼克·比克罗夫特近日采访参与保护乌克兰网络空间的组织机构代表，从而总结协助防御乌克兰网络空间国际活动的范围，并揭示俄乌战争对国际集体网络防御的五大经验启示。

文章称，外国政府和世界大型技术和网络安全公司在保卫乌克兰网络空间方面发挥了重要作用，极大提高了乌克兰的网络防御深度和弹性。国际网络防御活动体现在六个方面：一是直接部署网络防御，即向乌克兰或其邻国派遣网络安全人员，例如美国网络司令部执行“前出狩猎”任务、欧盟启动网络快速反应团队；二是远程支持网络防御，即远程开展网络安全操作，例如美英资助私营部门向乌克兰提供网络安全服务、商业公司为乌克兰用户提供额外或免费的安全服务；三是提供网络威胁情报，即共享攻击活动、敌方手段和战略评估等情报，例如美国政府机构与乌克兰共享情报、商业公司建立与乌克兰快速共享情报的机制；四是提供能力建设支持，涉及培训、机构建设和政策协调等，例如与乌克兰签署联合培训协议、吸呐乌克兰加入北约合作网络防御卓越中心、向乌克兰提供云培训服务；五是确保技术稳健技性，即提供硬件和技术措施以解决漏洞并减轻攻击的影响，例如西方政府捐助硬件、SpaceX公司提供军民两用Starlink卫星通信装备；六是通过云服务提供稳健性和弹性，即将数据和服务迁移到位于乌克兰境外并由商业云服务提供商运营的服务器，例如协助乌克兰将公私机构数据迁移到云端。

文章分析认为，俄乌战争并未揭示网络空间集体国际防御的现成蓝图，现在为持久或更广泛的集体防御伙伴关系确定模板还为时过早，但该场战争检验了多方利益相关者协作的概念并揭示出五大关键教训：一是私营部门实体拥有、运营和了解最广泛使用的数字服务，大规模的网络防御依赖于大型商业技术和网络安全公司的参与；二是网络空间中的政治和地缘政治同样重要，美国商业伙伴在国际网络防御机制中不可或缺；三是共同的价值观与共同的利益同样重要，从业者对网络空间行为共同价值观的承诺是长期保持网络安全有效性的关键因素；四是各国政府是涉及商业实体的大规模网络防御的催化剂和资助者，包括召集并赋予合法性、与商业机构建立相互信任和理解以及调动公共财政资助等；五是国际网络弹性建立在能力建设的基础上，但也关键依赖于迅速增强能力以增援遭攻击盟友的能力。

奇安网情局编译有关情况，供读者参考。

评估对乌克兰网络防御的国际支持

概括：支持乌克兰网络防御的国际努力提高了能力，同时利用了各种行为体的潜力。但有关各方并未宣布胜利，需要采取具体措施来维持势头。

西方领导人一直明确表示，他们不会派遣军队在乌克兰作战。然而，在数字领域，西方政府、军事和商业行为者正在直接与俄罗斯攻击者对垒，并承担起保卫乌克兰网络和数据的一系列责任。在战争的前6个月，这个临时联盟面临着一场激烈的俄罗斯网络攻击。

尽管网络攻击的频率有所提高，但俄罗斯备受恐惧的网络战并没有像许多专家预期的那样实现。加强乌克兰网络防御的国际努力在提出的各种理论中占有突出地位，相关理论解释网络作战在战争中的影响相对有限。但专家们对网络活动几乎每个方面的重要性存在分歧，包括声称国际援助有助于使一个相对较小的国家抵御世界领先的网络强国之一。本文调查了为协助防御乌克兰网络空间所做的工作，以评估随之而来的战略影响（如果有的话），并确定网络空间集体国际防御的价值和可行性的更广泛影响。

根据8个月的战争得出明确的结论还为时过早，但尽管如此，网络空间的活动已经发展到出现重要教训的地步。任何外部观察者都很难形成全面的活动图景，因此本文借鉴了对一些参与保护乌克兰网络空间的组织机构代表的采访。

金妮·巴达内斯（微软）、卢克·钱皮恩（英国外交及联邦事务部）、伯蒂·克尔（BAE Systems Digital Intelligence公司）、斯蒂芬妮·基尔（谷歌）、詹姆斯·缪尔（BAE Systems Digital Intelligence公司）、阿德里安·尼什（BAE Systems Digital Intelligence公司）、亚历山大·波提（乌克兰国家特殊通信和信息保护局）、克里斯蒂安·斯密茨（Cloudflare）、查理·斯奈德（谷歌）和艾丽莎·斯塔扎克（Cloudflare）。

本文的重点是自地面战争开始以来，乌克兰数字网络对俄罗斯攻击的防御。值得注意的是，这只是国际社会支持乌克兰网络空间努力的一部分，这些活动还包括打击虚假信息、生成开源情报以及利用数字平台进行人道主义援助和民防。不可避免地，分析偏向于参与者愿意讨论的那些活动；应该假设所描述的措施得到了大量秘密行动的补充。

一、争议说法

许多（尽管不是全部）战前评估预计网络攻击将在俄罗斯战役活动中发挥重要作用。战略背景表明，尽管乌克兰在防御俄罗斯网络攻击方面拥有丰富的经验，并且可以召集积极主动、能力较强的专家来保护关键目标，但它最终无法防止对数字网络和数据的重大损害和利用。乌克兰的实施优势将被俄罗斯的战略优势所超越，包括拥有一些世界上最强大的进攻性网络能力（尽管战略有效性值得商榷），以及在被认为有利于进攻而非防守的数字领域中运作。俄罗斯似乎在网络空间拥有决定性优势。

事实上，俄罗斯在地面军事行动前加强了其对乌克兰的长期网络攻击活动，并且在接下来的几个月里，它的攻击速度一直在加快。然而，袭击似乎只造成了有限的破坏，对俄罗斯的战争目标几乎没有战略价值。早期证据使乌克兰和美国高级官员称赞国际伙伴关系在加强乌克兰网络防御方面的重要性，而微软则宣称“一种新的集体防御形式已证明比进攻性网络能力更强大”。公开评论称网络行动不是战争的一个重要特征使一些相关人员感到沮丧，他们认为成功防御因缺乏活动而被错误地解释了。微软在2022年4月和2022年6月的公开报告部分旨在阐明在公共话语中未被承认的活动。开战6个月后，英国政府通信总部（GCHQ）负责人评估称，“我们可以说见证了历史上最有效的防御性网络活动。”

但与其他战争领域相比，在数字领域评估战略效果更加困难。一些学者声称，乌克兰战争表明了进攻性网络行动的固有局限性，而另一些学者则认为，“网络冲击和敬畏”的期望是不现实的，俄罗斯实际上已经利用网络行动对预期目标产生了巨大影响。尽管每个团体对战争的网络维度的解释非常不同，但两种观点都淡化了乌克兰的防御力量在决定俄罗斯网络攻击的战略价值方面的重要性。其他因素被认为更为重要，例如俄罗斯网络机构缺乏准备或慵懒倦怠，以及希望保留关键的乌克兰网络以供利用。

因此，评估支持乌克兰网络防御的国际努力是在对事件的不同评估和网络力量在此次和未来冲突中的作用的相互竞争理论的背景下进行的。

二、国际增援

俄罗斯在军事行动期间发起了密集的网络攻击活动，截至3月底对乌克兰目标发动了约800次攻击。乌克兰在防御俄罗斯网络攻击和从俄罗斯网络攻击中恢复方面拥有比任何其他国家更多的经验，但在战争初期很明显，乌克兰的七个网络安全机构面临着一项前所未有的任务，这可能会超出其防御能力，并暴露出其在弹性方面的严重漏洞。

因此，在乌克兰与潜在盟友的接触中，网络防御援助的请求很早就出现了，随着西方国家首都采取行动的势头，得到越来越多的回应。随着政治基础的到位，很明显，在网络空间产生实施效果的能力不仅取决于政府和军事机构，还取决于商业技术和网络安全公司的紧密结合。虽然西方官方机构可以利用与乌克兰合作伙伴的现有关系并拥有强大的工具和独特的能力，但只有拥有、运营和了解最广泛使用的数字服务的私营部门实体才能实现大规模的网络防御。一些世界大型技术和网络安全公司的领导层早期决定在保卫乌克兰方面发挥积极作用至关重要。

多年来，许多外国政府和网络安全公司已投资于乌克兰的网络能力建设。这些举措旨在为抵御俄罗斯网络攻击奠定基础，例如通过培训网络安全从业人员和改革法律法规。俄罗斯军事行动造成了无法通过旨在实现长期发展目标的计划来满足的紧迫性，而调动公共和私人资源催生了一些创新的伙伴关系。例如，英国外交及联邦事务部在国家网络安全中心的技术建议下，正在资助一项计划，使乌克兰机构能够获得商业网络安全公司的服务。安全提供者由乌克兰机构负责，并由英国外交及联邦事务部提供资金和协调。英国政府已经利用商业网络安全能力来立即发挥作用。虽然这种安排没有蓝图，但它与国际救灾计划有一些相似之处，其中赞助国政府催化和协调来自私营部门实施能力的交付。

英国外交及联邦事务部计划是一项国家倡议，所出现的国际防御活动并不是根据统一计划集中策划的，而是构成由国家和组织对战争和资源能力观点驱动的活动集合。成立于2016年的乌克兰国家网络安全协调中心在同步这些不同的行动和参与者方面发挥了关键作用。绘制活动图以形成战略观点是一项艰巨的任务，而且许多相关方，包括政府和商业机构，都选择不公开其行动。然而，在公共领域中已有足够的信息来形成一个基本的概念框架，以及说明性例子，揭示所开展的活动的范围。

下表列出了六项活动，这些活动涵盖了政府和商业参与者所承担的任务类型和所采用的能力。

乌克兰网络安全官员认为，这种国际援助对于限制俄罗斯网络攻击的有效性至关重要。事件响应和补救的规模远远超过乌克兰独自所能达到的规模，并且阻止了可能造成战略性伤害的攻击（尤其是通过Industroyer2恶意软件破坏乌克兰电网的企图）。威胁情报方面的合作实现了加速了解俄罗斯方法和共享态势感知。乌克兰计算机应急响应小组（CERT-UA）已成为威胁报告的多产来源。

防御活动的另一个决定性特征是美国大型技术提供商的整合，特别是亚马逊、Cloudflare、谷歌和微软。这些公司的能力增加了防御深度和弹性，远远超出了乌克兰可以独立实现的程度，包括：将乌克兰政府数据和服务迁移到分布式云服务器；为海量网络提供自动化保护，同时对高风险用户进行专门保护；不断更新从全球遥测中提取的威胁情报。

尽管如此，参与这项努力的所有各方都在声称成功将持续下去方面持谨慎态度。俄罗斯的网络行动似乎由在战争之前和早期阶段少量精心策划的进攻性网络行动组成（例如对卫星通信提供商Viasat的攻击），此后又恢复为简单（但多发和有时是激烈的）拒绝服务操作和基于网络钓鱼的攻击。为了产生更大的战略影响（例如，通过在相当深度和持续时间内破坏关键基础设施或基本数字服务），俄罗斯必须准备复杂的定制行动，可能需要数月的研究和准备活动。因此，一旦俄罗斯有足够的时间完成必要的行动周期，乌克兰就有可能遭受更具破坏性的网络攻击。同样，俄罗斯可能尚未部署其最先进的进攻性网络能力，要么是因为其可以通过动能攻击达到相同的效果，要么是因为这些能力一旦暴露就会变得过时，因此不愿意使用它们来对付除最高价值目标以外的任何事物。

更复杂的因素是，包括世界上最大的技术和网络安全公司在内的所有相关实体都无法全面了解俄罗斯对乌克兰的网络攻击。即使防御伙伴具有良好洞察力，某些类型的操作也可能难以或不可能被发现。在此方面，关键问题与间谍活动有关。作为战争的一部分，网络攻击的大部分关注点在于破坏、削弱或摧毁目标的可能性。然而，俄罗斯在使用网络入侵进行情报收集方面劣迹斑斑，而这些行动既难以被发现，也不会立即产生影响。国家行为者最常使用网络行动来塑造有利于自己的环境，而不是立即产生强制效果，俄罗斯有可能获得对网络的安全访问，并正在获取可能产生战略价值的情报。

三、未来蓝图？

从我的采访中得出的普遍观点是，保卫乌克兰网络空间是对一系列独特情况的特殊响应。因此，为持久或更广泛的集体防御伙伴关系确定模板还为时过早。然而，这场战争促使一家大型网络安全公司的一位首席执行官呼吁建立“技术北约”，微软总裁兼副主席布拉德·史密斯表示，这场战争表明需要“一个协调和全面的战略来加强网络防御”。俄乌战争可能没有揭示网络空间集体国际防御的现成蓝图，但它检验了多方利益相关者协作的概念，并在此过程中展示了五个关键教训。

教训一：大规模的网络防御依赖于最大的商业技术和网络安全公司的参与。这既因为对少数供应商服务的深度依赖，也因为国家级网络防御在很大程度上依赖于对数百万目标的自动保护的现实。

教训二：网络空间中的政治和地缘政治与其他任何地方一样重要。对乌克兰战争的反应并没有涉及类似于“技术北约”的战略和实施结构，而是依赖于在国家政府战略内开展的活动积累。要从乌克兰的响应演变为国际网络防御联盟的持久基础，还有很长的路要走。设计此类机制将要求各国政府面对这样一个事实，即网络防御最不可或缺的商业伙伴是美国的商业伙伴。即使是欧洲政府也可能会对依赖美国少数董事会做出的决定感到不安，更不用说那些对美国不那么看好的国家。就自身而言，这些美国公司通常不想在全球政治问题上表态，更愿意专注于保护用户和网络。

教训三：共同的价值观与共同的利益同样重要。商业实体参与乌克兰网络空间防御的原因是商业（展示能力和益处）、声誉（对外对政府、客户、投资者等，对内对员工）和规范（保护价值和防止伤害）。与大公司的商业利益相比，规范部分可能很容易被认为微不足道，但我采访的从业者表现出对网络空间行为共同价值观的真正承诺，尤其是在保护民用目标免受国家网络攻击方面。保持高节奏的网络安全行动已经考验了所有相关实体，保护乌克兰民主和挫败俄罗斯军事行动的动机一直是长期保持有效性的关键因素。

教训四：政府可以成为涉及商业实体的大规模网络防御的催化剂和资助者。技术和网络安全公司可能有动力参与国际网络防御，但大规模行动只能来自政府行使召集和赋予合法性的能力。如果政府和商业组织间已经建立了相互信任和理解，这个过程就会容易得多。然而，技术部门的文化和价值观意味着这些公司可能会避开为国防承包商发展的与政府的共生关系类型。它们可能会寻求不那么正式的关系，这些关系强调共同的价值观，而不是硬实力目标。此外，尽管商业实体可能愿意承担一些成本并放弃收入，但它们将需要对其投入资源的某种形式经济补偿。防御性网络行动创造了大量证据来证明其影响，这一事实可以缓解使用公共财政来赞助此项活动的难度。

教训五：能力建设是有价值的，但它不能替代能力强化。经过多年来遭受俄罗斯的网络攻击，乌克兰一直密切遵循国际合作伙伴关于网络安全和弹性的最佳实践建议，并从参与联合培训演习中受益匪浅。然而，不可避免的是，公共和私营部门的实施和发展速度各不相同，因此到地面军事行动时，国家网络弹性存在重大不确定性和已知弱点。最突出的例子是政府对潜在易受攻击的本地服务器的集中依赖，这种依赖必须通过迁移到通常由外国云服务提供商运营的战区以外的数据中心来迅速纠正。这场战争的经验表明，国际网络弹性建立在能力建设的基础上，但也关键依赖于迅速增强能力以增援遭攻击盟友的能力。

总之，这些教训表明，集体防御不仅展示了其在乌克兰的操作潜力，还揭示了任何更持久安排都必须解决的战略紧张局势。民主国家面临的挑战的核心是商业行为者作为外交和国防政策代理人的整合，以及少数美国公司对于大规模网络防御不可或缺的现实。因此，设计协作机制将暴露网络空间的国家主权、责任和负担分担等深刻问题。这是一个令人怯步的议程，但以下事实让此得以轻松驾驭，即乌克兰网络防御的主要参与者们相信，努力的规模已经证明了对网络空间共享价值观的强大承诺。

四、结论

支持乌克兰网络防御的国际努力显著提高了能力，同时在持续高节奏的行动中利用了各种各样的参与者。然而，那些参与各方并未宣布胜利。与物理环境一样，在网络空间中，抵抗的强度很可能只是决定事件进程的一系列因素之一。破坏性网络攻击的威胁并未消除，俄罗斯可能正在从尚未被发现的网络入侵中获取高价值情报。

同样重要的是要认识到，八个月战争的行动性成就并不等同于网络空间中持久的、基础广泛的集体防御结构。这场战争并没有解决与主权、责任和负担分担有关的深刻问题。然而，在那些参与和资助防御的人中，有一种明显的感觉，即正在发生有意义的事情。不同的合作伙伴正在团结起来以共享价值观，并颠覆之前网络攻击者总能成功的假设。

声明：本文来自网络空间安全军民融合创新中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。