“前防后控”：北约将采取更加积极主动的网络防御态势

编者按

北约网络和混合政策部门主管克里斯蒂安-马克·利弗兰德近日接受媒体采访，讨论了北约网络方针的变化、盟国间存在的分歧以及网络攻击持续增加的后果。

克里斯蒂安-马克·利弗兰德表示，即将举行的维尔纽斯峰会（7月11日至12日）将批准新的网络概念文件，新概念并非“道路终点”而是“更长转型的开始”。利弗兰德表示，此次峰会将会产生两个可交付成果：一是修改版《网络防御承诺》文件。此文件专注于事前预防，其内容不再仅限于要求各盟友实施的措施，还将纳入国家目标、最低要求和必备措施。该文件附加了一个成熟度模型，可用于衡量盟友网络准备情况，从而可以了解整个联盟的差距，并通过盟友互助的方式来弥补差距。二是虚拟网络事件支持能力（VCISC）。VCISC机制着眼于事后补救，旨在借助盟友以及业界的力量来帮助受影响的盟友恢复，并缓解正在发生的恶意网络活动。

利弗兰德表示，北约认为网络始终处于“开启”状态，联盟既需要探测事件发生的“烟雾探测器”，也需要能妥善处理事件的“消防队”；阿尔巴尼亚网络攻击事件表明，网络可以并且已经被用于政治胁迫，北约可以并且应该被用作未来的政治平台，从而向恶意网络行为者发出信号，并支持负责任的国家行为规范；北约盟友一致认为需要致力于长期弹性并对更频繁、更快发生的事件做出反应和响应，目前存在的分歧是如何更加积极主动地采取行动以及如何更好地发挥北约的作用；北约需要“持续参与网络”，从而拒止对手的所有可能获益，将网络空间竞争活动保持在“可容忍、可管理”的水平；北约不仅需要关注单一事件，还需要关注网络活动的“累积效应”，避免“压死骆驼的最后一根稻草”。

奇安网情局编译有关情况，供读者参考。

采访原文

记者：在塔林举行的国际网络冲突会议上，北约负责新兴安全挑战的助理秘书长戴维·范韦尔表示，北约将在7月的维尔纽斯峰会上批准新的“网络概念”。你能告诉我们这会带来什么吗？

克里斯蒂安-马克·利弗兰德：在维尔纽斯峰会上，将会有一些网络成果。我认为戴维·范韦尔提到的是需要提高国家网络弹性。因此，已经有了一个现有的工具，即《网络防御承诺》，盟友已决定在这方面对其进行修改。我们所关注的不再是仅仅委托给盟友来实施的东西，而是现在第一次包含国家目标、几乎最低要求、每个人都需要拥有的东西的工具。

同样，我们在该工具中附加了一个成熟度模型，这是各方衡量其准备情况的一种方式，以便更好地了解整个联盟的差距，然后盟友可以帮助其他盟友达到最低水平来满足这些差距。这是以前从未做过的事情，我认为这很重要。

我们的第二个交付成果是虚拟网络事件支持能力（VCISC）。因此，如果你考虑一下我提到的第一个可交付成果，即《网络防御承诺》，它位于“事发之前”，我的意思是在事发前需要发生的所有事情，那么VCISC确实着眼于“事发之后”。如果事件发生，我们如何帮助受影响的盟友恢复并减轻正在发生的恶意网络活动？

这种机制并不意味着更多的北约，我认为它意味着盟友帮助其他盟友的一种方式，并且通过虚拟方式这样做，也通过利用业界，并以灵活和敏捷的方式这样做。

记者：批准新的网络概念意味着什么？

克里斯蒂安-马克·利弗兰德：我们提出的概念实际上并不是道路的终点，而是我认为更长转型的开始，我们希望让不同的参与者更加紧密地联系在一起，同时尊重各方角色和责任以及其拥有的主权。但网络似乎有些东西并不真正尊重组织边界。我的意思是，你需要技术、实施和政治层面才能更好地协同运作。这正是我们想要实现的目标。它意味着信息共享，意味着情报共享，但它也意味着更好的反应方式，更好的塑造网络空间的方式。预计在明年的华盛顿峰会前不会得出结果。这就是为什么，对我和我们来说，这确实是一种开始更好地思考如何在该领域保持主动的方法。

这里要理解的关键是，对我们来说，网络始终处于“开启”状态。所以当你思考这个问题时，是的，我们需要担心它并建立消防队，这样如果火灾发生，我们就能够将其扑灭，但在某些方面，这也与“烟雾探测器”和专注于“事发之前”有关。请记住，《华盛顿条约》第三条的重点是盟友自卫的责任，为了使和帮助盟友做到这一点，可以做很多事情。

记者：2022年对阿尔巴尼亚的袭击对这一新概念有何贡献？

克里斯蒂安-马克·利弗兰德：我认为阿尔巴尼亚的例子是一个有用的例子。它实际上在事件发生之前就开始了。有这种知识转移，有网络能力建设方面的帮助，可以采取一些措施来阻止潜在攻击者的利益。当然，如果事件发生以及何时发生，实际上有两个方面。一是帮助恢复，这需要很快，我想告诉你，许多事情必须在事件发生之前就已经到位，例如特权和豁免权，但也要更好地了解可以提供什么样的帮助以及多快和以什么方式提供帮助，以免我们在事件发生时还要考虑如何提供帮助。

但利用北约作为政治平台也可以做一些事情。我想告诉你的是，阿尔巴尼亚的案例向我们表明，网络可以并且已经被用于政治胁迫。盟友们也做出了回应。因此，北约可以而且我认为应该被用作未来的政治平台，同样在政治层面上，以便向那些进行恶意网络活动的人发出信号，告诉他们什么是可以的，什么是不可以的。这支持了负责任的国家行为规范。

记者：戴维·范韦尔提出的另一个关键细节是私营部门在网络防御中的作用。你对此有何看法？

克里斯蒂安-马克·利弗兰德：我认为在乌克兰发生的许多活动表明，如果没有业界，就很难在战场上取得成功。顺便说一句，它还告诉你防守者获得一票，对吗？有可能抵御像俄罗斯这样强大和有能力的对手。所以对我来说乌克兰是一个充满希望的故事。如果你知道自己在做什么，事情就可以完成。其中一部分是弄清楚如何与行业合作。

但我认为你还需要了解，我们在乌克兰拥有的不一定是可持续或可扩展的业务解决方案。在我看来，将所有事情完全外包给业界并希望事情能以某种方式奇迹般地得到解决是不可能的。因此，我们需要关注的不一定是正式的安排，但肯定是灵活的安排，让业界做出公共部门也能从中受益的贡献，反之亦然。

我想在这里使用的一个很好的例子是英国的“工业100”（Industry 100）计划，英国政府、国家网络安全中心（NCSC）能够受益于参与该计划的公司。反之亦然，业界能够从政府信息中受益，并能够在网络防御中实施上述信息。这是一种非常灵活的安排，允许自我选择，但也可以逐渐改进，以便双方都能从这种关系中受益。

记者：目前北约盟友在哪些方面存在分歧？

克里斯蒂安-马克·利弗兰德：我认为我们都同意的是，我们需要致力于长期的弹性，换句话说，我们需要让我们的对手无法获益。这就是为什么《网络防御承诺》如此受到关注。这就是为什么人们如此关注“烟雾探测器”，回到之前的类比。我们还一致认为，我们需要能够对似乎更频繁、更快发生的事件做出反应和响应。

我认为接下来的问题实际上集中在“积极主动”的问题上。这意味着什么？换句话说，如果修补对我们没有帮助，如果只是被动的态度也不会真正有帮助，那么我们如何才能更加主动呢？这是第一个问题，这是什么意思？我认为第二个问题几乎立即出现，那就是作为积极主动心态的一部分如何利用北约。我认为这仍然需要做很多工作。

记者：你说事件似乎越来越频繁地发生。为什么会这样？

克里斯蒂安-马克·利弗兰德：我必须在这里进行推测。新技术和新漏洞正在被利用，因此恶意网络活动的机会大大增加。我认为第二个原因与动机有关。我认为我们可以更加果断地对许多此类恶意网络活动施加成本。我甚至想说，许多行为者已经非常擅长在使用武力的门槛下进行操作。许多行为者已经非常熟练地围绕威慑因素设计自己的活动。所以我们必须做更多的事情。有了这两件事，一方面是机会增加，另一方面是缺乏对这种情况施加的成本，我们正在应对我所说的新常态。

记者：在施加成本方面更加果断是什么样的？

克里斯蒂安-马克·利弗兰德：这里的关键绩效指标是对手行为的变化，对吗？你不一定能消除恶意行为，但你可以对其数量和质量产生影响。换句话说，你可能会通过威胁搜寻或防御性网络空间操作等活动在技术层面来造成更多摩擦力。你让对手更难得逞，因为你清楚地知道你可能享有的任何优势都将是暂时的。我想，你可能会称之为持续参与，持续参与网络，从而拒止所有这些可能的获益，将永久的竞争保持在可容忍、可管理的水平。对我来说，这就是前进的答案。除非我们只想采取被动防御姿态。如果真是这样，恐怕就很难对正在发生的事情产生影响了。

记者：有没有一种方法可以更加果断，但又不至于千篇一律，或者不以某种方式升级？

克里斯蒂安-马克·利弗兰德：你想要做的是对正在开展恶意网络活动的特定行为者产生影响。但我有时觉得这样做几乎被视为升级。而且通常情况下，这些行动远远低于人们有权合法使用的行动。所以有时我的感觉是我们有点被自己吓倒了。

记者：鉴于你所说的攻击发生得越来越频繁，到目前为止这种应对措施是否失败了？

克里斯蒂安-马克·利弗兰德：我想说，我们可以做得更好，让恶意网络行为者更难开展这些操作，而且必须产生你经常在公共场合看到的后果。我认为有些人将正在发生的事情称为“煮青蛙”。然后我们就习惯于这种下一水平的竞争，这成为新的常态，直到再次进入下一个水平。这对我来说是令人担忧的。我们应该抵制它。我们不应该真正习惯这种新竞争水平。

如果你接受这种新的竞争水平，如果你接受这种新常态，那么这可能是因为我们已经习惯于它并且我们愿意接受风险。在这种情况下，这不一定是失败，但它肯定会对我们的生活质量产生影响，并逐渐对我们更广泛意义上的竞争力产生影响。展望未来，我们什么时候愿意说我们不再接受这种新常态？我们什么时候会施加或制造自己的摩擦力，以表明我们正在抵制新常态？我认为这是未来的一个大问题。

记者：也许这是我的误解，但北约已经声明网络领域是一个永久激烈竞争的空间。这不已经是对新常态的认可吗？

克里斯蒂安-马克·利弗兰德：北约的战略概念明确指出，网络空间在任何时候都存在竞争。我认为最大的问题是什么程度的竞争是可以的。它往往非常抽象。我认为，对于网络来说，当你将其与动能行动进行比较时，这当然很难证明，在这方面，动能行动往往更具体、更真实、更暴力……我认为其中很多都集中在风险上。我们如何管理风险？很多时候，网络往往是一种没有回报的风险。因此，安全往往被视为一种成本，而不一定是一种回报。

这几乎是一场“竞次”（contest to bottom），在某些事情发生之前，不一定会进行投资，不一定会开发能力。所以，就好像你与这场竞争同行，希望自己不会真正受到影响，直到你受到影响为止。我们必须承认我们可以发挥作用，同时如果可以的话，找出我们可以忍受的可接受的暴力程度。

记者：是否还担心“千刀万剐至死”的情况，即活动量甚至低于特定阈值都会成为问题？

克里斯蒂安-马克·利弗兰德：我完全同意“千刀万剐”的说法。我们逐渐意识到，我们应该关注的不一定是单一事件，而是随着时间的推移所产生的累积效应。因此，如果网络始终处于开启状态，如果它被持续使用以攻击国家力量来源，那么最终，这很可能是一个简单的、甚至可能是相对无辜的事件，但却压断了骆驼的背。但这是一种非常不同的看待它的方式。你不再关注事发的前后，而是让它成为一项持续的活动、持续的竞争。

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。