美国学者分析西方公司对乌克兰网络安全援助的实践启示

编者按

华沙安全论坛网络专题组主席、兰德公司兼职研究员比利亚娜·莉莉近日接受媒体采访，就西方私营部门对乌克兰的网络安全援助发表看法。

比利亚娜·莉莉表示，自俄乌战争以来，众多西方私营公司向乌克兰提供了包括硬件、软件和网络安全服务在内的援助，对于保持和增强乌克兰网络弹性或帮助响应特定事件以减轻特定攻击发挥了重要作用；“星链”设备在战争中发挥了重要作用，被广泛用于指挥、控制和通信，已成为乌克兰关键基础设施的一部分；亚马逊公司向乌克兰提供了AWS Snowball数据传输设备，协助乌克兰将政府机构、大学院所以及部分私营实体的数据转移过国外，确保了政府能够无间断或无重大中断地履行职能，以及医院、银行、教育系统等能够正常运转；Cloudflare和谷歌所提供的工具在确保乌克兰能够抵御DDoS攻击方面发挥了重要作用，前者甚至被誉为“战争初期的星链”；微软在数据迁移和在网络威胁情报方面提供了很多帮助；网络安全公司Mandiant在提供网络威胁情报、威胁搜寻以及事件响应方面发挥了重要作用；斯洛伐克安全公司ESET在协助消除针对乌克兰电网的恶意软件攻击方面发挥了关键作用；同时，西方公司在战争中对众多工具、硬件、软件和网络服务进行了压力测试，在云迁移、网络威胁情报以及与政府沟通机制方面吸取了大量经验教训。

比利亚娜·莉莉还分析了对乌克兰网络安全援助的实践启示，包括：“星链”案例向北约成员国或西方政府表明，私营公司没有在战争中保护个人或“选边站队”的义务，对私营公司工具的过度依赖可能导致关键服务中断的风险，政府需要与提供关键服务的特定公司签订更具约束力的协议，并为相关服务支付费用；乌克兰数据迁移工作整体成功但过程并不完美、完整，未来需要探索如何在危机时确保数据迁移的速度和质量；网络安全援助需要总体协调，以解决不同服务的兼容性，未来还需要探索如何建立援助对接机制；在未来可以发生的战争冲突中，西方私营公司所提供的援助水平因诸多影响因素而存在不确性，包括公司市场考虑、政府介入程度、战争冲突范围等，政府需要考虑如何让企业更容易地退出特定国家市场，并鼓励企业过渡到更稳定且“志同道合”的市场。

奇安网情局编译有关情况，供读者参考。

俄乌战争爆发一年多以来，乌克兰在击退俄罗斯网络攻击方面取得了显著成功。这在一定程度上得益于西方政府和私营部门提供了广泛的网络安全援助，再加上乌克兰在俄罗斯电网屡次遭受网络攻击后为建立计算机响应团队进行了大量投资。

华沙安全论坛网络专题组主席比利亚娜·莉莉近日就安全模式接媒体采访，讨论了讨论西方援助的哪些要素有效、哪些无效，以及埃隆·马斯克在提供卫星互联网接入方面的作用如何在冲突中发挥了关键的作用。

采访内容如下：

记者：俄乌战争爆发已一年半，俄罗斯未能实现其目标。乌克兰政府表现出了非凡的韧性，面对预计将在这场冲突中遭受的俄罗斯网络攻击，乌克兰的数字基础设施基本上保持正常运行。造成这种情况的一个重要原因是私营部门的网络安全援助。我想知道我们是否可以首先描述私营部门向乌克兰提供网络安全援助的规模和性质。整体情况是什么样？

比利亚娜·莉莉：这是一个很好的问题。自去年俄乌战争爆发开始以来，数十家公司一直在帮助乌克兰。

但甚至在此之前，一些较大的网络威胁情报公司就已经在战争前几个月向乌克兰政府提供了及时的情报。根据我们收集的数据，我们确定了大约 20 到 30 家公司一直在提供援助，但这个数字可能更高，因为没有人，甚至乌克兰政府，拥有一份来自全球所有以这种或那种方式援助乌克兰的公司的最新捐助清单。

它们从提供硬件到软件再到网络安全服务各不相同，就捐助的数量和规模而言，它们也从数亿美元到单个事件响应援助实例不等。捐助内容相当多样，有的公司还故意不公开。一些公司有非常明确的政策，不披露他们提供的捐助类型。其他公司则更愿意谈论。

我还想指出的是，每当我们阅读有关不同捐助的报道时，重要的是要考虑到可能有一些公司正在提供大量帮助，并且对于保持和增强乌克兰网络的弹性或帮助响应特定事件以减轻特定攻击非常重要，但我们不会知道它们，因为它们只是不想出现在公众视野中。

记者：看来你可以将对乌克兰的网络安全援助分为两个主要部分。硬件、软件，也许还有服务形式的第三种。我发现最令人着迷的可能是硬件援助的一个组成部分，那就是“星链”援助，它一直是乌克兰军方的关键工具。他们很大程度上通过“星链”终端来指挥战争。我想知道你能否首先描述一下对乌克兰的“星链”援助计划是如何形成的。此外，“星链”关系及其在乌克兰的工作告诉我们有关此类性质的公司的作用和武装冲突局势的哪些信息？

比利亚娜·莉莉：“星链”是非常有趣的案例之一，它也是我们必须学习的一些教训以及我们未来可能需要改进的一些政策的一个例子。我所说的“我们”是指愿意支持遭武装袭击国家的北约成员国或西方政府。

在俄乌战争一开始，我认为战争的这个常规阶段让我们很多人措手不及。我认为西方社会并未真正预料俄罗斯人会越过边界并试图在3天内占领基辅。

将“星链”引入战争是相当非传统的。乌克兰副总理在Viasat黑客入侵事件发生当天向埃隆·马斯克发推文请求援助，埃隆·马斯克立即授权在乌克兰部署“星链”。

从那时起，“星链”就在战争中发挥了重要作用。超过 150000 乌克兰人正在使用它。“星链”被用于命令、控制和通信。乌克兰总统泽伦斯基使用“星链”与盟军进行通信。这是战争中非常重要的沟通渠道。

我非常尊重埃隆·马斯克，但我没有尊重的一个特殊时刻是2022年10月，当时他发表了一项公开声明，并联系五角大楼表示SpaceX无法无限期支持向乌克兰提供“星链”，因为价格昂贵。

这确实让我们很多人感到震惊，因为我确实意识到公司是营利机构，它们没有在战争中保护个人或选边站队的义务。我完全理解这一点。但在战争中，当你知道你的服务对于保卫一个遭受武装攻击的国家至关重要时，你就不会发表这样的声明。这在很多层面上都是不合适的。

我很高兴他推翻了这一说法。“星链”仍在乌克兰使用，但那一刻向世界表明，它向西方盟友表明，它向乌克兰表明，在无法保证其持续提供的情况下，在战争中如此程度地依赖一种特定工具是多么危险。

如果说有什么不同的话，那就是这告诉未来可能受到攻击的政府，它们需要与在如此关键的程度上使用其服务的特定公司签订更具约束力的协议。

记者：乌克兰的“星链”项目也发生过这种情况吗？乌克兰人是否因此重新评估了他们与“星链”、特别是与埃隆·马斯克的关系？

比利亚娜·莉莉：我认为他们仍在大量使用“星链”。我知道他们也依赖其他通讯方式。它们确实内置了备份。但“星链”仍然是战争活动中非常关键的一部分。它已成为关键基础设施的一部分。

记者：你如何评价埃隆·马斯对乌克兰和冲突的个人干预？你如何看待他在冲突中扮演的角色，作为一位魅力十足的首席执行官，他一方面愿意做出这些仓促的决定来提供这项真正关键的技术，然后在其他情况下，以奇怪的方式撤退并限制其在乌克兰某些地区的可用性，并在冲突点充当俄罗斯人的中间人？

比利亚娜·莉莉：我认为他是一个非常有影响力的人，他在很多层面上为人类取得了很大的进步。但我认为他有资源来实际聘请一支可靠的政策团队。我认为他需要与专家、主题专家合作。我知道你在笑，但我认为拥有一些他真正倾听的顾问，这些顾问都是这些主题的主题专家，这对他确实有好处。我认为这将提升他的品牌。

这将表明他的政策具有精细和智慧。我认为他非常适合作为私人行为者对许多地缘政治冲突产生巨大影响。我不仅仅谈论乌克兰。我认为，有了他背后坚实的政策团队和顾问的支持，他可以成为一股自然力量。

记者：好吧，敢于设想埃隆·马斯克会倾听并接受你的建议，我们将为世界做出巨大的改变，埃隆·马斯克将聘请一流的政策团队。这就是它的硬件方面。让我们也进入软件方面。你在论文中提到的一件事是这些名为 AWS Snowball的设备的存在以及它们在从乌克兰获取数据方面的作用。我想知道你能否讲述一下使用这些AWS Snowball的故事，以及在俄罗斯军队逼近时为保存乌克兰政府数据所做的努力。

比利亚娜·莉莉：这是这些非传统方法的另一个例子，公司从一开始就开始援助乌克兰，因为确实没有应对这种情况的路线图。公司必须做出非常非常迅速的风险评估和决策。首先，我们要退出俄罗斯吗？我们要退出乌克兰吗？其次，我们支持乌克兰吗？除此之外，我们是公开支持乌克兰还是试图通过间接渠道做到这一点？

关于向云的迁移，这对于弹性至关重要，并且基本上对于乌克兰从战争一开始就保持在线状态至关重要。因为在战争的这一阶段之前，乌克兰一直在进行所有数据传输，特别是政府一直在使用位于乌克兰政府大楼内的数据中心和服务器进行所有数据传输，这将使这些物理位置和数据中心容易受到俄罗斯导弹的攻击。

因此，乌克兰政府很早（甚至在入侵之前）就意识到他们可能容易受到导弹袭击。因此，他们修改了乌克兰的法律，允许数据传输到国外。

他们公开求助，亚马逊AWS几乎立即做出了回应。乌克兰驻伦敦大使馆举行了一次会议。我希望这一切被记录下来，我希望我们能有这次会议的完整视频，因为我认为这将是我们谈论云中数据迁移和主权时的历史性时刻之一。

基本上，代表AWS的一位高级人士和乌克兰驻伦敦大使会面，他们创建了一份基本数据清单，我相信包括 27 个乌克兰部委、18 所乌克兰大学以及一些乌克兰私营部门实体，包括乌克兰最大的银行PrivatBank。

他们列出了关键资产，3天后，Snowball设备（用于数据传输的移动设备）抵达基辅，在那里加载数据，然后将其实际导出到国外，将其分散在欧洲各地的数据中心。

因此，乌克兰政府、医院、教育系统仍然能够正常运转。不仅仅是亚马逊。还有微软。

记者：他们是否必须将这些带有所有这些数据的Snowball设备从基辅偷运出去？有一部不为人知的间谍技术惊悚片，讲述了将乌克兰数据从围困中偷运出来，以拯救乌克兰养老金系统的数据。

比利亚娜·莉莉：确切地。我见过其中一些卡车。从字面上看，Snowball设备被装上卡车，然后输出到国外。前4个月，导出的数据超过10PB。这是一个巨大的数额。

另一件需要考虑的事情是，虽然数据迁移在很大程度上被认为是成功的，但一些数据没有正确标准化，也没有正确导出，因为它基本上存储在遗留系统上。因此，数据迁移过程并不完美，也不完整，这是完全可以理解的。

每个从事网络安全和数据迁移工作的人都会告诉你，这太快了。好像这里一定犯了错误。是的，显然这不是一次完美的迁移。所以我认为未来我们可以了解很多故事，关于可以在胁迫下或在一个国家受到攻击时进行的数据迁移过程的速度与理解和质量。

记者：但由于这种数据迁移，乌克兰似乎已经能够加速其数字服务。现在有了让公民以一种新方式访问政府服务的综合应用程序，或者我认为它在战前就已经存在了，但战争在某种程度上加速了这种努力。

比利亚娜·莉莉：绝对地。现在他们的大部分服务都是在云端进行的。乌克兰代表多次表示，亚马逊和微软基本上挽救了政府无间断或无重大中断地履行职能的能力。

记者：稍微缩小一点，我想知道你是否可以谈谈你认为在对乌克兰的网络援助方面哪些措施有效、哪些措施无效。

比利亚娜·莉莉：我认为我们将在未来几十年越来越多地了解在战争不同阶段什么有效、什么无效。目前，我们仍然没有完美的画面，我们仍然身处“战争的迷雾”之中。

但我们现在知道什么是有效的，例如，在一开始，在俄罗斯针对乌克兰的网络战的破坏性阶段。多家公司（特别是Cloudflare和Google）提供的反DDoS工具在确保乌克兰能够抵御其遭受的DDoS攻击方面发挥了重要作用。这些公司从一开始就非常重要。Cloudflare 在某些时候甚至被称为“战争初期的星链”，因为它对于乌克兰在网络空间保卫自己的能力至关重要。我们还知道微软在网络威胁情报方面提供了很多帮助。

在战争常规阶段开始前，微软和乌克兰政府之间就已经建立了全天时加密通道。我们还知道 Mandiant 在提供网络威胁情报、威胁搜寻以及事件响应方面发挥了重要作用。

斯洛伐克公司ESET虽然小，但力量却很大。ESET一直在协助消除恶意软件并减轻来自Inudstroyer2的攻击。我们知道，这可能是一次导致超过200万乌克兰人断电的相当大规模的攻击。

记者：我很高兴你提到了Industroyer2。对于那些不知道的听众来说，这是一个非常复杂的恶意软件，针对的是乌克兰发电服务。这看起来像是再次切断乌克兰电力的活动。它在部署前就被发现了，当然，最大的谜团之一是它是如何被发现的以及是谁发现的，这可能是这次援助活动的一部分。我认为还值得强调的是，自 2014 年与俄罗斯冲突的这一阶段开始以来，乌克兰实际上一直在快速建设自己的网络安全能力。乌克兰电网已经发生过多次成功的攻击，乌克兰人自此建立了这个令人印象深刻的计算机紧急响应小组（CERT） 组织，该组织在冲突期间一直在加班加点。在这种情况下，他们也应该得到很多赞扬。我想知道我们是否可以回到科技公司。我很好奇，你认为他们对乌克兰的援助哪里还不够？

比利亚娜·莉莉：这是一个很好的问题。从我在不同会议间隙进行的最新讨论来看，一个问题是援助的协调和及时提供。另一个是，对于某些公司来说，他们提供的一些免费许可证即将到期。公司已经开始与政府讨论谁将支付这些服务的费用以及公司有能力免费提供援助多长时间。目前正在与政府讨论潜在的合作资金，政府可以提供支持。

当一个国家受到实际民族国家的攻击时，我们不能指望公司能够保卫这个国家。我认为这是北约和北约成员国政府的工作。因此，问题是谁来支付提供援助的费用。在这里，我也同意埃隆·马斯克的观点，是的，“星链”在某个时候应该成为一项付费服务。但我不同意这个极具破坏性的信息：嘿，我要向全世界宣布，如果你们不付钱给我，我将切断服务。

另一项讨论是关于不同服务的兼容性以及网络威胁情报公司向乌克兰提供的信息。据我所知，它们非常愿意与合适的乌克兰代表分享情报。一开始，很难确定这些参与者是谁。非常重要的是，这种关系是非常临时且非常迅速地建立起来的。我认为，展望未来，乌克兰问题或多或少已经得到解决。

但在未来的情况下，比如说摩尔多瓦或格鲁吉亚，希望这种情况永远不会发生，但从地缘政治分析师的角度来看，这些国家存在一定程度的风险，它们基本上也可能遭受侵略。如果这种情况发生在这些国家，并且公司愿意提供援助，我认为目前没有人知道需要联系谁来协调援助。

记者：我只是想问你：你认为从乌克兰冲突中走出来的科技公司知道如何在战争时期运营吗？他们从乌克兰学会了如何做这项工作吗？

比利亚娜·莉莉：我认为他们已经对很多工具、硬件、软件和网络服务进行了压力测试。我认为他们在云迁移、网络威胁情报、如何与冲突中的政府沟通等方面学到了一些大量的经验教训。是的，我认为他们学到了很多东西。

我想提出的另一个问题是关于协调的。“网络防御援助协作组织”（CDAC）是一个于 2020 年 3 月成立的机构。CDAC代表乌克兰网络防御援助协作组织。它是一个非政府组织，成立的目的是协调西方（基本上是私营 IT 公司）对乌克兰的援助。它是由我的研究合著者之一格雷格·拉特雷设立的。

他正在部分协调超过 15 家公司的援助，其中包括Microsoft、Mandiant以及该组织的其他一些公司。他们想做的是盘点外国公司可以向乌克兰提供的潜在服务、产品和工具，然后与乌克兰不同机构协调并尽快了解它们的需求。然后基本上作为供应满足需求的集中点。

记者：如果再次发生这种性质的战争冲突，你认为我们会看到私营部门提供同等水平的援助吗？假设发生台海冲突。你认为我们会看到同样的救援台湾的紧急行动吗？

比利亚娜·莉莉：我认为目前没有人能够明确地回答这个问题。

关于公司的市场份额、它们在中国的存在和体量，以及美国对这场冲突的政策，还有很多问题需要考虑。美国会介入多少？就乌克兰而言，谁是攻击者，一目了然。在其他冲突中可能不太清楚。

另一个主要问题是我们如何定义武装冲突。如果对抗只是发生在网络空间怎么办？红线是什么？如果俄罗斯只是在网络空间升级乌克兰战争，我们会看到如此强烈的支持吗？我对此表示怀疑。

记者：你认为俄罗斯并不代表一个特别有利可图的市场这一事实是否使西方科技公司很容易退出俄罗斯并选择支持乌克兰？你认为这些市场考虑在多大程度上支撑了西方科技公司介入并援助乌克兰的决定？

比利亚娜·莉莉：这是一个很好的问题。我认为董事会里有一些辩论，我希望我们能够参与其中。事后看来，我们说，是的，有数千家公司离开了俄罗斯。我们表明我们的公司有爱心和人道主义优先事项，它们关心受害者和侵略者等等。

几天前，我们的乌克兰同事向我强调了这一点：他们说，不要认为我们首先需要赢得信息战这一事实。我们需要确保对留在俄罗斯的公司品牌造成如此大的损害，以至于它们需要退出。

记者：如果台海发生冲突，离开中国市场将是一个比离开俄罗斯市场更困难的决定，对吗？

比利亚娜·莉莉：会的，但这并非不可能。我们能否激励从不稳定、容易发生冲突的市场过渡到另一个从长远来看投资回报率仍可能很高的市场？政府可以协助企业实现这一过渡吗？我们的政府有责任考虑如何让企业更容易退出该市场，并鼓励企业过渡到更稳定且“志同道合”的市场。

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。