编者按

美媒报道称美国防部已指示美国网络司令部暂停针对俄罗斯的网络计划和行动,相关动向引发美国政界和网络安全界的关注和热议。

美国民主党国会议员对美国防部针对俄罗斯网络政策急转提出批评、质疑和担忧。有民主党议员认为,美国政府单方面军事网络行动暂停是严重的“严重的战略错误”,因为“进攻是最好的防守”,这相当于给俄罗斯发放了继续对美国关键基础设施发起网络行动和勒索软件攻击的“自由通行证”;美国政府此举背弃了盟友乌克兰,这种投降是失职行为,将置美国关键基础设施置于危险境地。有民主党议员要求美国防部向国会提供解释,包括命令的真实性、命令下达时间和范围、对命令的风险评估以及命令对合作伙伴、盟友和国内机构的预期影响。

外界有观点认为,美国政府此举主要目的是通过向俄罗斯表达外交示好,从而促动美俄关系的正常化以及俄乌停战谈判。美国国家安全顾问迈克·沃尔兹否认美国网络政策的变化,并称将美国政府将采取各种“胡萝卜加大棒”的手段结束俄乌战争。前美国网络司令部副司令查理·摩尔表示,停止敌对行动是避免国家间谈判脱轨的常见做法。有业界专家认为,美国政府此举是在向俄罗斯抛出“外交和解的橄榄枝”,可能是美国为创造初步停火条件而使用的一种策略,也可能是对乌克兰总统泽连斯基施压的一种策略;该命令未来是否会产生负面影响存在不确性,但美国政府未来可以迅速决定撤销命令并恢复现状,因为“点击键盘就能迅速重启网络攻击”;美国仍然能够对俄罗斯开展网络活动,但不会开展类似于对基础设施开展网络攻击的激进行动。虽然美国网络司令部被勒令停止行动,但美国国家安全局、中央情报局、联邦调查局等部门仍然可以针对俄罗斯开展攻击性网络行动、网络间谍行动和网络执法行动。

部分前美军人员和网络安全业界人士认为,暂停对俄罗斯网络行动将对美军网络攻击行动、网络攻击溯源工作、关键基础设施安全构成现实风险。相关观点认为,网络行动是一项持续性工作,需要不断的访问和更新,而暂停可能导致美国失去在俄罗斯网络中的立足点,并导致攻击手段失效,从而对美国网络行动产生不同程度的影响;暂停网络行动将影响网络攻击分析工作,可能削弱美国追踪和应对网络威胁的能力;美国的政策转变可能会改变游戏规则,将煽动俄罗斯勒索软件团体并削弱美国威慑力。

奇安网情局编译有关情况,供读者参考。

美国高级官员证实,美国政府暂停了针对俄罗斯的网络行动和计划。

据一位美国官员和另一位知情人士透露,美国防部长皮特·赫格塞斯已下令美国网络司令部停止针对俄罗斯的网络和信息行动计划。据两人称,此举似乎是为了安抚俄罗斯,并将其拉到与乌克兰的谈判桌上。知道人士称,该命令并不适用于美国国家安全局及其跟踪俄罗斯活动的信号情报工作。该命令的和范围和期限尚未透露,也不清楚暂停了哪些攻击性数字行动。信息行动的停止意味着美国网络作战人员基本上被禁止收集可用于影响、干扰或破坏俄罗斯数字领域决策的信息,包括虚假信息和影响性言论。

美国网络司令部就此发表媒体声明称,“出于行动安全考虑,我们不评论也不讨论网络情报、计划或行动。对赫格塞斯部长来说,最重要的事情就是保障所有行动中的作战人员安全,包括网络领域。”美国网络司令部一直积极与乌克兰网络空间同行合作进行信息共享,包括交换攻击指标,即与恶意网络活动相关的恶意软件签名等取证证据。

目前尚不清楚俄罗斯是否已经或将实施类似的暂停措施。3月2日,克里姆林宫发言人德米特里·佩斯科夫对美俄关系的重启表示欢迎,称特朗普第二届总统政府正在迅速改变所有外交政策配置,“这在很大程度上符合我们的愿景。”

此外,据英国《卫报》2月28日报道,英国网络安全和基础设施安全局(CISA)的官员也被“口头”告知停止任何与俄罗斯有关的工作。但美国CISA于3月2日发表声明称,“CISA的使命是防御针对美国关键基础设施的所有网络威胁,包括来自俄罗斯的威胁。我们的态势没有改变。任何与此相反的报道都是虚假的,会破坏我们的国家安全。”

美国《华盛顿邮报》则报道称,一位“熟悉此事的私营部门顾问”透露,CISA已将一些网络威胁专家转移到俄罗斯以外的其他对手身上,这反映出优先事项可能发生变化。《卫报》和《华盛顿邮报》都支持有关CISA的说法,称美国国务院一位高级官员最近在关于关键基础设施网络威胁的演讲中没有提到俄罗斯。

暂停网络攻击行动的决定引发了美国政界和网络安全界的争论,一方面,暂停被视为促进谈判的必要风险;另一方面,在国家行为体的网络攻击愈加明目张胆的时候,这可能会使美国关键基础设施暴露在外。

01

美国国会民主党议员的批评和质疑

美国防部长皮特·赫格塞斯的举动正值特朗普政府寻求在美国主导的俄罗斯与乌克兰和平谈判前重启美俄关系之际。为了帮助促成俄乌战争结束,并使这美俄间的双边关系正常化,美国最近一直在向俄罗斯抛出各种诱饵,停止网络行动可能是其中之一。

美国国会民主党人对这一转变提出了批评。

美参议院少数党领袖查克·舒默在社交媒体X上的一篇文章中表示,“特朗普如此渴望赢得普京的青睐,以至于俄罗斯继续对美国关键基础设施发起网络行动和勒索软件攻击,威胁我们的经济和国家安全,特朗普似乎给了普京自由通行证。特朗普单方面解除对普京的武装是一个严重的战略错误。最好的防守永远是强有力的进攻,对于网络安全来说也是如此。”

美众议院军事委员会民主党高层亚当·史密斯表示,皮特·赫格塞斯“应该向委员会做出详细解释”。他称,“我要求立即提供更多信息,包括:是否下达了命令,如果是,何时下达、向谁下达;命令的范围;对合作伙伴、盟友和国内机构的预期影响;以及是否在下达命令之前进行了风险评估,或是否正在根据命令进行风险评估。”

美众议院国土安全委员会民主党高层本尼·汤普森表示, “我对政府不认为俄罗斯是重大网络威胁并停止采取行动打击俄罗斯网络活动的报道深感担忧。现在我们似乎放弃了乌克兰的盟友,却投降,这是一种莫名其妙的失职行为,将美国关键基础设施置于危险之中。”他要求就此事举行听证会。

02

促进俄乌停战谈判的战略性外交示好

美国国家安全顾问迈克·沃尔兹3月2日在接受CNN采访时否认了有关网络政策变化的报道。他称,“这不在我们的讨论范围内,我们会采取各种‘胡萝卜加大棒’的手段来结束这场战争。”

现已退役的美国网络司令部副司令查理·摩尔表示 ,一个国家在与另一个国家(即此类行动的假定目标)进行谈判时停止可能被视为敌对的行动并不罕见。他称, “暂停任何可能导致谈判脱轨的事情都是很常见的。”

虽然美国政府没有给出做出决定的理由,但有人猜测这与结束俄罗斯对乌克兰战争的谈判手段有关。美国数字调查和威胁情报公司Bambenek Consulting总裁约翰·巴姆贝内克表示,就像任何重大赌博一样,这取决于它是否有回报。他表示,如果几个月后的最终结果是医院遭受的勒索软件攻击显著减少,那么该行业将把它视为一次重大胜利。

约翰·巴姆贝内克表示,“这也取决于这一指导方针的实施时间。好消息是,撤销并恢复现状是相当迅速的。目前,这真的取决于俄罗斯是否将此视为‘自由打击’政策,或者他们是否将其用于外交和解。”他表示,如果皮特·赫格塞斯指令继续有效,而俄罗斯的攻击行为没有改变(或变得更糟),那么商业安全供应商绝对需要在这里(至少在美国)弥补不足。

美国数字政府中心高级研究员摩根·赖特表示,皮特·赫格塞斯的举动只是诱使俄罗斯进入谈判地位的橄榄枝,动能反应和网络反应间的区别在于移动士兵和弹药与点击几下键盘间的区别。他称,“网络攻击可以迅速重启。话虽如此,但这并非没有特朗普总统的明确授权。这也可能是对乌克兰总统泽连斯基施加压力的一种策略,迫使他改变行为并推动和平。乌克兰所能期望的最好结果就是僵局,但如果俄罗斯继续向乌克兰投入更多士兵和资源,他们可能很快就会失去这种局面。皮特·赫格塞斯的指令可能是美国为创造初步停火条件而使用的几种策略之一。”

美国网络战略一直以威慑为目的。在奥巴马执政期间,官员秘密批准在俄罗斯基础设施中植入网络武器,以备可能的报复。这种能力花费数年时间才能开发出来。

虽然美国网络司令部被勒令停止行动,但其他政府机构仍可能根据不同的权力参与攻击性网络行动。美国国家安全局的特定入侵行动办公室(TAO)开展网络间谍活动,并可能继续渗透俄罗斯网络进行情报收集,有时还可能采取破坏性行动。美国中央情报局的网络情报中心(CCI)有能力针对外国对手发起秘密网络行动,通常是在更广泛的国家安全指令下。此外,美国联邦调查局等执法机构可能与国际伙伴合作,通过摧毁僵尸网络、扣押基础设施和有针对性的逮捕等方式对俄罗斯网络犯罪集团采取行动。

瑞典网络安全公司Truesec的威胁情报专家马蒂亚斯·沃伦表示,“据我了解,美国仍然能够对俄罗斯政府进行网络间谍活动,但不会为了预先放置后门来在未来冲突中发动破坏性的网络攻击而对基础设施进行黑客攻击。”这确实可能意味着特朗普政府正在停止攻击性网络行动,并将重点放在保护美国政府上。

03

停止网络计划和行动的现实风险

有专家表示,美国政府举动的风险是巨大的。暂停可能会使美国更容易受到俄罗斯的网络攻击,俄罗斯在国家支持的黑客组织的帮助下,拥有破坏美国关键基础设施的强大能力。如果停止针对俄罗斯的网络行动计划,那将意味着数月的挫折,因为组织网络行动需要时间和研究。如果现在放弃,美国可能会失去在俄罗斯网络中的立足点——情报被削弱,关键基础设施更容易暴露。

前美国网络司令部官员杰森·基克塔警告称,停止针对俄罗斯的攻击行动可能会对美国的网络能力产生持久影响。他称,“如果还下令暂停规划,那么可能会导致进攻选项变得陈旧,从而变得不可行。”网络行动需要不断的访问和更新——如果没有这些,美国就有可能失去在俄罗斯网络中的立足点,并可能削弱其追踪和应对网络威胁的能力。

前美国防部漏洞分析师、现任美国Hunter Strategy公司研发副总裁雅各布·威廉姆斯表示,“‘停止追踪俄罗斯网络威胁行为者团体’的最大程序问题(尽管还有许多其他问题)是,我们直到追踪溯源生命周期结束才知道哪些数据对应哪些国家。鉴于政府全都专注于‘效率’,这毫无意义。在当前框架下,如果分析师得出结论,他们正在追踪的威胁是俄罗斯威胁行为者,他们就必须放弃他们的分析。”

前美国国家安全局(NSA)黑客杰克·威廉姆斯指出,取消针对俄罗斯的网络行动,也将减少美国指责或将重大网络事件归咎于俄罗斯政府的情况。他表示,“不追踪网络威胁对美国没有任何好处。这为威胁行为者提供了通过假旗行动隐藏的机会,给威胁情报带来了巨大的后勤问题,并会让所有网络追踪溯源失去信任。”

网络安全顾问兼美国网络安全公司Symbiont总裁乔纳森·莱特富特写道, “这不仅仅是又一次政策转变,它可能会改变游戏规则。”他警告称,此举可能会“鼓舞俄罗斯勒索软件团体”并削弱威慑力。

美国众包安全公司Bugcrowd的首席信息安全官特雷·福特表示,暂停任何行动,顾名思义,就是中断大量精力、投资和人力资本流动;侦察和行动监控是一项持续性工作,错过的变化可能会对任务产生不同程度的影响。他称,“目标的改变、基础设施的转移或访问权的丧失都可能导致基础设施被发现或被破坏。在公共领域开展外交努力的同时,任何计算机网络攻击(CAN)和计算机网络利用(CNE)行动的停止都是意料之中的,我们希望俄罗斯同行也能效仿这些暂停的攻击和利用行动。”

声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。