编者按:美国大西洋理事会网络治国倡议的非常驻高级研究员贾斯汀·谢尔曼5月20日发文,分析俄罗斯网络行为体生态系统以及俄罗斯对乌克兰网络行动未达外界预期的原因,并向美西方政策制定者提出评估和应对未来俄罗斯网络威胁的对策建议。

文章称,俄罗斯拥有一个复杂的网络行为体生态系统,其中包括军队、安全机构、国家招募的网络犯罪分子、技术开发者、爱国黑客、私营军事公司等,相关行为体共同构成了一个庞大、复杂、往往不透明且充满活力的生态系统;俄罗斯政府对该生态系统拥有强大的掌控力,既可以控制其整体形态,也可以根据需要利用特定行为体;在俄罗斯政府方面,参与进攻性网络行动的主要机构是俄罗斯联邦安全局、联邦武装力量总参谋部情报总局和对外情报局,各机构通过情报收集活动、破坏性行动以及两者相结合的行动(例如黑客和泄密活动)对美西方构成威胁,但各机构间的互动更多的是竞争而非合作;在政府机构外,俄罗斯还还鼓励爱国黑客攻击外国目标,雇佣网络犯罪分子执行特定的情报行动,通过私营公司的服务支持进攻能力发展、研发和人才培养工作以及信号情报;俄罗斯网络生态系统并非自上而下、整齐划一,而是具有多向性、模糊性和动态性,这形成了不确定性和内部竞争,并为俄罗斯政府提供了一系列人才、能力和资源,使其能够根据需要利用、引导和阻止相关威胁。

文章称,网络行动在俄乌战争中发挥了重要作用,相关活动范围广泛,包括针对网站的分布式拒绝服务攻击、利用恶意软件窃取数据、对即时通读应用和移动设备的攻击等;美西方在俄乌战争爆发前曾预想,俄罗斯将利用其国家、国家附属机构、国家支持以及其他能力,大规模开展破坏性网络行动,对乌克兰关键基础设施造成严重破坏,摧毁乌克兰“数字战斗意志”,并彻底增强其现实军事行动;但俄罗斯在战争前后的网络行动远未达到美西方的预期,俄罗斯的网络攻击行动影响有限,而俄罗斯武装部队和情报部门在网络和动能行动间明显协调不力;外界分析认为,相关可能原因包括俄罗斯未能将网络攻击纳入进攻性战役、西方高估了俄罗斯的网络能力、乌克兰在美西方支持下具备强大网络防御能力、俄罗斯安全机构间协调不足和竞争阻碍了行动成功、俄罗斯更注重“打击价值行动”而非“打击力量行动”以及俄罗斯糟糕的战略、情报准备不足以及部门间不信任等;针对俄罗斯网络行动不力的任何简化解释都是不正确的,现实情况是多种因素并存并同时发挥作用,例如情报机构误读导致网络行动执行计划评估被扭曲、跨部门竞争削弱俄罗斯网络行为体的活动规划以及协调和执行、俄罗斯网络资源受限、机构内部的摩擦和斗争等。

文章认为,通过将预测和现实情况进行比较可以得出结论,俄罗斯仍然对美西方构成复杂、持久且资源充足的网络威胁,美国决策者及其盟友和合作伙伴应采取五个步骤来评估并在未来应对俄罗斯的网络威胁:一是区分俄罗斯的网络能力和战时实际执行。美西方应深入分析俄罗斯的持续网络威胁,涵盖勒索软件、关键基础设施攻击、移动设备黑客攻击等,同时将相关能力与实际执行中可能存在的不足进行对比,这样才能更好地了解俄罗斯的网络优劣势,并区分网络行动的不同组成部分。二是扩大对俄罗斯网络行动为体的分析范围。不仅要涵盖俄罗斯国家级黑客,还要涵盖更广泛的俄罗斯网络行为体,包括爱国黑客、网络犯罪分子、政府承包商、军事大学等,从而可以了解俄罗斯可以构建能力、招募人才和开展针对西方行动的各种方式,并更好地追踪、防范、防御和干扰威胁。三是避免陷入“俄罗斯会将其网络活动与其他政策和安全问题区分开来”的陷阱。网络作战以及信息作战不仅是俄罗斯现代安全、军事活动和情报行动的核心,也是俄罗斯政权安全概念的核心,美西方政策制定者在与俄罗斯进行外交和其他接触时必须保持警惕。四是继续双向共享俄罗斯网络威胁信息。俄罗斯目前针对乌克兰的网络和信息活动可以让美国及其盟友和伙伴获得关键信息,了解未来俄罗斯未来可能同样对美西方实施的能力和行动类型,掌握有关俄罗斯网络威胁的实时信息并进行双向信息共享将将帮助美国及其盟友和伙伴更好地保护其自身的网络和系统免受黑客攻击。五是在适当情况下投资于网络攻防。美国及其盟友和合作伙伴需要持续加强网络防御,继续优先考虑市场激励措施,以鼓励企业加强网络防御,并满足相关基本网络安全措施要求。在适当的情况下,美国及其盟友和伙伴还应确保具备开展网络攻击行动的适当能力和态势,包括先发制人地阻止俄罗斯的网络攻击。与俄罗斯开展外交谈判和设立“网络红线”的想法越来越不现实,与其过度依赖外交会议或刑事起诉,不如采取更可行的方法来积极缓解和瓦解俄罗斯网络威胁。

奇安网情局编译有关情况,供读者参考。

对抗俄罗斯网络力量:重新评估假设、

判断威胁并制定主动应对措施

01

初步预期

2022年2月24日,俄罗斯对乌克兰发动全面军事行动。许多西方观察家预测俄罗斯军队和安全部队将对乌克兰发动全面网络攻击,从而应对由此带来的数字冲击。在俄罗斯全面开战的几周前,《政治报》撰文指出,“俄罗斯入侵乌克兰可能重新定义网络战”。美国网络安全和基础设施安全局(CISA)担心,俄罗斯过去部署的恶意软件,例如NotPetya和WannaCry,可能会在新的战时行动中重现——其影响将迅速蔓延至全球,波及企业和基础设施。许多其他头条新闻和报道也提出了俄罗斯究竟将如何在现代战争中利用网络行动对乌克兰造成破坏的问题。这些问题中,有些合理,有些则明显带有炒作色彩。所有这些问题都在2月24日那场决定性的军事行动前,在网络、媒体和华盛顿特区的政策圈内广为流传。

然而,随着俄乌战争的展开,它迅速推翻了这些假说,并瓦解了西方对俄罗斯网络力量的许多假设。俄罗斯并未发动预期的网络“致命一击”(乌克兰瞬间陷入黑暗)。乌克兰和北约的防御(鉴于北约多年来投入了大量时间和精力支持乌克兰的网络防御)足以(基本)抵御俄罗斯最具破坏性的网络行动,至少与2022年2月之前的预期相比是如此。俄罗斯在协调网络活动与战场动能行动方面表现出了严重的无能。尽管如此,战争各方仍在持续开展一系列行动,因为俄罗斯仍然对美国、乌克兰和西方构成持续而严重的网络威胁。俄罗斯持续的网络活动以及战时网络预期与现实间的巨大差距,要求西方重新思考多年来对俄罗斯及其网络力量的假设,以及应对未来威胁的过时方式。

俄罗斯依然是一个巨大的网络威胁。爱国黑客、国家安全机构、网络犯罪分子、私人军事公司等等,与国家深思熟虑的决策、当权政府的纵容、创业精神、竞争、轻微腐败和无能交织在一起,共同构成了如今的俄罗斯网络复合体。俄罗斯网络生态系统的多向性、模糊性和动态性——依赖于一系列行为主体,这些行为主体的动机各不相同,与国家以及彼此之间的关系也不断变化——是俄罗斯网络威胁如此复杂的部分原因。

美国及其盟国和伙伴国家的政策制定者应采取至少五个步骤来评估和应对未来几年俄罗斯的网络威胁:

  • 在评估俄罗斯战时网络行动的预期与现实时,要区分能力和战时执行情况。

  • 扩大分析范围,不仅包括俄罗斯国家黑客,还包括更广泛的俄罗斯网络复合体,包括爱国黑客和受国家胁迫的罪犯。

  • 避免陷入这样的陷阱:认为俄罗斯能够将网络和信息问题与其他双边、多边和安全相关问题区分开来——比如,保持对乌克兰的敌意,同时放松对美国的网络行动。

  • 继续与世界各地的盟友和合作伙伴共享有关俄罗斯的网络信息。

  • 在适当的情况下投资于网络防御和网络攻击。

02

俄罗斯的网络生态系统

俄罗斯拥有一个复杂的网络行为体生态系统。这些行为体包括军队、安全机构、国家招募的网络犯罪分子、受国家胁迫的技术开发者、受国家鼓励的爱国黑客、自愿采取行动的自称爱国黑客。甚至俄罗斯的私营军事公司也向其客户提供网络行动、信号情报(SIGINT)和其他数字能力。这些行为体共同构成了一个庞大、复杂、往往不透明且充满活力的生态系统。俄罗斯政府对这个生态系统拥有强大的权力,既可以控制其整体形态(例如允许大量网络犯罪在俄罗斯境内进行),也可以根据需要利用特定行为体。同时,决策并不总是自上而下的,因为创业型网络犯罪分子和黑客——很像俄罗斯商业和犯罪领域的“暴力企业家”,或争相向普京推销创意的“灵活组织机构”——会主动出击,构建自己的能力,并将其出售给国家。

不同安全机构、不同层级、不同地区乃至全球的安全机构与俄罗斯黑客的关系也随时间推移而变化。当地安全部门今天可能为一群黑客犯罪分子提供合法掩护(当然,在必要的报酬易手之后),明天一支莫斯科的团队就招募他们参与国家行动。虽然克里姆林宫与黑客之间有一种“社会契约”——主要关注外国目标;不破坏克里姆林宫的地缘政治目标;响应俄罗斯政府的要求——但它对特定网络犯罪团伙的容忍度也可能随时改变。

在俄罗斯政府方面,参与进攻性网络行动的主要单位是联邦安全局(FSB)、联邦武装力量总参谋部情报总局(GRU)和对外情报局(SVR)。俄罗斯没有正式的、集中协调的网络司令部;尽管在2010年代曾尝试过,但从未成立。俄罗斯国防部最初在2014年前后努力建立网络司令部,后来才知道,这一努力被随后成立的信息作战部队所取代,该部队似乎具有一些协调职能——尽管专家们仍在争论其与“网络司令部”的相似性以及其与总统办公厅等机构相比的指挥水平。因此,尽管俄罗斯安全机构可以相互协调其(网络)行动,但他们的互动更多的是竞争而非合作。

这种潜在重叠或低效的最突出例子是,2016年,与GRU相关的APT28和与SVR相关的APT29都入侵了美国民主党全国委员会,导致人们不清楚彼此是否知道对方正在进行类似的活动。由于这些机构的一般职责(例如,SVR负责人工情报,而FSB主要负责国内情报)并不适用于数字和网络世界,这加剧了这种行动摩擦。这三个机构都会入侵军事和民用目标,例如,FSB积极瞄准和入侵俄罗斯境外的组织。每个机构的网络行动方式也不同,通常与其整体机构文化一致。例如,GRU以其肆无忌惮的动能行动(包括破坏和暗杀)而闻名,执行最大胆、最具破坏性的网络行动,而SVR则强调保密,专注于悄无声息的网络情报收集,就像在SolarWinds活动中一样。尽管如此,拥有网络行动的俄罗斯国家机构仍然通过情报收集活动、破坏性行动以及两者相结合的行动(例如黑客和泄密活动)对美国、乌克兰、西方和许多其他国家构成活跃威胁。

除了政府部门本身,俄罗斯还鼓励爱国黑客(有时只是年轻且技术精湛的俄罗斯人)通过电视和网络言论(例如有关乌克兰的虚假信息)攻击外国目标。不同的安全组织,例如俄罗斯联邦安全局(FSB),可能会雇佣网络犯罪分子执行特定的情报行动,并根据他们渗透的目标支付报酬。其他私营公司则主动向国家推销自己的服务,竞标政府合同,并支持一系列进攻能力发展、研发和人才培养工作(包括防御性活动以及良性甚至全球网络安全方面的积极活动,这些活动超出了本文的讨论范围)。俄罗斯私营军事公司也越来越多地向其全球私人和政府客户提供与信号情报(SIGINT)相关的能力。与此同时,俄罗斯始终有能力针对境内与国家无关的特定个人和公司,施加相应压力,并迫使他们协助国家实现网络目标,而国家可以运用这些手段来达到非凡的效果。

正如历史学家斯蒂芬·科特金所指出的:“俄罗斯政府可以让那些持有二元对立观点的分析师感到困惑。”虽然这个生态系统有几个核心主题——复杂性、国家腐败、对网络犯罪的极度容忍甚至默许支持、无数的攻击性网络行为体——但俄罗斯的网络生态系统既不适合放入整齐的盒子里,也不适合整齐地运行。

尽管这些行为体对乌克兰和西方构成了诸多威胁,但假设俄罗斯政权控制着境内所有网络活动,这不仅不准确(例如,俄罗斯幅员辽阔;行为体众多;并非完全自上而下),而且这种假设对克里姆林宫来说只是一种“有用的虚构”。它使整个体系显得极其高效和协调,为那些不连贯或战术上短视的行动披上更大战略的外衣,并将普京置于所有网络行动决策的中心。这种想法,无论有意还是无意,都会进一步强化这样一种观念:克里姆林宫的动机明确、根深蒂固,或受某种“混合战争”战略驱动。这也掩盖了一个事实:与许多确实发布官方“网络战略”的西方国家不同,俄罗斯没有明确的网络战略文件,而是借鉴了一系列文件和笼统的“信息安全”概念来构建信息、互联网和网络力量。

相反,正是俄罗斯网络生态系统的多向性、模糊性和动态性,使得网络活动瞬息万变,滋生了跨部门竞争,加剧了腐蚀性的腐败和竞争,并为克里姆林宫提供了一系列人才、能力和资源,使其能够根据需要(合理或不合理地)利用、引导和阻止这些威胁。正是这种动态性和多向性,使得俄罗斯的网络威胁如此复杂——国家深思熟虑的决策、克里姆林宫的纵容、创业精神、竞争、轻微腐败和无能交织在一起,构成了如今的俄罗斯网络综合体。不同层级、不同组织的政府机构与非政府网络附属机构间的关系经常发生变化;例如,持续攻击西方关键基础设施的勒索软件组织可能会活跃数月,然后因内部冲突而瓦解,并重组为新的组织,将旧的策略和人才进行新的组合。这也是为什么迄今为止对俄罗斯全面对乌克兰发动军动行动期间的网络行动的了解,为评估这一生态系统的现状提供了如此宝贵的案例研究——再加上过去事件的教训(如俄罗斯在2007年对爱沙尼亚、2008年对格鲁吉亚和2014年对乌克兰的网络攻击),有助于更好地衡量未来的威胁。

03

俄罗斯的网络力量怎么了?

网络行动在俄乌战争中发挥了重要作用。这些活动范围广泛,从导致乌克兰网站瘫痪的分布式拒绝服务(DDoS)攻击,到乌克兰爱国黑客对俄罗斯政府网站的攻击(乌克兰称之为“IT军队”),再到俄罗斯使用无数恶意软件变种窃取数据,并针对乌克兰Telegram聊天和安卓移动设备发动攻击。无需详细追溯每项重大行动的时间表——这既不是本文的重点,也并非公开信息所能涵盖——但显而易见的是,俄罗斯和乌克兰军队及其盟友、合作伙伴和代理人已将网络行动纳入战争的军事、情报和信息层面。

网络力量的定义有很多种,绝非仅限于进攻能力。就俄罗斯而言,分析人士可以关注俄罗斯的国家网络威胁防御系统——通用信息网络监控和管理中心(GosSOPKA),该系统有效地整合了入侵检测、漏洞管理和其他技术,供处理敏感信息的实体使用——以及俄罗斯在全面入侵乌克兰后立即遭遇的严重IT人才流失问题。正如去年大西洋理事会的一项研究所探讨的那样,俄罗斯日益增长的数字技术孤立主义——这既是克里姆林宫长期以来的目标,也是日益现实的现实——导致其在某些领域(例如软件)更加独立,同时也加剧了其他领域的依赖和战略脆弱性,例如对外国硬件的依赖。不过,本文的重点仍将放在俄罗斯的进攻能力上。

正如上文所强调的,美国和西方在2022年2月前的预期主要集中在俄罗斯将大规模开展破坏性网络行动。在这些情况下,俄罗斯将利用其国家、国家附属机构、国家支持以及其他能力,对乌克兰关键基础设施(电信、供水系统、电网等)造成严重破坏,并彻底增强其动能攻击。俄罗斯将“大规模使用网络和电子战工具”,以摧毁乌克兰通过数字手段进行战斗的意志。

诚然,一些预测更为慎重。一些人指出,2008年的俄格战争是俄罗斯军队有效利用分布式拒绝服务攻击(DDoS,莫斯科的“粉碎式通信”策略)结合虚假信息和动能行动来准备战场的例证,并推测如果俄罗斯进一步向乌克兰增兵,也会采取同样的行动。另一些人则强调,随着局势升级,俄罗斯关闭乌克兰电网可能是一个选项。网络安全学者伦纳特·马施迈尔和纳迪亚·科斯秋克与普遍持有的观点相反,在俄乌战争爆发前两周指出,“网络作战仍将处于次要地位,充其量只能为俄罗斯带来微不足道的收益”。他们敏锐地指出,媒体头条谈论“网络战”是基于“一种隐含的假设,即随着战略环境的变化,网络作战的作用也将发生变化”。然而,压倒性的情绪是对一些人认为真正的、由网络驱动的21世纪战争的担忧和期待。

但是,2022年2月战争爆发前后展开的网络行动出乎许多西方(包括美国)评论员的预料。俄罗斯并未实施预期的网络杀伤性打击(乌克兰立即陷入黑暗)。与2022年2月前的预期相比,乌克兰和北约的防御足以(基本)抵御最具破坏性的FSB和GRU网络行动。俄罗斯在协调网络活动和战场动能行动方面表现出严重的无能。许多专家并未预期会发生“网络末日”,但他们仍然对俄罗斯攻击的有限影响、对恶意数据擦除攻击(通过恶意软件删除系统数据)和对关键基础设施中断进行数据收集的关注,以及俄罗斯武装部队和情报部门在网络和动能行动间明显协调不力感到惊讶。

那么,如何解释预期(果断的举动、干净利落地执行的行动和可见的成果)与现实间的差距呢?现实中确实有一些行动,但主要关注的是动能活动,而对破坏性网络行动的关注远低于预期。自2022年2月以来,学者和分析人士提出了一系列假设。

正如美国国防大学学者杰基·克尔所汇编和分析的,各种评论员认为,俄罗斯未能将网络攻击纳入进攻性战役,是俄罗斯全面战争军事准备中普遍存在问题的体现;西方观察家高估了俄罗斯的网络能力;俄罗斯安全机构间协调不足和竞争阻碍了行动的成功;或者乌克兰的网络防御异常强大。有些人甚至将乌克兰在西方盟友和合作伙伴支持下的网络防御归咎于俄罗斯进攻失败的主要原因。俄罗斯网络和信息专家加文·怀尔德认为,俄罗斯更注重“打击价值(countervalue)行动”(针对民用基础设施,以打击政治领导人和公众的士气),而不是“打击力量(counterforce)行动”(针对乌克兰的军事能力),收效甚微,“这表明高度复杂的情报技术被浪费在了一个存在严重缺陷的军事战略上。”

纳迪亚·科斯秋克教授和埃里克·加茨克教授写道,俄罗斯对乌克兰的全面战争是为了领土和物理控制,这使得物理军事活动远比网络行动本身重要。网络学者乔恩·贝特曼认为,传统的信号干扰和俄罗斯对Viasat卫星通信系统的网络攻击,加上一系列混乱的数据删除攻击,可能最初对俄罗斯有所帮助——但此后的网络行动的新颖性和影响力正在逐渐减弱。俄罗斯糟糕的战略、情报准备不足以及部门间不信任也被认为是破坏俄罗斯网络动能打击协调的原因。其他人则认为,俄罗斯人更想从乌克兰的系统收集情报,而不是破坏它们;俄罗斯以信息为中心的部队更适合宣传而不是网络行动;网络学者和专家的预期是完全错误的,因为俄罗斯更想对乌克兰施加物理暴力而不是实现网络相关效果——需要使用炸弹、导弹和枪支,而不是恶意软件、零日攻击和DDoS攻击。

当然,现实中可能存在多种因素同时发挥作用。上述许多学者和评论员都认识到这种多因素影响的情况,并直言不讳(尽管也有少数人坚持认为战争的网络后果只有一个普遍的解释)。然而,值得明确强调的是,鉴于人们偶尔会努力为复杂的战争活动和影响提供简化的解释,因此许多因素是并存的。例如,断定俄罗斯不再构成网络威胁是错误的。尽管乌克兰展现了非凡的意志和韧性,其网络防御能力也值得称赞,但仅仅将原因归咎于乌克兰强大的网络防御能力,同样是简化的。将此类解释视为事实会简化所涉及的诸多因素,并可能使分析和辩论偏离仍然必要的政策行动,例如美国和乌克兰间继续共享网络威胁信息。

上述这些看似合理、有证据支撑的解释并非互相排斥。俄罗斯联邦安全局(FSB)官员充满偏执、阴谋论和迎合普京的倾向,他们确实严重误读了2022年乌克兰的局势,并将这些错误信息提供给克里姆林宫,这也可能扭曲了对网络选项的评估。

跨部门竞争很可能再次削弱了俄罗斯联邦安全局(FSB)、俄罗斯联邦武装力量总参谋部情报总局(GRU)和俄罗斯对外情报局(SVR)之间协调活动的能力,更不用说与俄罗斯国防部和白俄罗斯的俄罗斯代理人之间的协调了,从而阻碍了网络行动更有效的规划、协调和执行。例如,在战争初期,俄罗斯对外情报局(SVR)的各部门很可能试图从与GRU或FSB有关联的犯罪集团不加区分地试图瘫痪或使用恶意软件清除目标数据的目标那里收集情报,这导致不协调的活动加剧紧张局势。

与地球上其他国家一样,俄罗斯网络操作人员也受到资源限制:一个黑客花一天时间入侵乌克兰能源公司,就等于没有时间监视德国侨民或与勒索软件组织合作。因此,竞争不仅存在于各机构之间——地盘之争、预算之争、谁拥有对乌克兰的首要管辖权等等——也存在于各机构内部,即谁应该花费多少时间和资源攻击哪些实体,这些都体现在俄罗斯政府对网络、军事和情报行动的更广泛考量中。此外,正如加文·怀尔德等人所指出的,俄罗斯的整体战略确实导致了一些糟糕的举动,这些举动效果有限,并在此过程中消耗了俄罗斯的各项能力(例如漏洞利用)。认识到这些可能的因素将有助于更好地分析俄罗斯的现状。

想象中的全面“网络战争”与过去3年现实之间的差距,也引出了一个问题:当初是否考虑了正确的衡量标准。尽管网络能力与现代情报行动密不可分,网络和信息能力也渗透到世界各地军队中,但战争显然远不止于网络领域。然而,整天研究网络的专家可能会无意中落入陷阱(任何人都可能遇到这种情况),让自己的研究领域成为一场包含众多变数和考量的战争的分析焦点——因此,一些评论预测俄罗斯将通过代码而非一系列军事武器摧毁乌克兰。此外,关于网络冲突如何在政治学模拟或智库兵棋推演中展开的学术理论,可能同样无法与战场现实相符,例如,在没有充分考虑俄罗斯等国家的独特背景的情况下,就概括网络如何融入战争。除此之外,在学术界、媒体、数据和人工智能(AI)时代,人们也常常希望量化一切,这掩盖了一个事实:并非所有事物都能得到有效、量化的衡量,而且统计观察到的俄罗斯网络行动的数量并对其进行评分可能仍然无法触及其无效性的根本原因。

显然,随着信息和时间的增多,美国和西方对俄罗斯网络力量的看法也在发生变化,我们值得重新思考俄罗斯未来的网络力量——不仅是为了西方如何重新调整其假设和评估威胁,也是为了西方如何准备在未来采取行动并做出反应。

04

拆开(网络)套娃

将预测与现实进行比较,我们不应该认为专家总是错的,或者俄罗斯的网络行动在 2025 年的威胁性会大大降低。我们也不应该认为乌克兰仅仅依靠西方政府和私营部门的网络防御,而俄罗斯只是在等待发动一场毁灭性的网络行动来结束这一切。

俄罗斯仍然是美国、乌克兰乃至整个西方世界一个复杂、持久且资源充足的网络威胁。这种情况短期内不会改变。克里姆林宫对网络犯罪的“打击”(逮捕行动不过是公关噱头)、美俄关系缓和的狂热言论,以及对普京愿意停止针对乌克兰的颠覆活动的痴心妄想,并不像某些人所认为的那样,预示着美国可以把俄罗斯作为核心网络问题的边缘化。

俄罗斯政府将网络和信息能力视为其军事和情报行动的关键,而克里姆林宫在其国家安全领域仍面临一个头号敌人:美国。在俄罗斯国家之外,俄罗斯境内一系列勒索软件团伙和其他黑客组织将继续攻击美国、乌克兰和西方国家的公司、关键基础设施和其他实体。美国决策者及其盟友和合作伙伴至少应采取五个步骤来评估这一威胁——针对俄罗斯网络综合体的全方位威胁,并整合迄今为止俄罗斯对乌克兰全面战争的经验教训——并在未来几年正面应对。

在评估俄罗斯战时网络行动的预期与现实之间时,应区分能力和战时执行。显然,俄罗斯在全面对乌克兰发动战争期间的进攻性网络活动与西方的设想不符,西方设想的网络攻击会切断电网、破坏水处理设施并中断通信。评估俄罗斯未能实现这一目标的原因和方式,对于理解俄罗斯的行动动机、安全机构之间的具体规划和协调、目标利益等诸多方面都至关重要。但分析师和媒体必须谨慎,避免认为俄罗斯的网络能力本身很弱。显然,当俄罗斯黑客全力以赴时——比如勒索软件团伙攻击美国医院,或者俄罗斯联邦武装力量总参谋部情报总局(GRU)追踪乌克兰手机——他们可能会造成严重后果。更好的做法是,美国以及盟国和伙伴国的政策制定者和分析人士,深入分析俄罗斯持续存在的网络威胁,涵盖勒索软件、关键基础设施攻击、移动设备黑客攻击等,同时将这些能力与实际执行中可能存在的不足进行对比。这样做将有助于更好地了解俄罗斯的网络优势和劣势,并区分网络行动的不同组成部分。

扩大分析范围,不仅要涵盖俄罗斯国家黑客,还要涵盖更广泛的俄罗斯网络综合体,包括爱国黑客和受国家胁迫的犯罪分子。西方情报重点、学术研究和行业分析主要集中在俄罗斯政府机构作为俄罗斯网络力量的主要载体上,会忽视俄罗斯整体网络综合体的重要性。正如我的同事艾玛·施罗德详细阐述的那样,将重点主要放在俄罗斯政府机构上,也会忽视公私合作在冲突中的网络行动和防御中所发挥的作用,以及评估俄罗斯方面类似公私合作动态的机会。相反,务必考虑政府承包商、军事大学、爱国黑客、受国家指派的网络犯罪分子以及上述其他行为主体的角色,这将有助于抵制将所有俄罗斯网络行动视为自上而下行为的诱惑,并阐明俄罗斯可以构建能力、招募人才和开展针对西方行动的多种方式。了解这些行为主体将有助于更好的追踪、威胁防范、防御,并在必要时的干扰。

避免陷入这样的陷阱:认为俄罗斯能够将网络和信息问题与其他双边、多边和安全相关议题区分开来——比如,一边维持对乌克兰的敌对态度,一边放松针对美国的网络行动。无论美国政府能否将针对俄罗斯的网络问题与美俄关系的其他方面(例如贸易、核安全)区分开来,西方政策制定者都应避免陷入这样的陷阱:认为俄罗斯政府目前有能力(更不用说愿意)真正认真地做到这一点:将其网络活动与其他政策和安全问题区分开来。

俄罗斯政府已将互联网和数字技术视为既可用于对抗国家的武器,也可用于对抗俄罗斯的敌人。从这个意义上讲,网络作战(以及信息作战)不仅是俄罗斯现代安全、军事活动和情报行动的核心,或许更重要的是,也是俄罗斯政权安全概念的核心。对第五纵队的偏执和宣传、对俄罗斯互联网的持续不断打压,以及认为西方科技公司和民间社会团体正在将互联网武器化以削弱克里姆林宫的持续信念,意味着该政权不会真正相信它可以将“信息安全”置之不理——这不仅包括互联网控制,还包括网络作战。政策制定者在与俄罗斯进行外交和其他接触时必须保持警惕。

继续与世界各地的盟友和伙伴共享有关俄罗斯的网络信息。多年来,军事和情报学者及分析人士一直将俄罗斯在格鲁吉亚、乌克兰和其他前苏联加盟共和国的行动称为“试验台”或“沙箱”,以此来检验俄罗斯可能在其他国家采取的行动。认为俄罗斯针对乌克兰的网络行动仅限于乌克兰境内,并认为与乌克兰进行网络威胁的双向信息共享是浪费时间和资源,这种想法在战略、作战和战术上都是错误的。恰恰相反:俄罗斯目前针对乌克兰的网络和信息活动可以让美国及其盟友和伙伴获得关键信息,了解可能在同一时间、几天或几个月后针对他们实施的、并且很有可能实施的能力和行动类型。无论是旨在羞辱政治人物的黑客攻击和泄密行动、旨在摧毁政府数据库的恶意数据擦除攻击、间谍活动,还是介于两者之间的任何行动,掌握有关俄罗斯网络威胁的实时信息只会帮助美国及其盟友和伙伴更好地保护其自身的网络和系统免受黑客攻击。

在适当情况下投资于网络防御和网络攻击。俄罗斯持续不断、复杂的网络威胁威胁着美国及其盟友和合作伙伴的一系列关键系统——军事网络、医院、金融机构、关键基础设施、先进科技公司、民间社会团体——这要求持续投资网络防御。除信息共享之外,美国及其盟友和合作伙伴还需要继续优先考虑市场激励措施,以鼓励企业加强网络防御,并满足诸如多因素身份验证、详细访问控制、强加密、持续监控、网络分段、资源丰富且充分授权的网络安全决策者等基本措施的基本要求。正如俄罗斯显然拥有一系列先进的网络能力一样,包括针对乌克兰在内的近期行动都表明,俄罗斯的行动(与许多其他大国的行动一样)仍然能够通过诸如网络钓鱼电子邮件之类的基本手段取得成功。美国及其盟友和合作伙伴需要持续加强网络防御。在适当的情况下,美国及其盟友和伙伴应确保具备开展网络攻击行动的适当能力和态势,包括先发制人地阻止俄罗斯的攻击(“前沿防御”的委婉说法)。随着克里姆林宫的偏执和阴谋论日益盛行,外交谈判和设立网络红线的想法越来越不现实。与其过度依赖外交会议或无休止的刑事起诉,不如积极缓解和瓦解威胁,这才是在未来几年保护美国及其盟友和伙伴利益免受俄罗斯网络威胁的更可行的方法。

05

结论

未来几年,俄罗斯对乌克兰全面战争中关于网络作战以及网络作战能力的经验教训将不断涌现。这些信息的涓涓细流或许能逐渐驱散围绕着来回黑客攻击的“战争迷雾”,并为俄罗斯安全机构在网络空间的协调与冲突等问题提供亟需的启示。

然而,就目前而言,美国面临的问题显而易见:俄罗斯仍然是美国及其全球盟友和伙伴持续不断、技术精湛且资源充足的网络威胁。这一威胁源自一系列俄罗斯行为体,并将继续影响全球范围内的众多美国政府机构、企业、民间社会团体、个人以及国家利益。尽管网络缓和的想法可能很美好,但普京对西方技术的偏执、俄罗斯官员坚称互联网是“中情局项目”并将Meta视为恐怖组织,以及军方和情报部门对与西方冲突和颠覆活动的兴趣,并不会随着战时停火或与美国达成新协议而消失。这些都是根深蒂固的信念和相当牢固的制度立场,在现政权下不会改变。

美国和西方的政策制定者不应该因为自2022年2月以来的预期未果而否定俄罗斯的网络实力,而应该评估威胁,解开俄罗斯网络的复杂性,并投资于正确的主动措施,以增强其未来的安全性和弹性。

声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。