引言
当今数字时代,网络安全威胁日益复杂化和严重化。根据 2024 年联邦调查局(FBI)互联网犯罪报告,美国人提交了超过 85.9 万起网络犯罪投诉,损失总额达 160 亿美元,同比激增 33%。其中,60 岁以上老年人的财务损失接近 50 亿美元。
与此同时,国家支持的高级持续性威胁(APT)活动频繁,例如黑客组织被指控预先渗透美国关键基础设施(如港口和电网),为潜在冲突做准备。这些威胁促使美国政策制定者和行业领袖呼吁采取更激进的应对措施。特朗普政府官员及部分国会议员(如国家安全顾问迈克·沃尔兹)多次强调,需通过"施加更高成本和后果"来威慑对手,而非仅依赖防御。
面对这些日益严峻的威胁,美国网络安全战略正在经历一场从被动防御向主动进攻的重大转变。2025 年 8 月 27 日,谷歌宣布组建网络"破坏部门"(cyber "disruption unit"),这一举措被视为美国网络空间战略向更具攻击性方向转变的重要标志。这不仅反映了私营科技巨头在网络安全领域角色的转变,也体现了美国政府与私营部门合作应对网络威胁的新模式。
本报告将深入探讨谷歌网络"破坏部门"的成立背景与意义,梳理美国政府与私营部门在网络安全领域合作模式的历史演变,分析每一次政策转变背后的原因和影响,并展望未来美国网络安全战略的发展方向。
谷歌网络"破坏部门":从被动防御到主动干预
成立背景与组织架构
2025 年 8 月 27 日,谷歌宣布正在组建网络"破坏部门"(cyber "disruption unit"),作为谷歌威胁情报组(Google Threat Intelligence Group)的一部分,由该组副总裁 Sandra Joyce 领导。这一部门的核心目标是寻求"合法且道德的破坏"选项,通过主动识别并瓦解网络攻击活动,实现从被动反应向主动应对的转变。
Joyce 在宣布这一消息时表示:"我们在谷歌威胁情报组正在做的是情报主导的主动识别机会,我们可以实际瓦解某种类型的活动或行动",目标是"如果我们现在要有所作为,我们必须从被动转向主动"。该公司强调将寻求"合法且合乎道德"的干扰选项,通过主动识别并挫败攻击活动,实现从被动防御向主动应对的转变。
谷歌网络"破坏部门"的成立是在该公司一系列网络安全举措的基础上进行的。2021 年 10 月,谷歌曾宣布成立网络安全行动小组(Cybersecurity Action Team),该团队主要由谷歌内部选拔的专家组成,将"肩负支持政府、关键基础设施、企业和小型企业的安全和数字化转型的独特使命"。该团队主要在四个关键领域提供服务:战略咨询、信任与合规、安全服务和解决方案、威胁情报和事件响应。
此外,谷歌威胁分析小组(TAG)也一直在积极追踪全球网络威胁。截至 2021 年,TAG 已经对全球 50 个地区的 270 多个威胁行为组织展开追踪。当谷歌检测到它们通过网络钓鱼电子邮件等手段发起攻击时,会及时向用户发出警告。
战略定位与运作模式
谷歌网络"破坏部门"的战略定位具有多重意义:
战略转变:标志着私营部门从传统的"检测-响应"模式向"主动识别-瓦解"模式的转变。
功能拓展:该部门将专注于情报主导的方式,主动识别机会以瓦解特定类型的网络攻击活动。
合作机制建立:谷歌正在寻求合作伙伴参与该项目,表明其希望建立更广泛的行业联盟。
值得注意的是,谷歌对该部门的具体运作方式和技术手段保持谨慎,Joyce 表示更多细节将在未来几个月公布。这种谨慎态度反映了在"主动防御"与"黑客反击"之间灰色地带行动的敏感性。
与行业趋势的关联
谷歌网络"破坏部门"的成立并非孤立事件,而是反映了整个科技行业在网络安全策略上的转变。同时,其他科技巨头也在加强自身的网络安全能力。例如,微软数字犯罪部门(DCU)多年来一直通过法律手段和技术对策打击网络犯罪。2025 年 5 月,微软领导了一项针对 Lumma Stealer 恶意软件的全球行动,通过法律手段查封了该恶意软件使用的互联网域名。
这些举措共同构成了一个趋势:科技巨头正在从单纯的防御者转变为网络空间的积极参与者,通过各种合法手段主动瓦解网络威胁。这一动向与特朗普政府及部分国会议员主张的进攻性网络战略相呼应,包括讨论通过"私掠许可证"授权私营企业开展目前法律禁止的进攻行动。
美国政府网络战略的演变:从防御到进攻
初期阶段:从防御到有限进攻(2000 年代初-2010 年)
美国政府早期的网络安全策略主要集中在防御方面,随着网络威胁的日益复杂化,政策开始向有限进攻性方向转变。这一阶段的标志性事件是 2010 年被曝光的"震网"(Stuxnet)病毒攻击,该攻击针对伊朗核设施,是首个被确认由国家支持的针对物理基础设施的网络武器。
"震网"病毒攻击是由美国和以色列共同发起的代号为"奥运会行动"(Operation Olympic Games)的秘密行动,由美国时任总统奥巴马亲自下令实施。这次攻击成功破坏了伊朗纳坦兹核工厂的铀浓缩离心机,据报道导致约 1000 台离心机失效。这一事件开创了通过网络武器对物理世界关键基础设施造成实际破坏的先例,标志着美国进攻性网络战略从理论走向实战的重要里程碑。
变化原因:
传统防御措施无法有效应对国家级网络威胁
需要发展新型战略工具应对伊朗核计划
网络武器提供了比军事打击更具隐蔽性和可否认性的选项
影响:
证明了网络武器可以对物理基础设施造成实质性破坏
开创了国家级进攻性网络行动的先例
引发了国际社会对网络武器军备竞赛的担忧
奥巴马政府时期:制度化的谨慎进攻(2010-2016)
奥巴马政府时期,美国网络战略开始系统化和制度化,但仍保持相对谨慎的态度。2010 年 5 月,美国网络司令部正式成立,标志着美国"网军"的形成。该司令部具备发动主动攻击的权限,而无需考虑对美国产生攻击威胁的计算机是否处于美国国内,并且在 2016 年获得升级,被升格为作战司令部。
2012 年 10 月,奥巴马签署了属于绝密的《第 20 号总统政策指令》(PPD-20)《美国网络作战政策》,将网络作战提升到传统作战的地位,为进攻性网络空间作战能力的使用打开了大门。这份政策令明确了美国政府实施防御性网络空间作战和进攻性网络空间作战的原则和程序,授权美军可以更积极地反击外国政府以及非国家行为体发动的网络攻击。
PPD-20 设置了严格的审批流程,要求发起能导致"重大后果"的网络行动前,需层层审批并取得总统的首肯。这种谨慎态度反映了奥巴马政府对网络武器潜在风险的担忧。
变化原因:
"震网"行动后需要建立更系统化的网络行动框架
网络威胁的增加要求更有组织的应对机制
需要平衡进攻能力与风险控制
影响:
建立了网络作战的制度化框架
确立了总统对重大网络行动的最终控制权
为后续网络战略发展奠定了基础
特朗普政府时期:授权下放与进攻加速(2017-2020)
特朗普政府时期,美国网络战略明显转向更具进攻性的方向。2017 年 8 月,特朗普政府将原隶属于战略司令部的网络司令部升级为一级联合作战司令部,成为美国第 10 个联合作战司令部。
2018 年 8 月,特朗普签署命令,推翻了奥巴马时代的 PPD-20 政策指令。随后,特朗普政府发布《第 13 号国家安全总统备忘录》(NSPM-13),授予国防部长更大的权限,以开展进攻性网络行动。这一变化被描述为"向进攻性上迈出的一步",有利于给军事行动提供支持,制止外国势力对选举造成的干扰,甚至还能就偷窃知识产权的行为作出更强有力的回击。。
变化原因:
对奥巴马时期网络行动审批流程过于繁琐的不满
应对 2016 年美国大选干预等事件的需要
特朗普政府更倾向于强硬和直接的应对方式
影响:
显著降低了进攻性网络行动的审批门槛
大幅增加了美国进行的网络空间行动数量
引入了"前沿防御"(defend forward)概念,明确提出要"在源头扰乱或阻止恶意网络活动"。
拜登政府时期:一体化威慑与公私合作(2021-2025)
拜登政府在特朗普政府网络政策的基础上,进一步发展了"一体化威慑"概念,并强调公私合作。2023 年美国《国家网络安全战略》明确提出要通过整合联邦政府的打击活动、加强公私部门实操合作等方式,来破坏和摧毁威胁行为者的网络基础设施及资源。这是美国首次在国家战略中公开进行网络打击的宣示。
美国国防部紧随其后发布的《2023 年网络战略概要》,再次强调通过与网络空间对手持续交战,破坏对手活动,增强其关键基础设施网络韧性,为赢得所谓的"决定性十年大国战略竞争"做好准备。
拜登政府时期,美国网络司令部的"前出狩猎"(Hunt Forward Operations, HFO)行动显著增加,截止 2023 年 3 月,美"前出狩猎"已经在 22 个国家执行了 47 项不同的任务,公开发布 90 多个恶意软件样本等。
变化原因:
网络威胁的持续升级,尤其是勒索软件攻击的激增
需要更有效地整合政府和私营部门的资源
大国竞争背景下对网络空间主导权的争夺
影响:
将进攻性网络行动从秘密行动提升为公开战略
强化了公私部门在网络安全领域的合作
"前出狩猎"行动的显著增加,体现了更主动的防御姿态
私营部门在网络安全中的角色演变
早期阶段:从被动防御到主动监测(2000 年代初-2010 年)
在早期阶段,私营部门主要扮演被动防御的角色,专注于开发防病毒软件、防火墙等防御性产品。2003 年,微软成立了病毒信息联盟(VIA),这是一个全球性反病毒协作平台,通过整合全球安全厂商资源,建立病毒样本交换、安全资讯共享及协同响应机制。这标志着私营企业开始在网络安全领域采取更加主动的协作方式。
变化原因:
网络威胁的复杂化要求更协同的应对方式
单一企业难以应对全球范围的网络威胁
信息共享可以提高整体防御效率
影响:
建立了私营部门间的合作机制
提高了对新兴威胁的响应速度
为后续更深入的公私合作奠定了基础
微软 DCU 的成立与发展(2010-2020)
2010 年,微软数字犯罪部门(Digital Crimes Unit, DCU)推出了 Project MARS(Microsoft Active Response for Security)计划,开始主动打击僵尸网络。这标志着私营企业从被动防御向主动应对网络威胁的重要转变。
微软 DCU 开创了一种独特的模式,结合技术和法律手段来瓦解网络犯罪基础设施。2013 年 6 月,微软 DCU 与 FBI 合作,成功打击了 1400 多个 Citadel 僵尸网络。这是一次典型的由一家私营公司和国家法律执法部门一起完成的大规模僵尸网络打击行动,开启了打击网络犯罪活动新模式的时代。
2013 年 11 月,微软进一步强化其网络安全能力,在总部大楼内设立网络犯罪中心(Cybercrime Center),旨在针对全球恶意软件、僵尸网络以及其他互联网犯罪行为进行实时追踪并予以打击。
2020 年 3 月,微软与 35 个国家和地区的合作伙伴,成功捣毁了全球最大的僵尸网络之一 Necurs。Necurs 最早出现在 2012 年,据估计感染了 900 万台电脑。微软及其合作伙伴破解了 Necurs 的域名生成算法,得到 Necurs 将随机生成的域名列表,从而阻止了犯罪分子的网络犯罪行为。
变化原因:
僵尸网络等威胁对微软产品生态构成严重威胁
传统的被动防御无法有效应对大规模网络犯罪
微软拥有技术能力和法律资源进行主动打击
影响:
开创了私营企业主动打击网络犯罪的先例
建立了与执法机构合作的新模式
证明了技术和法律手段结合的有效性
谷歌的网络安全行动与"破坏部门"成立(2018-2025)
谷歌在网络安全领域也逐步加强了自己的角色。2018 年 1 月,谷歌母公司 Alphabet 成立了网络安全子公司 Chronicle。该公司作为 Alphabet 第 13 家独立运营实体,致力于通过人工智能技术提升企业安全防护能力。
2021 年 10 月,谷歌宣布成立网络安全行动小组(Cybersecurity Action Team),该团队主要由谷歌内部选拔的专家组成,将"肩负支持政府、关键基础设施、企业和小型企业的安全和数字化转型的独特使命"。该团队主要在四个关键领域提供服务:战略咨询、信任与合规、安全服务和解决方案、威胁情报和事件响应。
2025 年 8 月,谷歌宣布成立网络"破坏部门"(cyber disruption unit),作为谷歌威胁情报组(Google Threat Intelligence Group)的一部分,由该组副总裁 Sandra Joyce 领导。这一部门旨在寻求"合法且道德的破坏"选项,通过主动识别并瓦解网络攻击活动,实现从被动反应向主动应对的转变。
变化原因:
网络威胁对谷歌云服务和用户构成的风险增加
传统的威胁情报收集已不足以应对高级威胁
需要更主动的手段来保护用户和生态系统
影响:
标志着谷歌从防御向有限进攻的战略转变
可能引领行业向更主动的网络安全模式转变
为公私合作打击网络犯罪提供新的可能性
政府与私营部门合作的新模式
公私合作打击网络犯罪
随着网络威胁的复杂化,政府与私营部门的合作日益紧密。微软 DCU 与 FBI 合作打击 Citadel 僵尸网络就是一个典型案例。这种合作模式通常包括:私营企业提供技术支持和情报分析,政府提供法律授权和执法力量。
2020 年,微软与 35 个国家合作捣毁 Necurs 僵尸网络的行动,进一步展示了这种合作模式的有效性。微软获得法院授权,接管了 Necurs 在美国的现有域,并且预测了未来 25 个月内该网络可能创建的 600 万个域,通报给世界各地的域名管理机构,防止将来遭到攻击。
此外,2024 年 10 月,微软的数字犯罪部门(DCU)通过法院授权查封了 66 个由俄罗斯国家支持的黑客组织 Star Blizzard 使用的独特域名。这次行动是与非政府组织信息共享与分析中心(NGO-ISAC)合作进行的,并与美国司法部协调,后者同时查封了 41 个额外域名。
变化原因:
网络威胁的复杂性超出了单一部门的应对能力
私营企业拥有技术专长和全球视野
政府拥有法律授权和执法能力
影响:
建立了更有效的网络犯罪打击机制
提高了对国家支持的网络攻击的应对能力
为更深入的公私合作创造了先例
"私掠许可证"立法尝试
近年来,美国国会出现了授权私营企业开展境外网络报复行动的立法尝试。2025 年 8 月,众议员 Schweikert 提出了《2025 年网络犯罪标记和报复授权法案》(H.R. 4988 Cybercrime Marque and Reprisal Authorization Act of 2025)。该法案基于美国宪法第一条第八款赋予国会的权力,旨在授权美国总统发布"标记和报复信"(letters of marque and reprisal),针对对美国实施侵略行为的网络犯罪集团。
该法案的核心内容包括:
授权范围:允许总统委任私人武装人员和实体,在美国及其领土地理边界之外采取行动
目标对象:针对总统认定的网络犯罪集团成员或与网络犯罪企业相关的共谋者
行动限制:授权采取"合理必要手段"扣押这些人员及其财产,但需提交足够的保证金确保按照条款执行
网络犯罪定义扩展:详细定义了"网络犯罪"范围,包括未授权访问计算机获取国家安全信息、"杀猪盘"诈骗、勒索软件攻击、加密货币盗窃等
目标范围扩展:将"犯罪企业"的定义扩展到包括外国政府,意味着法案可针对国家支持的网络犯罪活动
这一法案实质上是将历史上用于应对海盗行为的"私掠许可证"机制应用于现代网络犯罪领域,授权私营企业在美国境外对网络犯罪集团采取报复行动。
变化原因:
传统执法机制对跨境网络犯罪的应对能力有限
私营企业拥有技术能力但缺乏法律授权
政府希望通过私营部门扩展其网络行动能力
影响:
可能模糊国家与非国家行为者的界限
引发关于法律边界、国际关系和潜在升级风险的担忧
可能导致网络空间军事化加速
进攻性网络政策面临的挑战与争议
法律与伦理边界模糊
在网络空间,"主动防御"与"黑客反击"的界限难以界定。例如,破坏攻击者系统是否构成非法入侵?私掠许可证制度可能变相鼓励跨境非法行动,违背国际法原则。
技术可行性与成本问题
进攻性网络行动本质上"缓慢而繁琐",需要高度专业化的团队和持续资源投入。
归因与信号传递难题
网络行动的隐蔽性使其难以公开邀功,从而削弱威慑信号。德克萨斯 A&M 大学教授加里·布朗建议,政府需配套发表声明"明示行动来源",但此举可能暴露情报能力。
未来发展趋势
公私合作的深化
随着谷歌、微软等科技巨头在网络安全领域的角色日益重要,未来公私合作将进一步深化。私营企业可能在法律框架内承担更多主动防御甚至有限进攻的职责,而政府则提供法律授权和情报支持。
法律框架的完善
随着进攻性网络行动的增加,相关法律框架需要进一步完善,明确政府和私营部门的权责边界,以及国际法在网络空间的适用规则。"私掠许可证"等立法尝试可能会经过多轮修改和讨论,最终形成一套更加平衡的法律机制。
技术与伦理标准的统一
随着进攻性网络行动的增加,行业内部可能会形成一套统一的技术和伦理标准,规范这类行动的实施方式和边界条件。谷歌等科技巨头试图以"伦理框架"规范进攻性行动,但目前仍缺乏统一标准。
国际规则的构建
面对网络空间军事化加速的趋势,国际社会可能会加强对网络空间规则的构建,包括明确关键基础设施攻击的红线,建立基于规则的网络秩序,以及发展多边治理机制。
总结
美国网络安全战略的进攻性转向反映了应对日益严峻网络威胁的紧迫性。从奥巴马政府时期的"震网"攻击和 PPD-20,到特朗普政府的 NSPM-13 和"持续交战"战略,再到拜登政府的"一体化威慑"和"前出狩猎"行动,美国政府的网络战略经历了从谨慎有限的进攻到更加主动积极的进攻的转变。
同时,私营部门也从单纯的防御者转变为网络安全的积极参与者。微软 DCU 通过法律和技术手段打击僵尸网络,谷歌成立网络"破坏部门"寻求"合法且道德的破坏"选项,这些都体现了私营企业角色的转变。
政府与私营部门的合作也日益紧密,从早期的信息共享,到联合打击网络犯罪,再到可能的"私掠许可证"授权,合作模式不断创新和深化。
然而,进攻性网络战略也面临诸多挑战,包括法律与伦理边界模糊、技术可行性与成本问题、威慑效果与升级风险以及归因与信号传递难题。未来,美国网络战略的发展将需要在有效应对威胁和维护网络空间稳定之间寻找平衡点,并通过完善法律框架、统一技术伦理标准和构建国际规则来实现这一目标。
正如安全与技术研究所专家梅根·斯蒂费尔所言:"无论采取何种进攻策略,必须首先建立影响评估机制——我们如何知道它是否有效?"缺乏衡量的进攻,终将成为失控的冒险。
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
