编者按
美国战略和国际研究中心(CSIS)9月4日发表题为《赢得网络战的攻略:评估美国网络战略》的报告,概述了美国网络战略、网络战略的核心要素、网络能力布局,研究了美军针对“伊斯兰国”的网络作战行动案例,并针对美国网络实践进行总体评述。
报告称,美国拥有广泛的网络基础设施、网络行动的战略方针以及先进技术的运用,被公认为全球最强但保持克制的网络攻击行为体;美国情报部门和美国网络司令部拥有强大的能力和日益增强的权力,可以针对海外对手开展行动,且美国的工具和精准度“无与伦比”,强大的联盟和伙伴关系更是成为“力量倍增器”;但美国进攻优势被巨大的攻击面和薄弱的国内防御所抵消,因为美国采取了零散的防护措施,将网络防御交给私营实体,这种防御态势堪比“网络的马其诺防线”;攻强守弱以及对网络攻击的法律和道德约束,导致美国不愿使用现有工具,也不愿对攻击者进行反击,反而以应对犯罪或自然灾害的方式应对针对美国本土的网络攻击;在网络领域,美国面向国外的部门与面向国内的部门存在清晰界限,无法有效震慑敌对的外国势力或海外网络犯罪分子;强大的进攻和薄弱的防御相结合意味着美国政府很容易在网络领域自我震慑,不敢采取果断行动;如果美国希望在现代战争中有效竞争,就必须消除这种混乱和自我震慑;美国必须建立一个思考网络空间作用的框架,确定网络活动如何与更广泛的外交政策行动相协调,从而将当今犹豫不决的立场转化为强有力的政策工具。
报告称,美国网络空间活动的大致可以分为网络间谍活动、网络攻击和网络防御三类;网络领域非常适合美国所青睐的间谍活动模式,网络间谍活动是升级风险最低的情报工作形式之一,其获取信息的规模和效率甚至可能超出美国政府的消化能力;虽然美国在进攻性网络方法上进行了相对革命性的变革,但美国网络司令部仍然是一个能力卓越但墨守成规的官僚机构,受到政策制定者的不确定性的困扰,并受到自我威慑的束缚;美国网络防御是多层次的,但各层级间并没有重叠和冗余,而是留下了巨大的缺口,导致美国无法形成全面的网络防御保护伞;网络间谍活动强劲,网络攻击能力强但有所克制,网络防御相对较弱,三个因素叠加导致美国在网络领域采取谨慎态度;美国尚未形成针对网络攻击的有效威慑,同时网络领域并不遵循有利于威慑的规则,表现为网络行动易被推诿、网络攻击不直接造成致命果;美国需要更加深入地思考如何弥补战略上的不足,包括在网络防御方面封堵亟待弥补的漏洞、在网络进攻方面研究如何将网络活动纳入更广泛的外交政策工具箱。
报告称,美国面向国外的机构实力雄厚但在美国境内运作受到严格限制,而面向国内的机构则设计薄弱且运作方式受到严格限制,总体来说美国网络能力主要分布于军事网络部门、民事政府机构和私营部门。美国军事网络部门主要包括四个方面:一是美国网络司令部。该司令部是由各军种支持的统一网络司令部,根据美国第13号国家安全总统备忘录、《美国法典》(第10、32和50编)以及各项国防授权法案中的规定的授权,通过四类网络任务部队开展军事网络行动。二美军各军种网络部队。美军各军种网络部队为各自所属的作战司令部提供支持,并可根据指示执行进攻性网络空间作战。三是美国国家安全局。该局是全球知名的计算机网络行动机构,其行动方式讳莫如深,但曝光情况展现了其精湛的技能和高度精准的针对性。四是美国国防信息系统局。该局作为作战支援机构,主要目标是保护美军网络,并在军事行动期间为美国国防部、国家领导人和盟友提供指挥、控制和信息共享能力。
美国民事网络机构主要包括七个方面:一是美国国家安全委员会。其中负责网络和新兴技术的副美国国家安全顾负责向美国总统提供建议、制定网络政策并制定新兴技术战略方针。二是美国国家网络总监办公室。该机构负责监督国家网络安全、联邦网络安全、网络预算审查与评估、技术和生态系统安全、规划和网络事件响应、网络人才发展、利益相关者参与等七方面工作,旨在组织联邦政府应对网络威胁。三是美国国务院。美国国务院主要通过网络空间和数字政策局开展网络外交和对外援助活动,通过国际信息与通信政策部门、国际网络空间安全部门开展国际互联网治理和网络威胁联合打击。四是美国国家情报总监办公室下属的网络威胁情报整合中心。该中心负责向关键决策者和网络防御者提供情报界获取的情报以及商业网络情报,支持国家网络政策和规划工作,并协调整个情报界的网络情报收集和投资方法。五是美国中央情报局的数字创新部门。该部门负责确保美中情局配备在现代互联世界中运作所需的工具和技术,涵盖从网络安全到IT基础设施的各个领域。六是美国联邦调查局。美国联邦调查局有权调查模糊犯罪活动与国家安全界限的网络事件,其网络机构两个部分组成,包括嵌入其外地办事处的网络能力部门,以及位于总部的犯罪、网络、响应和服务部门。七是美国国土安全部的网络安全和基础设施安全局。该局是联邦网络安全的运营领导机构以及关键基础设施安全和弹性的国家协调机构,主要通过其网络安全部门促进网络防御。该局网络安全部门的任务是加强美国国家网络防御以应对直接威胁和漏洞,以及建设抵御和应对网络事件的长期能力。该局还领导了联合网络防御协作组织,旨在促进公私合作的网络防御规划和网络安全信息融合与分析。
报告研究了美军针对“伊斯兰国”的“光辉交响曲行动”,得出如下重要发现:一是联合特遣网络部队模式行之有效,此次行动的关键在于联合特遣部队阿瑞斯、美国网络司令部、联邦调查局、国家安全局等机构间的密切协调;二是跨部门政策和流程的建立不足以满足有效网络空间作战对速度、规模和范围的要求,协调工作导致的延误和行动设计的变更可能降低了行动的整体效能;三是相对扁平的层级结构帮助作战人员克服了一些沟通和理解方面的挑战,通过与高级军官直接沟通,作战人员能够准确、快速地做出决策,并将过程中的沟通失误降至最低。
报告称,美国在网络领域拥有卓越的进攻和间谍能力,但相对较弱的防御态势严重阻碍了上述进攻能力;网络卫生状况参差不齐、地方级IT预算不足以及网络威慑力不足三者共同作用,造成美国网络防御支离破碎;美国的网络战略体系已落入事实上的僵局,这一战略未能反映美国在其他领域的全球主导地位;美国国家安全机构需要立即提高紧急程度,并向非国家安全实体通报网络领域明显且现实的危险;美国政策制定者需要认真重视制定新的网络领域比例和威慑战略,并努力将上述工具与其他外交政策选项结合起来。
奇安网情局编译有关情况,供读者参考。
赢得网络战的攻略:
评估美国网络战略
01
美国网络战略概述
美国被公认为全球最有效的网络攻击行为体之一,但同时也保持着克制。这种高效的声誉建立在其广泛的网络基础设施、网络行动的战略方针以及先进技术的运用之上。情报部门和美国网络司令部拥有强大的能力和日益增强的权力,可以针对海外对手开展行动。此外,美国的工具和精准度无与伦比,而强大的联盟和伙伴关系则是力量的倍增器。
然而,这种进攻技巧被巨大的攻击面和薄弱的国内防御所抵消。美国采取了零散的防护措施,试图覆盖高度互联社会中广泛的攻击面。它在很大程度上将网络防御交给了私营实体,要求企业(从跨国公司到街角小店)浏览令人眼花缭乱的软件包、网络供应商和有效防御指南。当出现问题时,美国联邦调查局可以调查有限的案件,但对海外的不法分子却无能为力。这种防御态势堪比“网络的马其诺防线”:或许在某些地方感觉安全,但对手可以轻易绕过现有防御系统,找到薄弱环节,并利用国内关键基础设施网络防御的巨大漏洞。
这些特点(强大的攻击力、对攻击行为的强大法律和道德约束以及薄弱的防御)加在一起,导致美国不愿使用现有工具,也不愿对攻击者进行反击。美国政策制定者无意识地制定了一项默认政策,将针对美国本土的网络攻击归类为犯罪或自然灾害。应对措施是恢复、重建,并呼吁提高韧性,但很少有当权者将此类攻击称为敌对攻击,或采取足够积极的反击措施以阻止未来的攻击。
强攻弱守的二分法源于面向国外的部门(例如美国中央情报局、国家安全局和美国网络司令部)与面向国内的部门(例如美国国土安全部、能源部以及众多州和地方机构)之间清晰的界限。美国政府的核心原则一直是向国外投射实力,但在国内则尊重企业自由和个人自由。因此,美国防部可能具备网络作战能力,而地方水处理厂却可能不具备。
在国内领域,美国政府在很大程度上将自身事务委托给私营部门管理。正如私营机构负责雇佣保安人员以进行威慑和日常安保一样,它也负责管理网络领域的安全。帕洛阿尔托网络、群击和曼迪昂特等一批强大的私营实体如雨后春笋般涌现,为那些负担得起的人提供此类服务。但许多实体却无力承担,尤其是负责关键基础设施的小型公用事业公司。
在网络领域,美国防部在常规武装冲突中发挥的防御和威慑作用不可比拟。美国联邦调查局的职能类似于网络警察:它会在特定犯罪发生后进行调查。然而,对于那些身处海外且极不可能被起诉的网络犯罪分子来说,这几乎起不到威慑作用。购买了保险的私营实体可以依靠这笔资金,但那些没有购买保险的私营实体则必须收拾残局,尽可能寻求补救措施,然后继续运营。对于数据被盗、生活被扰乱的个人受害者来说,他们无法恢复。与私营实体一样,美国政府实体也面临着同样的挑战。美国网络安全和基础设施安全局可以提供帮助,通常会与美国联邦紧急事务管理局合作,发放网络安全拨款项目。但在整个应对过程中,缺少的一点是承认网络犯罪分子并非罪犯或自然灾害,而是敌对的外国势力,这些攻击是对手外交政策战略中自觉的一部分。
对手不断利用弱点。例如,2023年,外国政府支持的黑客组织入侵了美国电信、能源、水利和其他领域,再次证明了美国国内基础设施的脆弱性。与此同时,伊朗、俄罗斯等国一直努力将其国内互联网与世界的影响隔离开来——这对于信奉开放社会和言论自由的自由民主国家来说并非明智之举。美国可以从乌克兰身上学到很多东西,乌克兰的经验已经证明,投资于韧性建设是值得的。俄罗斯曾多次将乌克兰的电网、银行业和通信基础设施作为攻击目标,但收效甚微,这在很大程度上要归功于乌克兰在过去十年中建立的有效且积极的防御体系。
提升防御和进攻能力是实现更大总体目标的关键要素:制定连贯的战略,将网络空间无缝融入外交政策,使决策者能够运用网络空间。为了将当今犹豫不决的立场转化为强有力的政策工具,美国必须建立一个思考网络空间作用的框架。它必须确定网络活动如何与更广泛的外交政策行动相协调,包括威慑、比例反应和国际规范。美国政府的应对措施缓慢而有限,并未挑战对手的风险考量。例如,针对美国国务院网络遭攻击导致数TB信息被窃取一事,美国战略和国际研究中心的詹姆斯·安德鲁·刘易斯在2009年写道,“如果俄罗斯间谍开卡车到国务院,砸碎玻璃门,绑住警卫,连夜运走文件柜,这将构成战争行为。但当这种事情发生在网络空间时,我们几乎不会注意到。”14年后的2023年隶属于伊朗伊斯兰革命卫队的行为体袭击了美国的水处理设施。美国财政部随后宣布对已受到严厉制裁的伊朗伊斯兰革命卫队实施制裁——这是一个重要姿态,但缺乏实际影响。数十年来此类做法导致网络领域完全缺乏威慑力。鉴于这种行为模式,外部行为体不得不认为美国在网络空间几乎没有真正的红线。
近几届美国政府已明确表示,他们保留使用一切国家权力应对网络空间行动的权利。但目前仍不清楚应如何使用这项权力以及应对何种行动。例如,对于如何解读针对经济系统或与国防相关的系统的攻击,指导混乱或不足。网络空间也是一个不断变化的领域。英国国际战略研究所在2021年美国网络实力报告中指出:“网络威胁持续演变的速度甚至对像美国这样先进的政策流程也具有极大的破坏性。”与此同时,美国政府领导人已公开表示对应对措施自我设限,表明这些应对措施将是适度的。例如,美国的政策是不使用武力来应对不属于武力行为的网络行动。相反,美国可以采取“外交抗议、经济禁运或其他报复行为”等措施。这项既定政策意味着一条狭窄的道路:美国政策制定者可以用外交、网络、经济、军事或信息工具应对网络攻击,但他们也寻求保持相称并缓和大多数局势。
在充满不确定性、规则和道德的荒野中制定政策极具挑战性。为此,研究人员开展了一系列兵棋推演,以测试美国决策者将如何应对不同灾难程度的严重网络攻击。兵棋推演的结果有两个明显的发现。首先,决策者在应对网络攻击时缺乏可供借鉴的知识框架。他们不知道应该将网络攻击视为战争行为还是另一种自然灾害。其次,他们无法确定需要多少证据才能做出回应,并且就如何构成相应的回应展开了激烈的争论。归根结底,强大的进攻和薄弱的防御相结合意味着美国政府很容易在网络领域自我震慑,不敢采取果断行动。如果美国希望在现代战争中有效竞争,就必须消除这种混乱和自我震慑。
02
美国网络战略的核心要素
美国网络战略的目标是双重的。首先,美国政府政策必须允许行业在不受任何需求限制的同时,在某种程度上确保安全。其次,在进攻方面,网络工具应该支持间谍活动和作战行动。美国现行的战略不太可能实现第一个目标,而且在执行第二个目标方面也显得力不从心。事后拼凑起来的防御措施,主要依靠市场力量和劝诱手段构建,不足以形成韧性。美国拥有强大的进攻能力,但政策制定者需要弄清楚如何运用它。
构成该战略的美国网络空间活动的现状大致可以分为三大主要功能:间谍活动、进攻和防御。
间谍活动:美国长期以来一直利用计算机网络行动收集其他政府的信息。大多数案例都是保密的。本报告将间谍活动与进攻或防御分开处理,许多学术研究也采取了同样的做法。间谍活动通常连接进攻和防御,因为间谍活动的工具和意图可能指向进攻和防御。此外,间谍活动的目标绝不是扰乱或摧毁,而是静静地收集信息。
进攻:美国在网络进攻方面取得了显著成功,例如2018年瓦解了干预美国选举的俄罗斯网络水军基地。这些行动受到复杂的法律和政策限制网络的管控。
防御:美国在网络防御方面落后于其实力相当的竞争对手,这主要是因为美国拥有一个自由开放的社会,并且秉持着个体实体自我保护的理念。这种模式导致了一个存在巨大缺口的去中心化体系。例如,美国国防工业基础是私营部门与政府的交汇点,但其网络防御能力也一直不足。
本章节将逐一探讨上述类别,描述这些活动的相互作用如何构建事实上的美国网络战略。鉴于间谍活动通常属于机密性质,且利用网络能力支持间谍活动总体上并无争议,且完全符合长期以来确立的间谍活动规范,因此本节特意限制了间谍活动的篇幅。本章节的重点是网络攻防。
(一)间谍活动
在国际空间,国家安全机构基本上可以自由地利用网络空间进行间谍活动,尽管由于网络空间中哪些元素真正属于外国,哪些元素极有可能触及美国公民等问题,其运作受到一定程度的阻碍,因此制定了不同的规则。间谍活动受到美国关于政府与私人实体行为规则以及禁止为经济利益而进行间谍活动的禁令的自我限制。美国政府的行动受到一系列法律和命令的约束,包括《外国情报监视法》、行政命令、总统政策指令、国家安全指令以及《美国法典》第10编和第50编下的法律。
网络领域非常适合美国所青睐的间谍活动模式。如果情报机构投入、勤勉、耐心且谨慎,就能进行谨慎、深入且持续的监视。即使以情报标准来看,网络间谍活动也已被证明具有显著的“低升级”性:即使受害者检测到入侵,也很难确定入侵的来源。此外,物理损害通常有限,这使得网络间谍活动成为升级风险最低的情报工作形式之一。
网络行动与其他强大的情报学科相结合,威力将远超预期。人力情报、其他形式的信号情报以及计算机网络行动的协同作用,使美国的行动远胜于各部分之和。网络间谍活动可以用于收集针对特定情报目标(例如领导层决策)的信息,或在战术层面上支持后续网络空间行动的规划和执行。网络间谍活动往往成果丰硕:其获取信息的规模和效率之高,甚至可能超出美国政府的消化能力。成功的网络间谍活动案例大多属于机密。
(二)进攻:力量与克制
“我们会让你付出代价,直到你明白为止。”
—约翰·博尔顿提及美国数字行动
所针对的国家
2019年,美国国家安全顾问约翰·博尔顿描述了一种新的、更具侵略性的网络攻击方法,部分原因是为了回应俄罗斯试图干预2016年和2018年美国大选。在这个分水岭时刻,美国国防机构采用了保罗·中曾根将军的“持续交战”战略。在美国国家安全委员会的协调和指导下,进攻性网络的理论和实践在国防部内部得到了明确确立,包括美国网络司令部和各军种的网络部门。这是美国当局和官僚机构的一次变革,承认美国越来越愿意突破网络领域的界限。这也使得美国网络司令部具有更具进攻性的思维方式。然而,即使在进攻性网络方法上进行了这些相对革命性的变化,美国网络司令部仍然是一个有才华但墨守成规的官僚机构,受到政策制定者的不确定性的困扰,并受到自我威慑的束缚。
1、美国如何利用进攻性网络行动
美国曾利用网络工具进行超定向打击,以实现具体、狭窄的目标:
在“光辉交响曲行动”中,美国政策制定者将网络活动作为更大规模动能行动的一部分。美国既使用常规手段打击“伊斯兰国”的武装分子,又使用网络工具破坏“伊斯兰国”的招募和沟通能力。
美国曾利用网络攻击来扰乱信息行动,例如针对“俄罗斯互联网研究机构”的行动。在该事件中,美国网络司令部采取了削弱行动,删除了该机构可能试图用来扰乱2018年美国大选的工具。
《纽约时报》在2017年报道称,美国据称使用网络工具破坏朝鲜核计划,导致导弹偏离航向。
《华盛顿邮报》于2019年报道了美国对伊朗伊斯兰革命卫队用于策划袭击波斯湾油轮的计算机系统实施网络攻击。前美国政府官员汤姆·博塞特表示:“此次行动不仅会给日益增长的伊朗网络威胁带来成本,还能保卫美国海军和霍尔木兹海峡的航运作业。”
在每起事件中,都没有造成人员伤亡和财产损失,从而限制了升级的风险。
上述每一种作战影响都被认为值得失去任何相关的情报收集。决定利用漏洞造成明显破坏,而不是保留访问权限以进行持续监视,是一种政策判断。鉴于为情报目的创建访问权限和为进攻行动创建访问权限之间存在重叠,因此始终要考虑的一个问题是,确保作战收益是否值得失去访问权限。例如,在俄罗斯干预2016年大选之后,奥巴马政府没有在网络领域对俄罗斯进行报复的一个因素是,正如《纽约时报》所说,人们担心五角大楼可能会“暴露一些最精良的武器”。
2、战略转折点:2018年权力下放
在网络领域行动的早期,有关网络行动的决策仅由美国决策机构的最高层制定。通常,美国总统负责权衡情报收集与为一项行动烧毁访问权限的权衡。但随着网络能力的完善以及决策者对网络领域的熟悉和适应程度的提高,美国决策机构已将网络行动的实施权力下放。
美国政策制定者认为该领域的活动通常风险较低,且不太可能升级。因此,近年来,美国总统们已同意将行动授权委托给美国网络司令部司令。2018年,唐纳德·特朗普总统签署了《美国第13号国家安全总统备忘录》(NSPM-13),该指令将相当一部分权力下放给国防部长,国防部长随后又将部分权力委托给美国网络司令部。该指令进一步全面授权了一系列目标,美国防部长和美国网络司令部司令无需总统或任何其他内阁部长的进一步批准即可实施这些目标。这标志着2012年奥巴马时代政策的背离,该政策要求进攻性网络行动必须获得美国总统和相关机构的批准。同样在2018年,美国国会通过了2019财年美国国防授权法案,批准在网络空间开展例行“秘密军事活动”,以“阻止、保护或防御针对美国的攻击或恶意网络活动”。新法律将网络活动等同于其他领域的例行传统军事活动,不需要高层批准。
这种权力下放使得美国能够采取更加灵活的姿态,更好地将主动行动与被动报复和清理工作结合起来。2019年,时任美国网络司令部司令的保罗·中曾根表示,美国网络司令部已经发展了其网络战略,从以被动为主的“响应部队”转变为更加主动的“持久部队”。这种主动方法旨在通过瞄准敌方网络基础设施和资源来主动破坏对手的网络活动。保罗·中曾根还表示,这种方法的基石是建立一支能够保持持久性、前沿防御并“在其虚拟领土上”对美国对手采取行动的网络部队。
(三)实施:综合行动还是机会主义?
在本系列的每一部分中,研究人员都试图回答这样一个问题:一个行为体主要是机会主义的,还是它追求的是一系列旨在实现特定目标的综合行动。美国的谨慎态度意味着,它更像是一个深思熟虑、有意识的行为体,而非机会主义者,但每一次网络攻击都包含一定的机会主义因素。美国退役陆军上校乔治·科尔巴里将美国的做法描述为“利用网络空间的机会主义因素”。
美国可能会发起一场综合行动,其目标是通过迅速摧毁敌对势力位于第三方的网络基础设施来抢占网络攻击先机。这场综合行动需要耐心构建概念、绘制网络地图,并可能获得第三方的批准,但除非机会出现,否则不可能取得进一步进展。这样的机会可能是安全措施松懈的新员工、新发现的零日漏洞,或是网络配置不当。行动者必须预先做好准备才能利用这些机会,并可能将其作为综合行动的一部分。例如,据传,“震网”攻击需要四个零日漏洞——用网络术语来说,这可是意外收获的机会,但要付出高昂的代价才能抓住。将网络权力下放给美国网络司令部司令,极大地提高了这些部队的灵活性,并使快速抓住机会的可能性大大增加。
联盟的力量
美国在网络领域(无论是在间谍活动还是进攻行动中)实力雄厚的一个重要因素是联盟的力量。信息通信技术(ICT)基础设施是全球性的,人才也是如此。能够利用北约、太平洋盟友或“五眼联盟”伙伴的能力,对美国网络司令部和美国情报界来说,无疑是力量倍增器。
以色列已多次证明自己是一个网络强国,无论是在政府能力方面,还是在强大的私营部门,其人才都是在以色列国防军中得到训练和磨练的。
英国和澳大利亚参加了“光辉交响曲行动”,以打击“伊斯兰国”对网络领域的使用。
2022年,北约为阿尔巴尼亚和黑山发挥了网络防御作用,帮助他们分别应对伊朗和俄罗斯的网络攻击。
一些学术研究探讨了某个国家在面临网络攻击时是否可以援引《北大西洋公约》第五条进行集体自卫。2014年,《威尔士峰会宣言》指出,北大西洋理事会将根据具体情况决定是否援引第五条,并向联合国安理会报告。
(四)防御:破烂不堪
“美国的网络治理高度多元化。”
—英国国际战略研究所,
《网络能力与国家实力》
将网络治理描述为“多元化”是一种委婉的说法,意思是网络治理分散甚至混乱。美国的防御是多层次的,但各层级之间并没有重叠和冗余,而是留下了巨大的缺口。美国几乎没有一个全面的防御保护伞。美国防部负责保护自己的网络(美国防部信息网络,简称DODIN),而且出于必要,这种防御能力相当强大。相比之下,非《美国法典》第10编和第50编的民事机构——从美国商务部到国家档案馆——负责资助和执行自己的网络防御,而这些防御措施长期资金不足。美国网络安全和基础设施安全局会根据要求提供选择性援助,但民事网络安全机构的容量和能力不足以覆盖整个美国政府的防御,更不用说所有利益相关者的防御了。美国国家网络总监办公室负责管理网络政策并协调美国政府的工作,但该办公室尚未正式运作,在撰写本文时,仍在美国联邦政府网络重心中寻找立足点,特别是美国国家安全委员会、网络安全和基础设施安全局、国家安全局和联邦调查局。
在美国州、地方、部落和领地层面,情况则更加严峻。由于俄罗斯试图干预2016年美国大选以及持续不断的勒索软件攻击,美国各州直到最近才开始意识到自己已成为攻击目标。目前只有少数联邦项目为州、地方、部落和领地政府提供支持,例如州和地方网络安全拨款计划以及由美国网络安全和基础设施安全局和联邦紧急事务管理局共同实施的部落网络安全拨款计划。然而,预算紧张以及对威胁性质和严重程度的分歧,阻碍了许多州对网络防御进行适当的投资,更不用说地方政府了。
关键基础设施是这种缺口最为明显的领域。在美国大部分地区,地方当局或私营实体负责运营水、电和部分交通运输。例如,在水务领域,大约有5万家水务公司,或估计有15.3万个水务系统,其中94%由地方或私营实体运营。2023年伊朗袭击多处水务设施后,美联社报道称,一个经常听到的借口是“在管道和其他水利基础设施维护资金不足的情况下,很难投资网络安全”。最终结果是,关键基础设施极易受到攻击。
2023年末,隶属于伊朗伊斯兰革命卫队圣城军的黑客组织以及来自全国各地的其他黑客组织袭击了美国宾夕法尼亚州一家市政供水局,原因是该局使用了以色列软件公司Unitronics的软件。此次攻击破坏了系统,导致水务局的屏幕上显示下一页的图像。黑客至少破坏了一个系统中的水压监测器,迫使水务局切换到手动操作。这并不是一次复杂的攻击;默认密码和松懈的安全措施就足以造成影响。
美国联邦政府提供给关键基础设施提供机构的工具充其量也非常薄弱,地方当局经常反对现有的工具。例如,在伊朗袭击发生几个月前,美国环境保护署作为水务监管机构,提出了一项规定,要求各州审计供水系统的网络安全。美国阿肯色州、爱荷华州和密苏里州提起诉讼,美国环境保护署在伊朗袭击发生几周前撤回了这项规定。前美国负责网络和新兴技术的国家安全副顾问安妮·纽伯格在2023年末告诉美联社,拟议的强制性审计可能“发现最近几周被攻击的漏洞”。
包括美国新泽西州和田纳西州在内的少数几个州已通过立法,要求加强对公用事业公司网络安全的监管。加利福尼亚州、印第安纳州和密苏里州也已出台相关法律。美联社报道称,包括宾夕法尼亚州和马里兰州在内的几个州已提出但尚未颁布立法。这两个州的“公共水务部门反对由私营水务公司支持的、旨在迫使其升级基础设施各个方面的法案”,其中包括网络安全。宾夕法尼亚州是2023年公开承认遭受伊朗黑客攻击的地区之一。
美国体制在很大程度上将网络领域恶意攻击的预防和恢复视为与犯罪或自然灾害类似。如同自然灾害袭击美国一样,对网络攻击(即使是由国家支持的组织对美国本土发动的攻击)的第一反应往往是缓解和加强防御。例如,当与伊朗有关联的黑客组织袭击美国关键基础设施时,美国立即采取的应对措施是恢复,几天后美国就实施了制裁。虽然每个人都应将安全视为自己的责任并参与基本的网络安全措施是必然的,也是必要的,但当行为体是敌对的外国势力或受其保护时,这种分散式方法的局限性就显而易见了。与资源充足、积极主动的国家行为体相比,受害者通常对问题集的理解有限,资源更是有限;他们几乎没有明确的指导,不知道什么样的安全措施才算“足够好”。此外,正如美国Sailpoint公司首席信息安全官、前美国网络安全和关键基础设施安全局和国家网络总监办公室官员雷克斯·布斯所解释的那样,对社会运作影响尤为重大的实体,例如水务和能源,在其核心业务和网络业务之间面临着文化鸿沟。他们的核心业务往往行动缓慢、井然有序,且专注于运营技术,而网络业务则快速反应,并处于信息技术的前沿。
许多勒索软件集团的运作超出了美国执法部门的管辖范围。根据世界网络犯罪指数,俄罗斯、乌克兰、罗马尼亚和尼日利亚等国与美国一起,一直位列勒索软件犯罪前十大国家之列。2021年,74%的勒索软件收入流向了与俄罗斯有关联的黑客。国家支持的攻击,例如2014年针对索尼影业的攻击,极不可能导致逮捕,因为攻击者通常足够聪明,能够避免引渡。如果攻击者知道美国将默认执法机构无权惩罚不受美国法律约束的实体,那么威慑就不存在了。
(五)网络战略如何融入外交政策
鉴于间谍活动强劲,进攻能力强但有所克制,而防御相对较弱,所有这些因素加在一起,最终都表明美国采取了谨慎的态度。在最严峻的情况下,由于担心防御薄弱的国内关键基础设施遭到报复,美国总统在网络领域采取了谨慎态度。
在其他领域——空中、海上、陆地和太空——美国拥有升级优势、在很大程度上可预见的比例原则以及完善的威慑理论,但这些在网络领域均未得到确立。美国政策制定者倾向于避免升级,更倾向于比例原则,但目前尚无既定战略来将非网络响应与网络领域的行动相匹配。问题依然存在:制裁是否是对关键基础设施遭受网络攻击的相称回应?诸如点名羞辱之类的信息宣传是否与将国内民众置于人身危险之中达到同等的严厉程度?迄今为止,这些措施均未有效建立威慑力。
比例原则挑战的一部分在于,美国的政策偏好保护平民的健康和安全——而对手经常打破这一禁忌。例如,美国通常避免破坏那些可能对非战斗人员造成无差别影响的基础设施,例如水泵站和医院。相比之下,伊朗曾多次入侵美国境内的水利设施,尽管迄今为止尚未造成任何实际损害。同样,俄罗斯也入侵了乌克兰的电网,导致数百万人陷入黑暗,并蓄意对乌克兰各地的民用基础设施发动动能打击。
然而,美国的克制是一种偏好,而非禁令。2018年,媒体报道称,美国已侵入俄罗斯电网,以报复俄罗斯对美国电网的网络攻击。美国白宫官员和时任美国网络司令部司令的保罗·中曾根拒绝置评,但表示他们对《纽约时报》关于俄罗斯电网遭攻击的报道“不担心国家安全”,该报评估称“或许表明部分入侵行为是故意引起俄罗斯人的注意”。截至本文撰写时,美国尚未将任何此类入侵转化为针对俄罗斯电网的行动。
(六)网络领域的威慑与升级
美国向对手发出的关于美国将如何(或更常见的情况是不会)报复网络攻击的信号尚未形成一丝威慑力。美国的外交政策部分建立在威慑理论和升级主导的潜台词之上。得益于强大的国防实力和采取行动的政治意愿,美国政府可以通过惩罚来形成威慑;它可以动用压倒性的力量对敌对行为进行报复,使该行动的代价过于高昂。美国还通过拒止建立了一定的威慑力:例如,防空系统可以限制空袭造成的损害,而机场的防御措施旨在让潜在的恐怖分子三思而后行,不再试图发动“911事件”式袭击。
但网络领域并不遵循有利于威慑的规则。首先,网络领域的行动比导弹袭击更容易被推诿。植入程序可能需要时间才能被发现,而且可能经过精心伪装,不留任何行动者的痕迹。这种可推诿性阻止了直接快速的报复。
其次,网络攻击通常会造成混乱或干扰,但值得庆幸的是,它们并未造成重大人员伤亡。因此,在传统网络攻击之后,要求进行报复或惩罚的呼声尚未出现。埃里卡·洛纳根和肖恩·洛纳根认为,网络升级很少会演变成严重的动能冲突,其特征通常是克制的、低于武装冲突门槛的对等反应。莎拉·克雷普斯和杰奎琳·施耐德在2019年的一项研究表明,大多数美国人不愿支持针对网络攻击采取动能报复措施,即使网络攻击的影响与传统动能攻击相当(即对关键基础设施造成严重破坏)。几乎所有通过网络活动造成致命后果的理论途径仍然是间接的。例如,关闭电网可能导致供暖或空调不足,从而可能造成死亡;网络攻击可能导致工业系统故障,导致部件爆炸,从而造成附带损害。“智能”医疗设备可能是从网络攻击到死亡的最直接途径——例如,如果一个人的蓝牙胰岛素输送装置或起搏器遭到攻击。
2017年的NotPetya事件进一步强化了这一判断。尽管NotPetya是历史上最具破坏性的网络攻击之一,影响了60多个国家,并在全球造成了超过100亿美元的损失,但值得注意的是,它并未导致事态严重升级。相反,受攻击的国家(其中一些是网络领域最强大的国家)集体发表联合声明,正式谴责俄罗斯发动了此次攻击。尽管NotPetya造成了巨大的破坏,但它并未造成人员伤亡或事态升级。
人们很容易陷入这样的假设:网络是一个相对安全的领域,无需对骚扰进行威慑。换句话说,网络威胁的后果很低,那么为什么要花费资源进行威慑呢?本项目质疑这些假设和评估是否仍然有效。近年来,网络攻击的复杂性和严重性不断升级;此外,伊朗等对手已表现出发动肆无忌惮攻击的意愿。其中一些攻击——例如对电网或水厂的大胆攻击——可能会危及美国本土的生命安全。然而,对这些攻击的报复升级速度却没有那么快。正如前文所述,目前还没有哪个国家在这个独特的领域建立起威慑力。此外,外交政策存在一定的惯性:人类很难识别并适应突然或重大的变化。换句话说,缓慢升级的侵略行为会逐渐扩大对侵略行为的容忍度;需要对系统进行冲击才能摆脱舒适但错误的范式。这些因素综合起来,可能意味着对手将有意或无意地造成重大伤亡事件,例如对关键基础设施的攻击。美国政策制定者必须在此类事件发生前就考虑到这种可能性。
2020年美国网络空间日光浴室委员会的一份报告主张实施分层网络威慑战略。该战略的最终目标是通过以下三个关键途径降低网络攻击的可能性和严重性:
美国必须规范行为“以促进网络空间的负责任行为”。
美国必须阻止那些利用美国及其盟友网络空间的对手获得利益。
美国必须保持先进的网络能力和对恶意行为者进行报复的能力,从而让对手付出代价。
美国网络空间日光浴室委员会讨论了将“拒止式威慑”理论应用于网络空间,主要通过改善美国本土的脆弱性,本质上就是阻止对手轻易攻击美国系统。一些在该领域工作的专业人士强调,这些充其量只是理想目标。在任何领域,塑造对手的行为都极其困难,尤其是在威慑力尚未得到证实的领域。在网络领域采取行动的好处是广泛的,而拒止这些好处需要比美国迄今为止所建立的更完善的网络安全体系,这或许需要一代人的变革。
美国网络空间日光浴室委员会还采用了2018年美国防部网络战略中关于“前沿防御”的措辞,该战略提出了“主动观察、追踪和反击对手行动,并在不引发武装冲突的情况下施加成本”的方法。这种方法也旨在向对手发出信号,表明美国政府愿意应对网络攻击。不幸的是,据一位受访者称,尽管美国拥有广泛的能力,“但我们仍然没有使用它们,也没有采取任何有意义的行动进行报复。即使我们采取行动,也为时已晚,缺乏必要性,而且无效,以至于我们实际上仍在鼓舞对手。”
2018年针对“俄罗斯互联网研究机构”的攻击有效地暂时将俄罗斯雇佣兵头目叶夫根尼·普里戈津的网络士兵从键盘上移除,但克里姆林宫并未承担任何实际后果,它很可能至少是默许了该机构的行动。美国盟友的情况则更加糟糕:阿尔巴尼亚、黑山和澳大利亚遭受了伊朗、俄罗斯等的大规模破坏性攻击——但它们基本上无力应对,而且几乎所有国家都不愿“点名批评”肇事者。只有阿尔巴尼亚愿意大声并反复指责伊朗对其发动的黑客攻击。但总体而言,威慑差距似乎必将扩大。
(七)关键基础设施是真正的红线吗?
2021年6月,时任美国总统拜登在针对俄罗斯的讲话中明确列出了美国16个关键基础设施部门,并宣布这些部门“绝对禁止攻击”。他表示,两国同意指派专家“就哪些领域是禁区达成具体谅解”。他呼吁“负责任的国家”对“在其领土上进行勒索软件活动的犯罪分子采取行动”。他警告说,如果俄罗斯“违反这些基本准则”,美国将“采取网络攻击予以回应”。他没有具体说明他认为什么样的网络活动是合适的目标。拜登的团队后来澄清说,他指的是破坏性攻击,而不是间谍活动,但没有人说攻击者的意图是否重要,而不仅仅是结果,或者财务损失在严重程度等级中处于什么位置。
拜登是在SolarWinds攻击和Colonial Pipeline攻击之后制定了这条明显的红线的。在SolarWinds攻击中,俄罗斯攻击者利用复杂的供应链黑客技术入侵了政府和工业领域的众多实体,而在Colonial Pipeline攻击中,表面上是私人的俄罗斯黑客很可能无意中中断了向美国东海岸的天然气输送。虽然这一政策的意图是向坚定的对手发出强有力的警告,尽管没有实质内容,但显然它留下了相当大的模糊空间。此后,微软和美国国家安全局宣布,美国关键基础设施的几个部分遭受“伏特台风”入侵,伊朗行为体则将宾夕法尼亚州的水利设施作为目标。尽管如此,美国的反应仍然保持沉默。一位受访者将这种做法描述为“画一条红线,抹去它,然后大胆地重新定义它,然后在越过它时无所作为。”
(八)构建策略
鉴于美国内部互联互通日益紧密,加之俄罗斯、伊朗等国的行动愈发激进,我们需要更加深入地思考如何弥补战略上的不足。美国在防御方面存在亟待弥补的漏洞;而在进攻方面,它必须研究如何将网络活动纳入更广泛的外交政策工具箱。过去四年,在加强防御、支持工具研发、弥合美国各机构之间的协调差距以及努力招募网络人才方面,美国取得了诸多进展。但这些努力需要延续到现任特朗普政府及之后——一位受访者称之为“方式一致的一代”。
03
能力组织
美国的体制源于推翻专横的国家政府的传统和民族精神,谨慎地在联邦层面建立制衡机制并限制权力。面向国外和面向国内的机构之间界限分明,前者实力雄厚,但在美国境内运作受到严格限制,几乎没有执法权。面向国内的机构设计薄弱,运作方式受到严格限制。例如,与美国国土安全部的合作在很大程度上是自愿的,尽管拜登政府做出了明确的战略转变,要求私营机构更加重视安全。美国联邦调查局则横跨两个领域。它参与面向国内的执法活动,例如调查勒索软件攻击,但它也在打击敌对外国势力在美国境内的攻击中发挥作用。根据其国内执法权力,它必须遵循一套关于证据、合理原因和其他程序的严格规则。根据其情报和反情报权力,它拥有更广泛的职能,但仍然受到很大限制。
美国防部拥有广泛的网络能力,包括情报部门和军事部门,而情报部门(包括国家安全局和中央情报局)拥有较窄但精细的能力。
(一)军事网络结构
按照其2023年网络战略,美国防部参与了各种网络行动,包括进攻性网络作战、防御性网络作战以及保护美国防部信息网络的行动。在获得美国网络司令部司令、国防部长或总统的授权后,美国防部的国防任务和网络作战优先于其他部门或机构的常设任务。
1、美国网络司令部
美国的大部分进攻能力都集中在美国防部的网络司令部身上,这是一个由各军种支持的统一网络司令部。美国网络司令部的核心任务领域是确保和保卫美国防部信息网络,保护国家免受网络攻击,并为作战指挥官提供网络支持。美国网络司令部的任务空间已显著扩大。2018年,美国网络司令部升格为统一作战司令部,特朗普总统实施了美国第13号国家安全总统备忘录,这是一个转折点。
美国网络司令部开展行动的权力来自多个来源,包括通过美国第13号国家安全总统备忘录和《美国法典》(第10、32和50编)以及各项国防授权法案中的规定:
2012财年美国国防授权法案第954条申明,美国防部“有能力并可根据总统指示在网络空间开展进攻性行动,以保卫我们的国家、盟友和利益,但须遵守美国防部针对动能能力遵循的政策原则和法律制度,包括武装冲突法和战争权力决议”。
2019财年美国国防授权法案第1632条允许美国防部开展网络空间行动,包括在敌对环境之外的秘密活动,并将这些行动归类为传统军事活动。
2019财年美国国防授权法案第1642条允许美国防部“在外国网络空间采取适当和相称的行动,以破坏、挫败和阻止”针对美国政府或其公民的攻击。
此外,美国防部长的政策(包括“国防部指示、指令和备忘录”)以及美国总统或国防部长授权的执行命令和作战命令以及经批准的指挥官的下属命令中规定了各种军事网络行动的具体权限。这包括由美参谋长联席会议主席设立的网络空间行动指挥权,该权力在促进美国防部协调保护国防部信息网络方面发挥着关键作用。
美国网络任务部队负责执行国防部的网络行动。截至2023年,美国网络任务部队下设133支团队,由6000名现役军人和200名非军事人员组成,其中包括现役国民警卫队和预备役人员。预计到2027年,美国网络任务部队团队的数量将增至147支。133支美国网络任务部队团队分为四支专业部队,每支部队都有各自的侧重领域(图1)。一旦美国遭受网络攻击,这四支部队都将负责协调网络响应。此外,这四支部队分别对下属的指挥单位总部和作战司令部负责。
(1)美国网络国家任务部队(CNMF)占据美国网络任务部队的133支团队中的13支。其主要任务是开展网络行动,保护美国防部信息网络和国家免遭恶意网络威胁。
(2)美国网络作战任务部队(CCMF)占据美国网络任务部队的133支团队中的27支。其主要任务是开展军事网络行动,并支持各作战司令部(例如美国非洲司令部、美国印太司令部和美国战略司令部)制定的任务、计划和优先事项。
(3)美国网络保护部队(CPF)占据美国网络任务部队的133支团队中的68支。其主要任务是保护美国防部信息网络并为网络部队做好作战准备,其通过保卫美国防部信息网络或其他蓝色网络空间的内部网络操作来实现这一目标。该部队包括向联合部队总部汇报的国家资源、向作战司令部汇报的团队以及向各军种网络司令部汇报的军种团队。
(4)美国网络支援部队(CSF)占据美国网络任务部队的133支团队中的25支。其主要目标是为美国国家网络任务部队(CNMF)和美国网络作战任务部队(CCMF)提供分析和规划支持。
图1:美国网络任务部队的团队分布
2、各军种网络工作
美军各军种都有各自的网络部队,其任务既有进攻性,也有防御性。这些司令部在网络任务期间为各自所属的作战司令部提供支持,并可根据指示执行进攻性网络空间作战。在防御方面,它们通过防御性网络空间作战-内部防御措施(DCO-IDM)和国防部信息网络行动,保卫美国防部信息网络中各自的部分。
值得注意的是,美军各军种对网络领域活动的方法和视角各不相同,这进一步导致美国防部网络任务缺乏连贯性。美国网络司令部的设立正是为了解决这一问题。
组织
这些团队的职责复杂。作战控制权来自其所属军种的指挥部,但每个单位的指挥官既是美国网络司令部的军种代表,也是联合部队网络总部(JFHQ-C)的指挥官。
此外,这些网络部队还为其他作战司令部提供支持。美国陆军网络司令部为美国中央司令部、美国非洲司令部和美国北方司令部提供支持;美国海军第十舰队网络部队为美国印度-太平洋司令部、美国南方司令部和美国太空司令部提供支持;美国空军第十六航空队为美国欧洲司令部、美国运输司令部和美国战略司令部提供支持;美国海军陆战队的海军陆战队网络司令部为美国特种作战司令部提供支持。这些美军军种网络司令部通过网络任务部队(CMF)向美国网络司令部提供人员、训练和装备。虽然这种安排允许相对较小的专业部门支持各种任务,但这再次表明网络空间的复杂结构可能导致混乱。
美国海岸警卫队是这一架构的一个例外。根据美国防部与国土安全部之间的协议备忘录,美国海岸警卫队司令对其网络空间部队和资源拥有完全控制权。然而,美国网络司令部与美国海岸警卫队网络司令部经常合作并开展联合行动。
3、美国国家安全局
美国国家安全局是全球知名的计算机网络行动机构之一。此外,美国国家安全局局长还兼任美国网络司令部司令。美国国家安全局对其行动方式必然讳莫如深,但媒体披露的行动展现了其精湛的技能和高度精准的针对性。
美国国家安全局于2019年罕见地宣布,将成立一个新的网络安全部门,“以便更好地向各机构和私营部门提供从信号情报中收集到的信息,从而保护国家关键基础设施。”此外,据美国国家安全局发言人称,新的网络安全部门计划将美国国家安全局的“对外情报和网络防御任务”结合起来,消除“对国家安全系统和国防工业基础的威胁”。根据哥伦比亚广播公司报道,新成立的网络安全部门还设有一个网络安全协作中心,旨在“作为政府和私营部门网络安全专家的聚集点,实时交换有关对手黑客威胁的信息”。该网络安全部门的网站还将作为公开的网络安全漏洞存储库。例如,该部门发布了美国国家安全局关于恶意软件工程工具Ghidra的开源研究,并发布了有关Windows漏洞BlueKeep的公开警报。
美国国家安全局组织结构的其他细节仍被严格保密。在该机构合同工爱德华·斯诺登泄露大量有关国家安全局运作的信息后,该机构在2016年至2017年期间进行了重大重组。此次重组被称为“NSA 21”,将信息保障部门与信号情报搜集部门合并,成立了新的行动部门(图3)。据FedScoop报道,此次合并的目的是为了加强美国国家安全局黑客攻击和补丁修复能力间的协调,并“降低成本和人员水平”。关于此次重组及其结果,鲜有其他公开信息。
图2:2016-2017 年美国国家安全局重组
4、美国国防信息系统局
作为作战支援机构,美国国防信息系统局的主要目标是保护国防部网络,并在军事行动期间为美国国防部、国家领导人和盟友提供指挥、控制和信息共享能力。美国国防信息系统局的任务是应对和消除对其所属国防部信息网络部分的关键威胁(主要通过使用防御性网络空间作战-内部防御措施),并管理其他网络基础设施挑战。美国国防信息系统局为美国防部网络创建了一个名为“雷霆穹顶”(Thunderdome)的零信任架构,并鼓励美国防部员工加强网络安全管理。美国国防信息系统局领导层向国防部首席信息官汇报。其预算近120亿美元,约占整个美国情报界预算的八分之一,主要来自34亿美元的美国国会拨款和85亿美元的国防营运资金。该预算支持整个美国防部,包括参谋长联席会议、联合参谋部、作战司令部以及对白宫的支持。由于这项艰巨的任务和庞大的预算,美国国防信息系统局的7000名员工在保护美国防部资源方面具有很大的影响力。
美国国防信息系统局指挥官既担任美国防部信息网络联合部队网络总部指挥官,又负责保卫国防部信息网络。这给该指挥官带来了压力,因为他同时为美国防部首席信息官和美国网络司令部司令工作。
(二)民事机构
虽然军事和情报网络机构之间的界限有些模糊,例如美国国家安全局和美国网络司令部之间的界限,但国内民事机构和面向外国的民事机构之间的界限却更为清晰。本节将回顾在网络领域发挥作用的各类民事机构,从美国情报界、联邦调查局到中央情报局,并按从肩负外国使命的机构到肩负国土安全使命的机构的总体顺序进行划分。
1、美国国家安全委员会
美国国家安全委员会位于庞大的国家安全机构之巅,肩负双重职责:为美国总统配备人员和管理政策制定过程。每位美国总统对国家安全委员会的塑造方式各不相同。有些美国总统希望拥有一个庞大的、深度参与政策制定的团队;而另一些美国总统则希望拥有一个精干的团队,能够指导和制定政策,但又不至于陷入困境。
负责网络和新兴技术的副美国国家安全顾问兼具双重角色:为美国总统提供建议、制定网络政策并制定新兴技术战略方针。在拜登政府时期,该职位享有“总统副助理”的地位——这在美国国家安全委员会中属于较高级别,仅次于美国国家安全顾问的总统助理职位。这一级别表明副国家安全顾问能够将美国白宫的影响力带入跨部门政策辩论,并使其能够与美国总统和国家安全顾问取得联系。对于网络问题,由于其官僚机构和机制尚不成熟,这种权力至关重要。负责网络和新兴技术的副美国国家安全顾问负责管理一个跨部门流程,该流程涵盖美国网络安全和基础设施安全局、国家网络总监办公室以及国防部、情报界和国务院的所有网络参与者,以及财政部等其他参与者。按照美国政府标准,美国网络安全和基础设施安全局、国家网络总监办公室甚至副国家安全顾问都是新设立的,这会导致与设定角色和职责相关的人员变动。
2、美国国家网络总监办公室
美国国家网络总监办公室的授权来自美国国会,并以美国白宫的《战略意向声明》和《国家网络安全战略》为指导。美国国家网络总监负责监督七项关键工作:
(1)国家网络安全:美国国家网络总监办公室负责协调旨在保护和捍卫地方政府及私营部门网络的项目和任务。此外,它还充当这些项目与相关国际合作伙伴之间的联络机构。
(2)联邦网络安全:美国国家网络总监办公室负责监督并确保美国各部门和机构能够获得“世界一流的网络安全”。
(3)预算审查与评估:美国国家网络总监办公室与白宫行政管理和预算局合作,协助联邦各部门和机构规划和核算当前及未来的网络安全资源。这还包括协助各机构评估现有项目的有效性,并支持有效的举措。
(4)技术和生态系统安全:美国国家网络总监办公室与私营部门合作,培育更安全的数字供应链,并致力于创建对数字经济至关重要的产品、设备和服务的可信赖的数字生态系统。
(5)规划和事件响应:美国国家网络总监办公室与网络安全和关键基础设施安全局等联邦机构密切合作,“预防和应对网络事件,确保他们……做好准备……防范、检测和应对政府网络和关键基础设施中的恶意网络活动”。
(6)人才发展:美国国家网络总监办公室旨在确保公共和私营部门都能可靠地获得新的网络人才,并通过能力建设举措提高公众的网络素养和数字流畅度。
(7)利益相关者参与:美国国家网络总监办公室与国会和利益相关者合作,让各方了解最新的网络发展并推动新的网络举措。
美国国家网络总监办公室位于美总统行政办公室内,是一个相对较小的机构,预算为2200万美元(截至2023财年),约有100名员工。此外,美国国家网络总监办公室结构可以进一步划分为副总监和助理总监,各负责监督办公室的具体分支机构。
图3:美国国家网络总监办公室组织结构图
美国网络空间日光浴室委员会创建了美国国家网络总监办公室,旨在组织联邦政府应对日益普遍且日益严重的网络威胁。该委员会原本计划将美国国家网络总监办公室项目设在白宫,以便与总统沟通,并提升其可信度。然而,他们决定设立一位经美参议院确认的项目负责人,以对国会负责——这是一种极不寻常的安排。美国总统的幕僚通常被认为是总统的幕僚——只对总统负责,而不对国会负责。在美国国家安全委员会和其他白宫办公室内部,幕僚的工作是向美国总统提供坦诚的建议,而维护这种关系的部分原因在于幕僚与国会之间的缓冲。
迄今为止,美国国家网络总监不仅肩负着执行总统愿景的重任,还负责协调美国政府各部门,使其更加稳固地应对网络威胁。凭借对美国白宫的影响力,这些官员推动了更充足的资金、更紧密的协调以及对网络威胁的更多关注。首任美国国家网络总监克里斯·英格利斯表示,他希望自己能够摆脱这份工作——五年后,美国国家网络总监办公室将变得无关紧要,因为美国政府的防御体系将更加全面、自给自足且稳固。四年后,美国国家网络总监办公室制定了国家网络安全战略和旨在实现该办公室愿景的实施计划。
3、美国国务院
美国国务院主要通过网络空间和数字政策局开展外交和对外援助活动,以推进《2023年国家网络安全战略》中提出的目标。网络空间和数字政策局领导推动“负责任的国家网络空间行为”的努力,并推进美国的海外政策。网络和技术安全局与网络空间和数字政策局协同工作,专注于保护国务院的人员、关键基础设施和信息资产。同样,信息资源管理局支持美国务院的IT基础设施,并保护其免受网络威胁。
(1)网络空间和数字政策局
根据其使命宣言,网络空间和数字政策局的目标是“通过领导、协调和提升网络空间和数字技术的外交政策来促进美国国家和经济安全”。它通过一名特派大使和四个政策部门来实现这一目标,每个部门都专注于网络空间的特定任务领域和方面(图 4)。
图4:美国国务院网络实体
美国政府问责局2024年报告指出,网络空间和数字政策局通过将各项工作集中到一位特派大使手中,而非分散到整个部门,从而“帮助国务院更好地实现其网络外交目标”。报告称,这种方法“促进了与外国政府高层官员的接触,并提升了美国在全球网络事务中的形象”。报告还提到网络空间和数字政策局参与加强乌克兰的网络防御、建立自由网络联盟,以及参与联合国网络犯罪公约谈判进程以“促进国际合作打击网络犯罪”。报告赞扬网络空间和数字政策局在网络空间建立或“加强负责任国家行为的全球规范”的努力,称该部局已通过向盟国提供网络培训和技术援助实现了这一目标。此外,该局还向“推广符合美国网络目标的网络安全最佳实践”的合作伙伴拨款。
(2)数字自由团队
数字自由团队负责带头推动美国务院促进“隐私、安全、人权和公民参与”以及“互联网自由”的举措。此外,该团队还与国际伙伴合作,打击网络空间的压制和专制行为。
(3)国际信息与通信政策部门
国际信息与通信政策部门团队旨在通过“许可、制裁执行和供应链安全”等活动,促进竞争性和安全性的网络建设,同时保障电信服务和基础设施的安全。此外,国际信息与通信政策部门通过与利益相关方合作,支持互联网治理倡议和国际技术标准。此外,该团队致力于在合作伙伴国家推广个人数据保护和隐私,并经常与美国私营企业、民间社会成员和外国政府合作。
(4)国际网络空间安全部门
国际网络空间安全部门团队主要领导美国务院“促进网络空间稳定与安全,保护美国在网络空间的国家安全利益”的工作,通过参与“多边、区域和双边论坛”协调多国应对网络威胁。国际网络空间安全部门还与包括联合国和互联网治理论坛在内的国际伙伴合作,打击境外恶意行为体。此外,该部门还协调国务院参与网络政策讨论,并利用“外国援助资金建设全球网络安全能力”。2023年,国际网络空间安全部门与联合国政府专家组和不限成员名额工作组合作,制定了网络空间行为框架以及网络空间的“和平时期规范和建立信任措施”。此外,2023年6月,国际网络空间安全部门率领由美国网络司令部、国家网络总监办公室、网络安全和基础设施安全局官员组成的代表团会见了乌克兰副部长们,并宣布向乌克兰提供一项3700万美元的非军事网络援助计划。
(5)战略规划和通信部门
战略规划和通信部门负责监督网络空间和数字政策局的整体“战略规划、公共外交、媒体和立法事务活动”。该部门还通过数字连接和网络安全伙伴关系管理其对外援助计划。
(6)关键和新兴技术特使兼网络空间和数字政策特使办公室
根据前大使纳撒尼尔·菲克于2024年1月17日向美众议院外交事务印太小组委员会作证,网络空间和数字政策局无任所大使的职责是“监督领导和协调美国务院在网络空间、数字政策、数字自由和新兴技术方面工作的组织”。该职位的设立旨在使当前外交与技术和国家安全问题保持一致,使数字世界成为美国外交政策的核心。此外,该无任所大使的职责面向公众,是美国网络支持的公开代表。例如,在2022年伊朗对阿尔巴尼亚发动网络攻击后,纳撒尼尔·菲克飞往该地区,展示美国对阿尔巴尼亚的支持。
该无任所大使还负责监督关键和新兴技术特使办公室。该办公室致力于推进美国在关键和新兴技术领域的利益和优势,协调美国与盟友在新兴技术问题上的合作,并领导国际技术外交工作。这些技术包括人工智能和量子计算领域的进步。
(7)网络与技术安全局
另外,网络与技术安全局提供网络、技术和调查专业知识,“以应对影响部门人员、关键基础设施和信息资产的新兴网络威胁”。网络与技术安全局由外交服务部门于2017年成立,是美国国务院的战术网络部门,负责保卫国务院网络。
网络与技术安全局检测、分析并响应各种网络威胁,同时履行多项职责:
对美国务院的全球网络基础设施进行全天时的监控,监督事件响应、进行网络入侵分析、进行漏洞评估和执行技术安全评估
制作有关恶意网络活动的威胁分析报告,发布威胁警报,并协助美国务院进行网络犯罪和反情报调查
定期更新、维护和制定美国务院软件和硬件系统的新安全标准
担任美国务院与美国计算机应急准备小组的联络机构,并与联邦调查局、国家安全局和其他联邦执法和情报机构保持密切关系
(8)信息资源管理局
信息资源管理局负责监管美国务院全球运营所使用的技术基础设施。信息资源管理局是美国务院内较大的机构之一,其相关支出占美国国务院20至30亿美元网络安全预算的大部分。信息资源管理局与其他部门办公室密切合作,包括负责保障护照更新等在线服务的领事事务局以及外交安全局。信息资源管理局履行多项职责:
运营美国务院网络(类似于美国防部的国防信息系统局)
在美国务院网络和系统内开发工具,以增强网络安全和管理网络安全平台
推广网络安全标准
监督实施新的IT解决方案和工具,以保护IT资产免受“不断演变的网络威胁和漏洞”
信息资源管理局和网络与技术安全局均向主管管理事务的副国卿汇报,但网络与技术安全局需通过外交安全局汇报。因此,他们之间相互协作,但各自拥有独立的管理链。
4、美国国家情报总监的网络威胁情报整合中心
美国国家情报总监的网络威胁情报整合中心成立的目的是协调情报界的网络活动,并为决策者提供一站式网络威胁情报汇总信息。时任美国国家情报总监的艾薇儿·海恩斯于2021年立即将网络威胁列为优先事项,并寻求网络威胁情报整合中心来确定美国国家情报总监办公室应如何领导网络任务。根据美国国家情报总监办公室网站,网络威胁情报整合中心的主要目的是“领导网络威胁情报的整合,以告知国家利益,支持国家网络政策和规划工作,并协调整个情报界的网络情报收集和投资方法”。实际上,网络威胁情报整合中心的一项关键职责是为首席和副手委员会会议创建有影响力且可操作的情报产品,特别是利用业内现有的专业知识和信息。
网络威胁情报整合中心具有以下职责和目标:
网络情报:向关键决策者和“网络防御者”提供情报界获取的情报以及商业网络情报
识别机会:由于情报界位于美国国家情报总监办公室内部,因此与情报界合作“识别整合情报界网络搜集、数据利用和分析的机会”。
伙伴关系参与:与美国政府机构、外国和私营部门合作,增强“对网络威胁的可见性,支持加强网络情报的处理和共享,并培育新的网络能力”
作为美国国家情报总监办公室的组成部分,网络威胁情报整合中心采取全情报界视角应对网络威胁,并与国家情报委员会和情报界各机构合作。2015年,美国国家安全委员会成立之初,希望有一个机构负责收集与网络活动相关的信息,并每日向国家安全委员会汇报。此后,美国国家网络总监办公室于2021年成立,美国国家安全委员会的网络工作人员队伍更加强大,美国国家网络调查联合特别工作组和国家网络安全与通信集成中心等实体也在执行类似的任务。
图5:在网络空间发挥协调作用的美国政府实体
网络威胁情报整合中心主要作为美国国家情报总监办公室的网络部门运作,并与美国国家情报总监办公室其他办公室以及国家情报委员会、情报委员会首席信息官、国家反情报与安全中心和外国恶意影响中心密切合作。网络威胁情报整合中心下设四个办公室,但关于其职责的公开信息很少:主任办公室、分析整合办公室、研究主任办公室和国家网络情报管理官办公室。将国家网络情报管理官办公室嵌入该办公室是为了限制角色的重复。在网络威胁情报整合中心成立之初,有人质疑国家网络情报管理官办公室是否足以发挥协调作用,但美国国家安全委员会工作人员当时认为,需要一个更强大的架构来制作和发布协调一致的情报产品。截至本文发布时,网络威胁情报整合中心拥有约50名全职员工。
除了机密工作外,网络威胁情报整合中心还创建公开的威胁报告,解决各种网络情报问题,包括全球勒索软件趋势和活动、外国网络威胁行为体以及外国商业间谍软件的扩散。该中心还经常主持一个“网络响应小组”,美国政府官员在其中审查当前的网络威胁。
5、美国中央情报局的数字创新部门
数字创新部门是美国中央情报局五个部门之一。其职责是确保美国中央情报局团队配备“在现代互联世界中运作所需的工具和技术”。数字创新部门涵盖从网络安全到IT基础设施的各个领域,确保美国中央情报局的能力与数字领域的进步保持同步。
虽然数字创新部门的组织架构仍属机密,但2017年的一系列泄密事件描述了其一系列团队和能力。由于这些信息是非法泄露的,而且美国中央情报局很可能已经调整了其组织架构,研究人员在此不再赘述。
6、美国联邦调查局
美国联邦调查局被授权调查模糊犯罪活动与国家安全界限的网络事件,例如联邦调查局于2024年对“伏特台风”恶意活动的调查。该调查揭露了外国黑客成功渗透关键行业的网络,例如“关键电信、能源、水利和其他基础设施部门”。虽然美国联邦调查局是一个拥有部分情报权力的国内执法机构,但由于执法部门职责的严格规定,其在美国境内的运作受到限制。
美国联邦调查局的网络机构由两个主要部门组成:嵌入其外地办事处的网络能力部门,以及总部位于华盛顿特区约翰·埃德加·胡佛大楼的犯罪、网络、响应和服务部门。
(1)外地办事处
美国联邦调查局的56个外地办事处均设有一个网络特别工作组。每个网络特别工作组都召集来自联邦、州、地方和部落各机构的“网络调查员、检察官、情报分析员、计算机科学家和数字取证技术人员”。他们还包括支持网络事件响应工作、网络情报收集和技术援助的计算机科学家和情报分析员。每个网络特别工作组的另一个目标是与私营公司和组织建立本地关系,并快速部署和响应本地网络事件。
(2)犯罪、网络、响应和服务部门
犯罪、网络、响应和服务部门是美国联邦调查局的主要集中网络部门,负责监督国内外“全球范围内的犯罪和网络调查,以及国际行动、重大事件响应和受害者援助”。它进一步分为以下部门:
犯罪调查部门:犯罪调查部门是犯罪、网络、响应和服务部门的调查部门,负责根据联邦法律调查所有形式的非法网络活动。该部门主要关注网络入侵,例如勒索软件团体和网络勒索活动。
网络部门:网络部门下设多个分支机构,其中最重要的当属网络行动部门。网络行动部门是犯罪、网络、响应和服务部门的行动部门,负责监督网络犯罪调查和国家安全调查。它是负责逮捕和打击在美国境内活动的网络犯罪分子的一线团队。该部门还与美国国家安全局、联邦调查局、中央情报局、国土安全部、中央情报局和美国特勤局等机构合作,以“对参与黑客活动的民族国家和其他组织施加代价”。此外,由于该部门与民族国家行为体打交道,它还经常与欧洲刑警组织等国际机构合作。
网络行动小组隶属于网络部门。网络行动小组是美国联邦调查局的快速反应小组,负责“对重大计算机入侵和网络相关紧急情况进行快速响应”。网络行动小组由驻扎在华盛顿特区美国联邦调查局总部的核心团队组成,并由来自联邦调查局各个外地办事处的约50名特工和计算机科学家组成。这些外地特工通常接受过计算机语言、取证和恶意软件分析方面的高级培训,是任何“可能影响公共健康或安全、国家安全、经济安全或公众信心的重大网络事件”的一线响应者。网络行动小组声称能够在“数小时内”部署到全国范围内。此外,网络行动小组还将触角延伸到国际网络事件,据称能够“在48小时内”部署到世界任何地方,为伙伴国家和机构提供调查支持。
网络行动部门下设美国国家网络联合特别工作组,该工作组由来自情报界、各执法机构和国防部的40多个同地办公机构组成。美国国家网络联合特别工作组的主要职能是“协调、整合和共享信息,以支持网络威胁调查,并为社区决策者提供情报分析支持”。美国国家网络联合特别工作组内设网络观察机构,这是联邦调查局的全天候行动中心,负责提供持续支持,监控事件并与全国各地的外地办事处保持沟通。具体而言,网络观察机构负责“协调国内执法部门对犯罪和国家安全网络入侵的响应”,并与其他联邦网络中心全天候协作。此外,网络观察机构还为联邦调查局及其合作机构提供“实时事件管理和跟踪”功能。
危机事件响应小组为联邦和州、地方、部落和领地政府和机构提供危机支持和事件管理援助。
国际行动部门:国际行动部门专注于美国联邦调查局的国际行动,并监督联邦调查局的网络助理法律专员项目。该项目由美国联邦调查局网络特工组成,他们不仅在联邦调查局总部,而且与遍布全球18个地点的国际同行一起接受培训。该项目旨在帮助美国联邦调查局特工与国际合作伙伴建立关系,以加强在国际网络犯罪案件上的合作。因此,美国联邦调查局与欧洲刑警组织合作时,主要通过该项目进行。
美国联邦调查局在收集国内犯罪数据和情报方面能力突出,这使其能够支持网络安全和基础设施安全局识别易受与对手过去使用过的类似技术攻击的脆弱网络。此外,该局还可以帮助行业风险管理机构“评估和减轻对关键基础设施的网络威胁”,并向美国网络司令部或国家安全局提供“有关恶意外国行为者基础设施的信息,以供破坏或利用”。根据美国联邦调查局网络部门助理主管布莱恩·沃恩德兰在提交给众议院司法委员会的一份声明中的说法,该局拥有利用其“独特权力”打击针对美国网络的恶意网络攻击的独特能力。这源于美国联邦调查局善于利用其国际执法关系、与国内受害者的联系以及与关键技术服务提供商的伙伴关系,在网络对手危害美国网络之前发现并加以阻止。
7、美国国土安全部的网络安全和基础设施安全局
与美国联邦调查局不同,网络安全和基础设施安全局不承担执法职责。相反,它将自己定义为合作伙伴,而非调查机构。在与联邦和联邦、州、地方和部落实体联系以及建立与私营部门的协调机制方面,美国网络安全和基础设施安全局既是信息交换所,也是顾问机构,同时也是网络防御必要性的教育和传播机构。根据其网站,该局官方使命是“联邦网络安全的运营领导机构以及关键基础设施安全和弹性的国家协调机构”。美国网络安全和基础设施安全局通过其各个部门和分支机构履行其使命,其中网络安全部门处于网络防御的最前线。
(1)网络安全部门
网络安全部门的任务是加强美国国家网络防御“以应对直接威胁和漏洞”,以及建设“抵御和应对网络事件的长期能力”。为了有效地管理这些职责,网络安全部门由以下具有具体目标的专门分支机构组成:
能力建设:加强和集中联邦民事行政机构和非联邦合作伙伴的网络安全能力。
任务工程:主要发挥行政和协调作用,进行战略规划,并为网络操作者和分析师提供“任务能力”,以保卫国家的网络空间。
联合网络防御协作组织:“团结全球网络社区,共同防御网络空间。”联合网络防御协作组织是由美国网络安全和基础设施安全局领导的公私网络安全协作组织。
漏洞管理:最大限度地减少关键漏洞和“跨体系和技术的可利用条件”。
威胁搜寻:为网络安全部门开展“事件响应和威胁搜寻任务”,并通过网络检测和取证能力打击恶意活动。
美国财政部代理首席信息官杰夫·金表示,网络安全和基础设施安全局有潜力成为威胁搜寻的“真正催化剂”。然而,他强调,网络安全和基础设施安全局需要扮演“推动者和行动者”的角色,而非“协调者”。
推广安全设计原则
2023年4月,美国网络安全和基础设施安全局启动了“安全设计”运动,旨在通过敦促软件制造商从一开始就在其软件开发流程中集成更严格的安全功能,增强技术的安全性、保障性和弹性。该倡议特别借鉴了其联合网络防御协作组织分支机构的建议和见解。目前判断该倡议是否会对网络安全产生实际影响还为时过早,尤其是考虑到该运动纯粹是教育性和自愿性的,并非强制要求任何改变。
图6:美国网络安全和基础设施安全局组织结构图
(2)联合网络防御协作组织
联合网络防御协作组织由美国网络安全和基础设施安全局领导,是一个公私合作的网络安全合作组织,旨在“团结全球网络社区,共同防御网络空间”。根据2021财年美国国防授权法案授予的权力,该权力源自美国网络空间日光浴室委员会的建议,联合网络防御协作组织旨在通过以下三个目标促进公私合作的“网络防御规划和网络安全信息融合与分析”:
首先,建立持久合作的能力,参与者能够以必要的敏捷性不断交换、丰富和处理网络安全信息,以保持领先于对手;其次,制定并联合执行主动的网络防御计划,旨在将最重大的风险降低到显现之前;第三,实现政府与私营部门之间真正平等的伙伴关系,包括通过联合丰富和开发及时的网络安全公告和警报,使更广泛的社区受益。
联合网络防御协作组织致力于弥合美国联邦政府、关键基础设施提供商、行业和州、地方、部落和领地政府之间的缺口,并在必要时与国际合作伙伴合作。联合网络防御协作组织的参与者包括服务提供商、基础设施运营商、网络安全公司以及各个关键基础设施领域的公司。他们共同协调网络安全规划、防御和响应工作。联合网络防御协作组织还吸纳了美国国会指定为联合网络规划机构的特定政府机构,包括美国国土安全部、网络司令部、联邦调查局、司法部和国家情报总监办公室。此外,联合网络防御协作组织还与美国国防部、运输安全管理局、环境保护署、联邦航空管理局、能源部和交通部有合作。截至本文发布时,联合网络防御协作组织拥有约150名全职员工,预计满员后将达到约175名。
联合网络防御协作组织的第一步是定义“联合网络防御规划”。领导层认为联合网络防御协作组织的职责是为真正的合作开辟一条新道路,包括双向信息共享和让行业主导工作流程。其第二项任务是思考如何统一公共和私人国家资源,以应对大规模网络事件;log4j 漏洞已被证明是一次早期的、真实的考验。第三步是推动信息共享生态系统的演变,首先从三个领域中一些最大的关键参与者开始:云提供商、互联网服务提供商和网络威胁情报公司。
然而,对联合网络防御协作组织的批评仍然存在。在2024年2月的一次美国战略和国际研究中心活动中,退伍军人事务部副首席信息安全官杰夫·斯佩思指出,联合网络防御协作组织“仍处于起步阶段,仍有一些问题需要解决”。杰夫·斯佩思强调的一项批评是,联合网络防御协作组织在将来自私人来源(通常是主要供应商)的信息传递给其他部门时经常出现延迟。美国财政部代理首席信息官杰夫·金指出,联合网络防御协作组织具备成为网络安全领军机构的“条件”;但他也指出,联合网络防御协作组织“仍处于非常早期的阶段”,要将其发展成为一个“可重复、可靠的机构”,还有很多工作要做。
过去两年,联合网络防御协作组织取得了一些显著成就,包括为美国网络安全和基础设施安全局的“安全设计”和“安全默认”计划提供宝贵反馈,协调大规模网络漏洞利用演习,以及领导打击新兴的外国APT活动。此外,根据美众议院国土安全委员会的听证会,美国网络安全和基础设施安全局在过去一年中已将联合网络防御协作组织的重点扩展到“开源软件安全”以及保护高风险群体(例如新闻业和民间社会组织)的网络安全。
2021年至2022年间,美国网络安全和基础设施安全局发现了一场新兴的外国APT活动,并与联合网络防御协作组织成员合作,“以更好地了解该活动的性质,并识别出多个被用作初始入侵媒介的零日漏洞”。联合网络防御协作组织还与州、地方、部落和领地成员国政府共享网络防御信息,并与美国网络安全和基础设施安全局合作,针对这一新兴的APT活动制定了两份网络防御公告。
工业控制系统是现代关键基础设施系统的关键组成部分,为了增强其网络安全性和韧性,联合网络防御协作组织成立了一个名为 “联合网络防御协作组织-工业控制系统”的小组。该小组由来自10家新成立公司的工业控制系统行业专家(包括安全供应商和分销商)以及两家在工业控制系统领域经验丰富的联合网络防御协作组织现有合作伙伴组成。此次合作旨在“利用工业控制系统社区的知识、可见性和能力”,更好地保护和防御控制系统,并“为美国政府制定工业控制系统/运营技术网络安全指导意见提供参考”。
(三)私营部门参与者
美国体系的一大优势在于其强大的私营部门。众多网络研究人员和威胁猎手保护着业界,通常也保护着政府系统。这些雇员中有很多是前政府官员,他们看到了业界可以满足的需求,于是离开政府创办了相关企业。他们在整体网络防御中发挥着关键作用:由于美国信息通信技术主要为私有,且相对开放(即没有强大的防火墙保护,也没有与外部互联网隔离),业界纷纷挺身而出,填补了安全空白。
网络安全公司通常拥有强大的网络威胁分析研究能力和团队。新公司不断涌现,导致网络安全提供商生态系统不断演变。私营部门实体可根据其角色进行分类:网络防御者,例如CrowdStrike或 Dragos;软件提供商,例如微软;关键基础设施供应商,例如西门子。软件包的创建者肩负着使命:为客户提供最佳产品。但他们也必须提供安全的产品。防御者则能够保护客户,即使软件包存在缺陷。
2024年7月发生的一起事件,CrowdStrike软件更新导致了可能是历史上最大规模的IT中断,这凸显了全球实体对私营网络安全公司的依赖程度。此次更新与Windows的交互方式导致了大规模且无法解决的故障,在全球范围内引发了可怕的“蓝屏死机”。在CrowdStrike撤回更新之前,该更新仅持续了90分钟,但在这短暂的时间内,它扰乱了全球旅游、商业、医疗保健和其他行业的运营,并造成了约54亿美元的损失。美国战略与国际研究中心的詹姆斯·安德鲁·刘易斯表示,此次中断将“重新引发全球对反垄断监管、技术竞争和云服务标准的关注”。
04
案例研究:光辉交响曲行动
“尼尔能看到登录屏幕——那是远在半个地球之外的‘伊斯兰国’成员的真实登录屏幕。每个人都经过精心筛选,并被列入目标名单。到行动日,这份名单已经变得很长,写在一张3英尺x7英尺的纸上,挂在墙上。”
—迪娜·坦普尔-拉斯顿,
《美国如何入侵“伊斯兰国”》
在“光辉交响曲行动”中,来自澳大利亚、英国和美国的网络操作员破坏了“伊斯兰国”网络,阻止了其在线招募,并阻止了其宣传行动。当恐怖组织成员酣睡时,美国米德堡一屋子的军事网络操作员已做好准备接管并摧毁“伊斯兰国”账户。在2016年和2017年的几个月里,“光辉交响曲”团队(又名联合特遣部队阿瑞斯)删除内容、破坏服务器、错误配置网络、更改密码、耗尽手机电池,并设法从自身系统内部挑拨“伊斯兰国”成员之间的关系。
此次行动普遍被视为成功。美国情报界在30天后的自我评估通常较为保守,认定“伊斯兰国”媒体已被“扰乱”。据美国国家公共电台报道,据三位知情人士透露,在首次袭击发生6个月后,“‘伊斯兰国’的媒体运作已大不如前……大多数媒体运作服务器瘫痪,该组织未能重建。”从中长期来看,此次行动进入了维持阶段,持续对“伊斯兰国”施压,使其网络行动复杂化,并削弱其筹集资金的能力。据美国国家公共电台报道,在行动发起三年后,联合特遣部队阿瑞斯仍然存在于“伊斯兰国”网络中。然而,一些私营部门的网络研究人员淡化了这一成功,称战场上的损失可能是导致宣传数量下降的原因,而其他亲“伊斯兰国”的频道仍在继续发布内容。这次行动被认为是复杂的,并且对于如何利用多种资源和合作伙伴来对付一个相对简单的目标具有很高的指导意义。
此次行动的成功和复杂之处在于,盟军联手共同摧毁了“伊斯兰国”。澳大利亚新闻媒体报道称:“在堪培拉一间没有窗户的房间里,澳大利亚信号局的网络战士们敲击着键盘,瞄准墙上钉着的目标名单。12个小时里,他们入侵账户,锁定‘伊斯兰国’成员,窃取内容并删除文件备份。”在美国,支持来自联合部队总部(一个驻扎在佐治亚州的美国陆军网络小组)以及反恐专家,尤其是“伊斯兰国”专家。根据一份经过大量删减的30天评估报告,美国国家安全局“与联合特遣部队阿瑞斯、美国网络司令部和联邦调查局密切协调”,共同攻击“伊斯兰国”网络。美国网络司令部还协调了各作战司令部,包括“联合特遣部队-坚定行动”、“坚定决心行动”和美国中央司令部。
(一)机会,作为综合行动的一部分
作为打击“伊斯兰国”的更大规模行动的一部分,联合特遣部队阿瑞斯行动人员抓住机会攻击了“伊斯兰国”网络。在检查“伊斯兰国”网络时,网络操作人员了解到,10个核心账户和服务器管理着所有“伊斯兰国”内容:
该组织的网络管理员疏忽了应有的谨慎。他们抄近路,反复使用相同的账户管理整个“伊斯兰国”媒体网络。他们通过这些节点在线购物;上传“伊斯兰国”媒体;进行金融交易。他们甚至通过这些节点进行文件共享。一位名叫尼尔的美国海军陆战队队员笑称,“如果我们能接管这些网络,我们就能赢得一切。”
这位年轻的海军陆战队队员跑进美国国家安全局领导的办公室,抓起一支马克笔,开始在白板上画各种各样疯狂的圆圈和线条……尼尔一边解释一边画,他看到领导们开始点头。他说,“我画了一个自行车轮胎,上面有辐条,还有所有跟这个节点相关的东西,然后还有另一个,就像一座纸牌屋。”
监控工作开始了,操作员们花了数月时间在网络靶场进行演练。与此同时,操作员们开始在政策流程中设置陷阱,以确保获得跨部门的支持。
(二)遇到的问题:通过跨部门流程提出新想法
事实证明,获得跨部门批准比预想的要困难得多。规划文件在协调过程中,多个机构意见不一致。这些担忧涉及情报丢失(未来收集信息的能力)、人员暴露以及通过位于第三国的服务器进行信息传递的异议。根据第20号美国总统政策指令,这些机构对网络行动拥有否决权。在接下来的几周里,一系列副手委员会会议和首席委员会会议随后召开,旨在调整计划并解决美国中央情报局、国务院和联邦调查局的担忧。这些延误和行动设计的变更可能降低了行动的整体效能,尽管公开的30天审查文件在这方面的内容已被大量删减。在网络领域,任何延误都有可能失去脆弱的访问权限,因为对手可能会修补甚至重组其网络。
跨部门担忧主要在于未经事先通知就利用位于外国的网络开展行动。虽然“伊斯兰国”成员实际位于叙利亚,但其服务器和其他信息通信技术基础设施却是全球性的。《华盛顿邮报》报道称,“五角大楼列出了伊拉克和叙利亚战区以外的约35个国家,这些国家可能托管着需要删除的视频和其他‘伊斯兰国’内容。”美国中央情报局局长约翰·布伦南、国务卿约翰·克里、联邦调查局局长詹姆斯·科米和国家情报总监詹姆斯·克拉珀二世主张通知各国即将采取网络行动,以维护关系。美国五角大楼官员反驳说,他们可以根据现有授权采取行动,打击恐怖分子使用互联网,无需通知。一些人还指出了泄密的可能性,这可能会对行动造成灾难性的后果。《华盛顿邮报》报道称,在对美国在开展攻击性网络行动时“被要求”做什么和“应该”做什么进行最终核算时,大约有15个国家收到了通知,但只有5或6个国家采取了行动。
风险权衡的一部分是衡量网络攻击的精准程度,即攻击目标是否精准,只影响“伊斯兰国”的行动而不影响其他功能。美国空军将领蒂莫西·霍夫解释说,“每台服务器上都可能存在来自其他商业实体的数据……我们只会触及对手空间的这一小块区域,而不会干扰其他任何实体。”对于法国和德国等盟国来说,风险尤其高,因为商业实体受到损害很可能会令亲密盟友感到沮丧。精准的规划,然后让决策者相信行动能够精准,所有这些都需要时间。
额外的审批流程也加剧了时间延迟。在动能打击中,指定目标并清除目标有一套完善的流程。然而,在相对较新的网络战领域,联合特遣部队阿瑞斯操作员除了作战司令部的目标指定之外,还必须完成自己的审查和冲突排解流程。此外,动能行动正在摩苏尔进行,两条战线需要协同作战,而不是相互对抗。后续行动报告显示,“光辉交响曲行动”强制采用新的目标验证、作战冲突排解和跨机构协调流程。
还有一个荒谬又平凡的问题值得一提:规划文件的版本控制成了难题。考虑到盟友寥寥无几,而且每个盟友都来自多个机构,找到一个能让所有人及时了解最新情况并达成共识的软件解决方案实属不易。通用的作战图景仅仅是文本文档,这再次表明,美国政府总是把自己的IT需求放在最后考虑。
(三)总结
美国网络司令部和国家安全局从“发光交响曲行动”中汲取了宝贵的经验教训。这项基本成功的行动带来了几个关键的启示。
特遣部队模式行之有效。美国网络司令部领导人曾探讨过将一小群作战人员组建特遣部队,为执行任务带来的好处。2016年,当美国网络司令部参与应对俄罗斯对选举的威胁时,保罗·中曾根选择采取同样的做法。美国政府成立了一个俄罗斯小组,而不是通过负责支援美国欧洲司令部的联合部队网络总部(空军)开展工作。
在美国的政策制定中,协调已成为一种常态,而非例外。“发光交响曲行动”的30天评估报告指出:“此次行动的关键在于联合特遣部队阿瑞斯、美国网络司令部、联邦调查局、国家安全局和[删除]之间的密切协调。”
尽管如此,行动后报告承认审批过程坎坷:“跨部门政策和流程的建立不足以满足有效网络空间作战对速度、规模和范围的要求。”此外,报告呼吁规范跨部门流程,以“迅速、以支持在网络领域内动态定位的方式”裁定不一致行为。这是任何跨部门流程的关键点,但当领域尚属新领域且实践尚未完全建立时,难度会进一步加大,尤其是在不清楚究竟什么是适当、适度或低风险活动的情况下。评估指出,“提升和协商跨部门不一致行为所需的时间阻碍了美国网络司令部按照最初计划开展工作。”等到美国网络司令部渡过难关时,跨部门成员已将行动缩减至原计划的空壳,造成数月甚至数年的延误。美国国会和国防部都对美国网络司令部缺乏行动提出了严厉批评,而实际上,它被跨部门机构束缚住了手脚。美国第13号国家安全总统备忘录解决了其中一些担忧,该备忘录将部分权力下放给美国防部长,但拜登政府又恢复了协调要求。
此外,协调工作占用了大量人力,而这些时间本可以用于任务研究和执行。行动后报告指出,“对于美国网络司令部和联合特遣部队阿瑞斯的参谋人员来说,非正式会议、简报和总体信息共享的数量极其深入且耗时。如果在进攻性网络空间作战任务期间,每项拟议行动都需要同样程度的详细程度... [删除]。”删除部分可能类似于“这将严重限制美国网络司令部的行动能力。”报告随后发表了以下评论:“由于美国防部长办公室没有做出重大政策改变,美国网络司令部挑战‘伊斯兰国’的能力有限 [删除]。... [删除] 的更新版本旨在提供 [删除]。”删除部分可能是指旨在缓解协调过程中部分摩擦的计划政策——几乎可以肯定是美国第13号国家安全总统备忘录。
最后,相对扁平的层级结构似乎帮助作战人员克服了一些沟通和理解方面的挑战。联合特遣部队阿瑞斯的首任指挥官爱德华·卡登指出了特遣队中初级作战人员与高级作战人员之间的隔阂。美国国家公共电台报道称,初级作战人员“对黑客攻击有着深刻的理解,并且在许多方面比指挥官更了解网络空间中的可能性”。这种动态需要一个按照军事标准相对扁平的组织结构,作战人员和初级作战人员需要直接与高级军官沟通,以便能够准确、快速地做出决策,并将过程中的沟通失误降至最低。
“光辉交响曲行动”是一项复杂的行动,其对手相对缺乏经验,且不注重网络安全。决策者之所以愿意参与这项行动,很可能正是因为风险较低。美国及其盟友已经陷入了动能冲突,因此无需考虑升级风险。行为体的老练程度不足以在网络空间进行反击。这项行动既符合美国的风险承受能力,又几乎没有负面影响。
从积极的一面来看,它让美国政府实体有机会测试新的工具、架构以及运行旧政策流程的方式。这些经验教训在几个月内就促成了变革,因为国家安全局和美国网络司令部加紧努力,以对抗一个意图破坏民主基础、远比其老练的对手:俄罗斯。
05
结论
总体而言,美国在网络领域的进攻和间谍能力被认为是卓越的,位居世界前列。英国国际战略研究所2021年的报告假设美国能够瞄准敌人的指挥控制资产、武器导航和投送系统以及电力和交通等关键国家基础设施,但美国的“能力尚未充分展现”。英国国际战略研究所将这种整体优势归因于“高水平的网络情报能力,辅以高水平的人工情报收集;技术先进的‘五眼’情报联盟的领导地位;强大的网络产业和学术基础;以及成熟的理论和法律授权”。然而,相对较弱的防御态势严重阻碍了这种进攻能力,至少在那些不愿攀登升级阶梯的政策制定者看来是如此,他们深知这一阶梯所依赖的基础薄弱。网络卫生状况参差不齐,州、地方、部落和领地IT预算不足,以及缺乏有效的威慑,这些因素共同作用,形成了低矮、坑坑洼洼的城墙。美国国家网络总监办公室和网络安全和基础设施安全局致力于创建“安全设计”等倡议,旨在向软件编写人员灌输共同防御的紧迫感和责任感。保险公司对风险状况有了更深入的了解,并调整了勒索软件攻击的保费,鼓励个体实体在基本防御方面做得更好。
资源限制是其中一个因素。据美国陆军退役上校乔治·科尔巴里称,美国明显更注重进攻能力而非防御能力:“进攻能力很诱人,比充分防御的能力更受青睐。这听起来很荒谬,但却千真万确。资源分配决策复杂而艰难;没有哪位高层领导愿意削减或减少对进攻能力或容量的追求,但为了增强进攻能力,他们会迅速削减防御能力。”
这些因素的结合意味着,美国的网络战略体系已落入事实上的僵局——这一战略未能反映美国在其他领域的全球主导地位。它包含着以规避风险和拒止为特征的精准、外科手术式进攻。但它也包括对敌对外国势力的攻击缺乏有效应对,以及在攻击严重程度方面存在一定程度的否认。趋势尤其令人担忧:针对对手的威慑力越来越弱,而防御措施的跟进速度也不够快。
美国国家安全机构需要立即提高紧急程度,并向非国家安全实体通报网络领域明显且现实的危险。同时,美国政策制定者需要认真重视制定新的网络领域比例和威慑战略,并努力将这套工具与其他外交政策选项结合起来。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
