编者按:德国国际与安全事务研究所(SWP)网络安全和数字政策研究集群负责人亚历山德拉·保卢斯撰文,分析欧洲网络安全生态系统依赖于美国的五个主要方面,以及上述依赖性可能对欧洲产生风险影响的三种场景,并就欧洲摆脱对美国的网络安全依赖提出三点措施建议。
文章称,美国企业和美国政府在全球网络安全生态系统中扮演着核心角色,而欧洲各国政府、企业和个人的网络安全严重依赖美国,具体体现在:一是美国公司在网络安全应用市场占据主导地位,例如防病毒、防火墙、端点检测与响应以及安全信息和事件管理系统等,欧洲用户主要依赖美国博通、Cloudflare、IBM和微软等公司;二是美国公司在网络威胁信息市场占据主导地位,例如CrowdStrike、IBM、谷歌(曼迪昂特)和Recorded Future等,欧洲的IT专业人员依赖美国CTI服务来获取APT动向信息以分配网络安全资源;三是美国网络部队通过“前出狩猎”行动收集和生成网络威胁情报,为欧洲提供了重要的网络防御信息资源;四是美国政府资助漏洞数据库的建设,例如通用漏洞披露(CVE)数据库和美国国家漏洞数据库(NVD),对于全球软件漏修复和网络安全程序运行起着至关重要的作用;五是美国政府支持开源软件的安全,通过提供资金支持来弥补开源软件安全缺口,通过保障重要开源软件组件安全维护着现代软件生态系统。
文章称,包括欧洲在内的全球网络安全生态系统的关键组成部分都依赖于美国,上述依赖性对欧洲构成风险的三个可能场景包括:一是美国政府可能减少或停止对网络安全项目的财政支持,其影响将波及包括欧洲在内的全球,如降低开源软件项目的安全性以及极大增加漏洞的发现、报告和修复流程的复杂性等;二是美国政府可能改变政治优先事项,将重心从欧洲转移亚太地区,导致欧洲网络威胁信息获取源减少;三是美国政府可能蓄意将欧洲依赖性武器化,对欧洲实施出口限制,导致欧洲陷入无保护状态。文章称,欧洲依赖于上述全球网络安全生态系统的各个要素,上述三种场景预计均会对欧洲产生重大影响,并显著加剧威胁暴露程度。
文章称,德国和欧洲的决策者应立即采取行动,减少对美国的网络安全依赖,并从长远角度保护欧洲的网络安全。关键步骤包括三项:一是实现网络威胁信息收集的多元,方式包括优先考虑欧洲CTI供应商、建立网络安全信息共享法律框架、自行开展威胁搜索活动等;二是为安全研究人员提供法律保护,以确保及时了解软件产品的关键漏洞;三是投资于网络安全生态系统,方式包括接管CVE数据资助、用欧盟漏洞数据库取代美国国家漏洞数据库、利用融资机制保障开源软件项目安全等。
奇安网情局编译有关情况,供读者参考。
欧洲的网络安全依赖于美国:
欧洲能够而且必须做得更多
欧洲各国政府、企业和个人的网络安全严重依赖美国。具体而言,美国公司主导着全球网络安全应用和网络威胁信息市场。美国军方也在数据收集方面发挥着重要作用。此外,美国政府还为漏洞数据库和开源生态系统提供资金支持。这些看似孤立的技术问题加在一起,意味着欧洲在网络安全领域的行动能力受到限制。即使欧洲构建了自己的“欧洲堆栈”(EuroStack),情况依然如此。在各种情况下,这些依赖关系都可能给欧洲带来问题——例如,如果美国政府停止对网络安全的资金支持,改变其政治优先事项,或者在与欧洲的冲突中公开利用这些依赖关系。德国和欧洲的决策者应立即采取行动,减少这些依赖关系,并从长远角度保护欧洲的网络安全。
欧洲的数字化进程使得网络安全成为民主政体正常运转和经济繁荣发展的先决条件。然而,在当前跨大西洋紧张局势的背景下,一个鲜为人知的方面正日益受到关注:全球网络安全生态系统高度依赖美国。该生态系统由参与开发安全软件、保护系统和设备免受威胁、修复已知软件漏洞以及收集和共享威胁行为者信息的个人、公司和非政府组织组成。在这个生态系统中,欧洲依赖于美国公司和美国政府本身。值得注意的是,许多美国科技公司与特朗普政府关系日益密切,这加剧了欧洲对其可靠性的担忧。这种经济依赖性有可能被政治利用。
欧洲在网络安全领域对美国的依赖是根本性的,远不止目前公众讨论的焦点——对云服务提供商、微软365等软件即服务产品以及安全更新的依赖。人们担心,美国实体可能会扣留更新或拒绝提供这些服务。在此背景下,有人呼吁欧洲开发自己的“技术堆栈”,涵盖核心硬件、操作系统和软件应用。
但即便欧洲成功开发出“欧洲堆栈”,网络安全信息生态系统和网络安全产品市场的大部分仍将由美国主导。因此,欧洲依赖于美国政府的决策——而美国政府可能会利用这种依赖性,或做出对欧洲产生影响的政治决策。
01
网络安全生态系统依赖于美国
美国企业和美国政府在全球网络安全生态系统中扮演着核心角色。其中五个方面尤为重要。
1、美国公司在网络安全应用市场占据主导地位
总部位于美国的美国公司在欧洲网络安全软件市场也占据主导地位,这对个人用户和私营部门尤为重要。这些应用包括:
防病毒软件;
可以阻止不需要网络流量的防火墙;
用于监控端点(例如计算机或移动电话)的端点检测与响应(EDR)服务;
用于整合有关组织网络中事件信息的安全信息和事件管理(SIEM)系统。
欧洲用户主要依赖美国供应商,例如博通、Cloudflare、IBM 和微软。虽然也有美国以外的供应商提供此类应用,但切换供应商需要耗费大量资源。
2、美国公司在网络威胁信息市场占据主导地位
为了保护自身的系统和设备免受网络威胁,IT专业人员需要合适的软件应用程序和漏洞信息,以及当前和潜在威胁的信息(网络威胁情报,简称CTI)。CTI使他们能够评估当前的威胁形势,并据此采取相应的保护措施。
CTI市场也由美国公司主导,包括CrowdStrike、IBM、谷歌(曼迪昂特)和Recorded Future。提供其他网络安全产品(尤其是收集事件数据的产品,例如EDR和SIEM)的大型公司更容易提供CTI服务。因此,垂直整合的公司在市场上更具优势。尽管也有美国以外的CTI提供商,但它们的市场份额往往很小,或者由于政治原因而被排除在外,例如俄罗斯公司卡巴斯基。
如果欧洲的IT专业人员无法从美国领先公司获得CTI服务,他们将无法获取有关APT的信息。这将导致他们缺乏分配网络安全资源所需的数据。
3、美国武装部队收集网络威胁情报
美军也生成网络威胁情报(CTI)。具体而言,美国网络司令部开展所谓的“前出狩猎”行动,其中美军成员受邀前往伙伴国家的网络搜索威胁。
欧洲国家可以从这些情报中获益匪浅。首先,美国网络司令部可以直接打击敌方基础设施,而美国的网络安全应用供应商也会根据收集到的信息改进其产品。其次,以往的“前出狩猎”行动主要集中在欧洲,特别是波罗的海国家和东南欧,从而直接为欧洲国家提供了宝贵的网络威胁情报。第三,美军已与欧洲盟友分享了行动中获得的信息,并公布了部分信息。此类情报无疑是欧洲国防的重要信息来源。
4、美国政府资助漏洞数据库的建设
由于软件产品及其漏洞数量庞大,确保同一问题不被重复记录,以及所有参与漏洞修复的各方能够轻松沟通至关重要。这就需要一个全球通用的漏洞识别和命名系统。通用漏洞披露(CVE)数据库正是为此而设。
该数据库由美国非营利组织MITRE运营,而MITRE则由美国国土安全部下属的网络安全和基础设施安全局(CISA)资助。当发现漏洞时,其关联机构会检查该漏洞是否已被发现。如果尚未发现,则会为其分配一个CVE编号。供应商一旦开发出软件更新或其他缓解措施,就会发布包含该CVE编号的安全公告。
美国商务部下属的标准化机构——美国国家标准与技术研究所(NIST)负责运营美国国家漏洞数据库(NVD)。该数据库基于CVE编号,并辅以其他信息,例如漏洞的严重性和根本原因。许多网络安全应用程序会自动将机器可读的NVD数据分发给最终用户。
CVE数据库的丢失势必会减缓全球修复软件漏洞的进程。威胁行为者可能会利用这种延迟发动更多网络攻击,而自动化工具的可靠性也会降低,更容易出错。同样,如果没有NVD数据,某些网络安全应用程序将无法运行,网络安全团队也将失去对许多自动化工作流程的访问权限。
5、美国政府支持开源软件的安全
开源软件(OSS)是现代软件生态系统的基础。几乎所有软件应用都包含开源软件组件。如果某个软件产品使用的组件存在漏洞,那么最终用户也极有可能遇到问题。因此,关键开源软件组件的安全对于许多(开源或专有)软件应用的安全至关重要。
这些广泛使用的组件中,有些仅由一人利用业余时间维护,其信息安全资源有限。美国政府正致力于通过提供资金支持来弥补这一能力缺口,以保障重要的开源软件项目安全。资金来源包括跨部门的开源软件安全倡议(OS3I)、美国网络安全和基础设施安全局(CISA)、美国国家科学基金会(NSF,支持基础研究)以及美国国防高级研究计划局(DARPA)。因此,美国政府正在为保障重要的开源软件组件安全做出重大贡献。
02
网络安全依赖性对欧洲构成问题:
三种情景
全球网络安全生态系统的关键组成部分——包括欧洲在内——都依赖于美国。鉴于当前跨大西洋关系的紧张局势,这些在全球化世界中固有的依赖关系,仍然可能给欧洲带来问题。以下三种情景阐述了最相关的风险。虽然这些情景尚未成为现实,但美国政府已经采取了一些措施,为前两种情景的发生铺平了道路。
情景一:美国政府停止对网络安全项目的
财政支持
一种可能的情景是美国政府可能会减少或停止对网络安全项目的支持。特朗普政府致力于审查和削减政府开支,特别是通过新成立的政府效率部(DOGE)。美国网络安全和基础设施安全局(CISA)以及国务院的网络安全部门已经经历了大幅削减。
如果没有美国政府的支持,许多开源软件项目将缺乏资金来保障其产品和组件的安全。这也会间接影响所有使用受影响开源软件组件的专有软件产品。特朗普政府于2025年3月迈出了这方面的第一步,当时它撤回了对开放技术基金(OTF)的资助。OTF支持用于安全通信和互联网自由的开源软件项目,例如加密通讯应用Signal。该基金就此削减资金一事提起诉讼并胜诉,但目前尚不清楚美国政府是否已恢复拨款。
CVE数据库也遭遇了类似的情况。今年4月,MITRE宣布美国政府将停止对该漏洞数据库的资金支持,导致其停止运行。或许是迫于全球网络安全界的强烈抗议,特朗普政府第二天就改变了主意,宣布将继续提供资金,但仅限于11个月,且资金规模有限。
在这两种情况下,网络安全生态系统都侥幸躲过一劫。如果美国政府彻底削减对网络安全的财政支持,其影响将波及全球,包括欧洲。此类削减将削弱开源软件项目的安全性,并极大地增加漏洞的发现、报告和修复流程的复杂性。
情景二:美国政府改变政治优先事项
美国政府的政治领导层也可能改变其政治优先事项,例如更加重视与中国的竞争。这可能导致华盛顿疏远欧洲,同时忽视俄罗斯的网络威胁。
在这种情况下,美国网络司令部的“前出狩猎”行动可能会从欧洲转移到其他地区国家。这意味着欧洲将减少获取有关俄罗斯网络活动的信息。商业网络威胁情报(CTI)公司也可能效仿,因为美国政府机构是许多供应商的重要客户。如果后者不再要求提供有关俄罗斯网络活动的信息,信息供应将会减少——这令欧洲各国非常不满,因为它们很可能将继续面临与俄罗斯有组织犯罪和俄罗斯政府有关联的威胁行为者的威胁。
2025年3月,有关此类情景可能即将到来之有的报道引发轩然大波。据报道,美国国防部长皮特·赫格塞斯已指示美国网络司令部暂停针对俄罗斯的网络行动计划。此外,美国网络安全和基础设施安全局(CISA)显然也已告知其工作人员停止收集有关俄罗斯网络威胁的信息。尽管这两个机构随后都否认了这些报道,令人对其准确性产生怀疑,但随后的讨论表明,美国政府的政治优先事项可以多么轻易地发生转变,以及这种转变的影响将多么深远。
情景三:美国政府将欧洲的依赖性武器化
在第三种情景中,美国政府蓄意将欧洲的依赖性作为武器,例如,为了在安全和国防政策等其他政策领域获得让步,或者在跨大西洋关系根本性恶化的背景下。这种情景发生的可能性低于前两种,但鉴于近期发生的争端,仍然并非不可能。
在这种情况下,除了情景二中提到的几点之外,美国政府还可以利用美国网络安全公司的市场主导地位。例如,他们可以实施出口限制,阻止欧洲获取相关产品。过去,美国政府曾严格限制加密软件的出口,美国总统特朗普在10月份宣布对向中国出口“关键软件”实施管制。如果同样的限制也适用于欧洲,欧洲用户将不得不在短时间内寻找新的供应商,并且会暂时处于无保护状态。
可能的影响
任何延迟修复漏洞、降低开源软件安全性或导致无法访问网络安全应用程序和主要威胁行为者信息的事件,都将对欧洲造成重大影响。在这种情况下,无论是犯罪分子还是敌对国家实体(情报机构和军队),网络攻击都将更容易实施。
即使没有上述发展,德国的网络安全形势多年来也一直十分严峻,安全事件呈上升趋势。这不仅影响个人,也影响大大小小的公司,包括机场等关键基础设施提供商。此外,公共行政部门和德国联邦国防军也经常成为攻击目标。例如,勒索软件攻击曾导致德国多个市政当局瘫痪数月,针对行政机构的网络攻击在欧洲各地也日益增多。此外,一些大学和德国武装部队的供应商也曾遭受以间谍活动为目的的网络攻击。
为了保护组织和用户免受此类威胁,欧洲各地的IT人员依赖于上述全球网络安全生态系统的各个要素。如果他们无法再访问这些服务和信息,或者该生态系统的功能逐渐减弱,那么针对欧洲目标的网络攻击可能会更加成功。因此,预计在所有三种情况下,威胁暴露程度都将显著加剧。
03
德国和欧洲的政策制定者应该采取
什么行动?
欧洲政策制定者不应将上述依赖关系视为不可改变的。相反,他们可以而且应该解决其中许多问题,以便为上述情景做好准备。即使这些情景最终没有出现,承担更多全球网络安全生态系统的责任也将使欧洲各国政府、企业和社会更加安全。实现这一目标的关键在于以下三个步骤。
1、收集有关网络威胁的信息
为了降低欧洲对美国网络威胁情报(CTI)供应商的依赖,公共采购项目可以根据相关规定优先考虑欧洲CTI供应商。或者,欧盟政策制定者可以建立法律框架,允许企业与政府机构共享网络安全事件数据——类似于美国的《网络安全信息共享法》(该法案已于10月到期)。即使没有相关立法,欧洲网络安全机构也可以寻求与CTI供应商建立更紧密的联系,并促进合作交流;他们还可以借鉴一些研究项目,例如欧洲网络事件存储库(EuRepoC)。
为应对美国网络司令部可能停止在欧洲开展“前出狩猎”行动,欧盟成员国应自行开展此类行动。欧盟于2018年设立了相应的项目——网络快速反应小组和网络安全互助(CRRT)。这是一个所谓的永久性结构化合作(PESCO)项目,欧盟成员国和伙伴国在安全和国防领域开展合作。立陶宛牵头该项目,其他11个国家参与其中(德国不在其中)。然而,迄今为止,该项目仅在摩尔多瓦执行过两次任务。
CRRT为欧盟成员国和伙伴国开展网络安全保护行动提供了一个框架,也允许其应第三国邀请开展此类行动。德国应加入该项目,以便德国联邦信息安全办公室(BSI)的专家能够为其提供支持,并协助收集网络威胁情报(CTI)。
2、为安全研究人员创造法律保护
关于网络威胁情报(CTI)的收集,德国政府也应该改善安全研究人员的法律地位。在许多国家,他们面临着法律上的不确定性,甚至可能被直接定罪。在德国,改革方案已经酝酿多年。上届德国政府曾开始着手立法,但由于联合政府在法案通过前解体,最终未能实现。现任德国政府目前没有推进此类计划,但它应该这样做,以确保对欧洲用户至关重要的软件产品中的关键漏洞能够继续得到报告。
3、投资于网络安全生态系统
与其他依赖项不同,漏洞数据库构成了一个关键的单点故障——但这种故障相对容易缓解。目前漏洞数据库由美国政府资助,但欧洲很容易取而代之。开源软件安全方面的财政支持也是如此。
具体而言,欧盟网络安全局(ENISA)或德国联邦信息安全办公室(BSI)可以接管CVE数据库的资金,并可能与其他欧洲国家网络安全机构合作。此外,欧盟漏洞数据库(EUVD)已于2025年5月启动。尽管ENISA致力于将EUVD定位为对美国国家漏洞数据库(NVD)的补充,但它未来也可能取代美国数据库。然而,与NVD一样,EUVD目前也基于CVE数据库的信息,因此确保CVE数据库的可靠运行显得尤为紧迫。
为了缓解美国撤回对开源软件生态系统资助带来的冲击,欧洲应该建立自己的融资机制来保障开源软件项目的安全。由德国联邦经济能源部支持的主权技术机构(Sovereign Tech Agency)就是一个重要的范例。然而,该机构2024年的年度预算仅为1700万欧元,迄今为止其影响力相当有限。如果其他欧盟国家能够加入并支持该机构,或者共同建立一个欧洲层面的类似机构,将会大有裨益。
如果美国政府停止对网络安全项目的财政支持,欧洲的投资可以相对容易地缓解其负面影响。此类资金在上述其他两种情况下也同样有用,因此应优先考虑。
04
更多挑战
欧洲有潜力摆脱上述依赖。更棘手的问题在于,美国公司主导着网络安全应用市场。尽管欧洲也存在一些规模较小的企业,但由于网络效应,它们的美国竞争对手很可能继续保持主导地位。如果美国政府的政治优先事项发生变化,或者其选择利用这种依赖性,这种市场格局可能会给欧洲带来麻烦。从长远来看,要创造一个有利于更多欧洲网络威胁情报(CTI)公司涌现的环境,政策制定者需要优先考虑开源软件(OSS)的推广和对欧洲科技生态系统的支持。
然而,与此同时,欧洲对网络安全供应商的依赖也可能成为一种筹码。为此,欧洲决策者应评估某些依赖关系是否是相互的——例如,大型网络威胁情报(CTI)供应商严重依赖其客户关于全球网络威胁的数据。一旦发生冲突,欧洲便可利用更多手段,例如市场准入限制。
德国和欧洲还面临其他挑战。首先,它们对美国公司的过度依赖也会造成问题,因为一旦这些公司退出市场(例如破产),就会引发问题。欧洲的决策者和用户也应该考虑到这种可能性。
其次,尽管当前的依赖性讨论主要集中在美国,但欧洲仍然严重依赖中国——例如在半导体生产所需的稀土领域——这更加令人担忧。第三,这就引出了一个问题:如果欧洲放弃对美国的依赖,并且没有“欧洲堆栈”(EuroStack),那么它会转向谁?如果来自中国和俄罗斯的软件供应商不可行,那么欧洲以外的主要选择就集中在以色列、加拿大、澳大利亚和其他亚洲国家。
经验表明,减少此类依赖需要政治意愿、资源和时间。即便这些条件具备,成功也远非必然。因此,德国政府和欧盟的政治决策者应立即采取行动,以保障未来的安全。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
