编者按

美国众议院国土安全委员会下设的网络安全和基础设施保护小组委员会1月13日举行主题为“以攻筑防:审视美国网络能力以威慑和干扰针对美国本土的恶意外国活动”的听证会,旨在探讨美国如何加强其进攻性网络行动,将其纳入更广泛的国家安全框架。部分美国学术界和业界代表出席听证会并作证。

小组委员会主席安迪·奥格尔斯发表致辞称,仅靠防御、韧性和公开归咎是不够的,如果没有可信、合法且可操作的进攻性网络能力,网络空间的威慑就无从谈起;美国十多年来在网络防御、信息共享和韧性方面投入巨资,虽然提高了抵御攻击的能力,但并未改变对手的行为;恶意网络行为者继续渗透美国网络,窃取敏感数据,监视通信,并潜入关键基础设施内部,而不担心会受到实质性的惩罚;国家支持的网络行动是蓄意的、持续的、战略性的,旨在窃取情报、预先获取访问权限,并在危机或冲突爆发前很久就塑造战场格局;目前,进攻性网络行动的授权分散在美国战争部、情报界和执法部门,而美国网络安全和基础设施安全局等民事机构在防御、响应和恢复方面发挥着关键作用;现有的政策框架是为网络威胁环境的早期阶段制定的,未能充分预见到当前国家支持的网络活动的规模、速度和持续性,也不适应绝大多数数字基础设施都由私营部门拥有和运营的情况;上述现实正迫使美国联邦政府进行更广泛的重新评估,即如何将进攻性网络能力负责任地融入现代国土安全框架,包括探索将私营部门的专业知识融入国家网络安全工作的新途径;私营部门并非仅仅是网络空间的受害者,而是拥有可与联邦政府媲美甚至超越联邦政府的视野和技术洞察力,能够第一时间发现恶意活动、分析对手技术手段并开发能够破坏敌方基础设施的工具;美国需要解决私营部门活动大多处于法律和政策的灰色地带的挑战,消除企业在责任、报复和监管风险方面面临的不确定性。

美国奥本大学麦克拉里网络与关键基础设施研究所所长弗兰克·西卢福作证称,21世纪初以秘密搜集为核心的情报驱动模式,如今已演变为网络战与传统军事计划、经济胁迫和危机升级等动态因素交织的对抗性作战环境;美国现在运用原本并非为应对当今威胁的规模、持续时间和节奏而设计的框架来应对这种环境,同时还要依赖一种既体现机构优势又反映出长期政策和行动摩擦的组织结构,后果是过于注重应对突发事件而非寻求持久优势;过去十年间,美国对手不断扩大进攻性网络行动的范围、复杂性和野心,美国网络作战政策也发生了重大转变,这既带来了显著的作战效益也重新引发了关于监督、情报公平以及持续交战所带来的战略风险等悬而未决的问题;仅靠进攻性网络行动或防御都不足以保护美国国土安全,美国的网络政策必须超越被动的、零散的应对措施,转向一种能够在持续遭受外国入侵的时代有效运作的持久态势;网络空间的战略竞争需要持续的参与、更清晰的治理,以及对攻防行动如何相互作用以塑造对手行为的现实认识;美国必须加强其网络战略的理论、法律和组织基础,包括明确跨部门的角色和职责、改进与可信赖的私营部门伙伴的信息共享机制、确保将韧性和安全视为威慑的核心要素而非事后考虑因素以及完善威慑框架;有效的网络空间威慑不仅取决于政府行动,还取决于赋予值得信赖的私营部门运营商及时、适度且合法的措施,以检测、干扰和清除其网络中的恶意活动;明确主动网络防御的法律和政策界限以及强有力的监督和保障措施,将加强集体防御,提高对手的成本,并减轻美国联邦政府的负担;私营部门拥有许多与现代网络冲突相关的能力,如威胁情报收集、快速事件响应以及大规模部署欺骗或拦截工具,并且已经通过在其系统中搜寻对手、部署信标、缓解恶意流量以及在打击僵尸网络期间与联邦机构合作等方式实施了一些主动防御措施;尽管私营部门的行动并非传统意义上的进攻性行动,但表明私营部门可以通过合法、风险评估且技术先进的前瞻性措施,来影响对手的行为并限制其行动自由;目前尚未解决的问题是,在保护自身网络免受国家支持的威胁时,应允许私营企业采取何种程度的行动,以及美国政府应如何构建监督、责任保护和协调框架,以确保此类活动在不引发事态升级或侵犯公民自由的前提下增强国家安全。

美国网络安全公司CrowdStrike首席隐私官德鲁·巴格利作证称,随着攻击者不断进化,防御者只有适应变化才能取得成功,美国必须思考如何检测、预防和防御包含人工智能在内的攻击面;美国遭受网络攻击的范围和严重程度不断增加的原因是,威胁行为者仍在大规模活动,其所受惩罚仍然有限,往往能够达成目标并获得明显的投资回报;在应对网络威胁时,“进攻”扮演着多重角色,例如从执法或行业的角度破坏威胁行为者的基础设施、从军事或情报的角度入侵外国组织或以其他方式对其予以攻击、从企业的角度自行开展威胁狩猎等;众多行为体开展的大众化“黑客反击”行动可能导致二次受害、附带损害并波及无辜受害者,可能干扰正在进行的调查,甚至引发局势升级;进攻性行动应由拥有相关权限、冲突调解机制和明确监督的专业人员来执行,缺乏上述要素的大众化“黑客反击”机制很可能弊大于利;在加强进攻性行动的同时不应忽视防御,防御是基础,能够强化安全并大幅降低遭受重大事件影响的可能性;威慑可以通过拒止和发布可信报复威胁两种方式来实现,威慑的对象通常是威胁背后的个人、机构和国家,因其处境和动机千差万别,没有一种单一的威慑方法能够奏效,必须将威慑纳为网络防御整体战略的一部分;应对网络威胁的核心方案是开展更具针对性、更持久、更精心策划的行动,以扰乱威胁行为者及其支持者的活动,包括运用更多技术手段、设置更多障碍、动用所有可用国家治理工具等。德鲁·巴格利提出四点建议:一是公共和私营机构必须采取合理的措施保护自身安全;二是网络安全界应大幅提高政府机构开展恶意基础设施中断和清除行动的效率,并在适当情况下获得私营部门的支持;三是美国网络安全和基础设施安全局应在协调公私部门参与者方面发挥核心作用;四是美国执法、军事和情报情况应共同努力以加强威慑。

美国智库“战略与国际研究中心”国防与安全部门副总裁艾米莉·哈丁作证称,美国的外交政策历来以威慑为基础,隐含着在任何领域都拥有升级优势,但这一基础在网络领域已经失效;美国需要转变思维模式以真正实现网络威慑,停止将网络攻击视为不可避免的麻烦,而应该将其视为针对美国的敌对行动;美国网络防御薄弱且缺乏威慑力,“网络”被边缘化地视为技术人员幕后工作的专属领域以及独立、技术性且事后才考虑的因素,而非现代外交政策的整合工具;上述“网络孤岛”思维方式是一种战略性错误,因为美国对手正在积极推行一体化战略并且不断突破界限;网络攻击应被视为网络战危险新阶段的一部分,而美国的系统和政策对此准备不足,除非美国政府开始将网络攻防纳入其国家安全战略,否则其将无法有效地威慑、防御和应对网络攻击。艾米莉·哈丁提出五点建议:一是美国政府制定一项新的网络战政策声明,要点包括“网络攻击等同于攻击”“美国将动用国家力量抵御威胁”“美国将对针对关键基础设施的网络攻击采取严厉措施”等;二是美国政府制定“网络优先、网络可选”的新政策,重新定义比例原则和升级机制并使其涵盖全局;三是明确国际行为规范,为未来的行动建立清晰的基准;四是开展“章鱼模型”进攻性网络行动,一方面通过大幅提高风险承受能力使行动人员能够在机会出现时采取更多行动,另一方面将网络工具提前纳入早期政策规划流程;五是美国国会授权建立独立网络部队,为网络安全提供资金,并保护行业网络战士。

美国网络战初创公司Twetny联合创始人兼首席执行官乔·林作证称,美国长期以来一直将网络攻击视为必然升级的行动,对对手的网络攻击采取温和性回应,但这种克制的效果适得其反,助长而非防止局势升级;网络空间的运作方式与冷战时期的核世界截然不同,升级并非自动发生,决策者不必在“无所作为”和“鲁莽行事”间做出选择,而是可以采取适度、先发制人且持续的行动;扰乱敌方的最佳策略是负责任地执行先发制人的行动,切断其访问权限,削弱其基础设施,并提高攻击者的成本,从而迫使敌方重建防御并“三思而后行”;在网络空间应该采取与现实世界一样的威慑策略,即“在威胁的源头而非家门口将其扼杀”;美国国会针对进攻性网络项目的拨款必须用于面向未来的技术,而非过时的系统,人工智能必须成为此项投资的核心;美国国会应将未来进攻性网络项目的拨款与速度、规模和任务影响方面的显著提升挂钩,优先发展为快速、持续网络作战而设计的系统,而非为零星、一次性任务设计的传统平台。

奇安网情局编译有关情况,供读者参考。

美国众议院国土安全委员会下设的网络安全和基础设施保护小组委员会1月13日举行主题为“以攻筑防:审视美国网络能力以威慑和干扰针对美国本土的恶意外国活动”的听证会,旨在探讨美国如何加强其进攻性网络行动,将其纳入更广泛的国家安全框架,包括联邦机构和私营部门不断变化的角色。

美国奥本大学麦克拉里网络与关键基础设施安全研究所所长弗兰克·西卢福、美国网络安全公司CrowdStrike首席隐私官德鲁·巴格利、美国智库“战略与国际研究中心”国防与安全部门副总裁艾米莉·哈丁、美国网络战初创公司Twetny联合创始人兼首席执行官乔·林出席听证会并作证。

“仅靠防御是不够的”

美国众议院国土安全委员会下设的网络安全和基础设施保护小组委员会主席安迪·奥格尔斯发表开幕致辞称:

“今天,小组委员会召开会议,审视美国再也无法回避的现实,即:如果没有可信、合法且可操作的进攻性网络能力,网络空间的威慑就无从谈起。仅靠防御是不够的。仅靠韧性是不够的。仅靠公开归咎也是不够的。

十多年来,美国在网络防御、信息共享和韧性方面投入巨资。这些投资是必要的,也提高了我们抵御攻击的能力。但它们并没有改变对手的行为。恶意网络行为者继续渗透美国网络,窃取敏感数据,监视通信,并将自身置于关键基础设施内部,却几乎不用担心会受到实质性的惩罚。

就在几天前,这一现实再次得到印证:公开报道披露,名为“盐台风”的网络行为者入侵了多个美国国会委员会工作人员使用的电子邮件系统。此次事件是被称为“台风集群”的更广泛的网络行为者组织持续行动中的最新一起。

这些网络行为者并非以营利为目的的犯罪分子。它们是国家权力的工具。它们的行动是蓄意的、持续的、战略性的。它们旨在窃取情报、预先获取访问权限,并在危机或冲突爆发前很久就塑造战场格局。它们的目标不仅是行政部门和私营企业,如今立法部门本身也再次成为攻击目标。

本小组委员会面临的问题并非这些威胁是否存在,这一点已毋庸置疑。问题在于,这些威胁为何持续存在,以及如何才能改变那些认为可以肆无忌惮地对美国采取行动的对手的成本效益考量。

目前,进攻性网络行动的授权分散在美国战争部、情报界和执法部门,而像网络安全和基础设施安全局(CISA)这样的民事机构在防御、响应和恢复方面发挥着关键作用。现有的政策框架是为网络威胁环境的早期阶段制定的,当时的政策框架未能充分预见到如今国家支持的网络活动的规模、速度和持续性。

此外,这些框架也并非为这样一个世界而设计:绝大多数被对手攻击的数字基础设施都由私营部门拥有和运营。

这一现实正迫使美国联邦政府进行更广泛的重新评估。特朗普政府已表明其意图,即采取更加积极主动的网络态势,强调在损害发生之前破坏对手的能力,重新评估对手的风险,并探索将私营部门的专业知识融入国家网络安全工作的新途径。

这反映了一个重要的认识:在网络空间,私营部门并非仅仅是受害者。美国的网络安全公司、云服务提供商、电信公司和新兴技术初创企业往往首先发现恶意活动,首先分析对手技术手段,首先开发能够破坏敌方基础设施的工具。在许多情况下,它们已经拥有可与联邦政府媲美甚至超越联邦政府的视野和技术洞察力。

挑战在于,这些活动大多处于法律和政策的灰色地带。企业面临着责任、报复和监管风险方面的不确定性。美国政府机构在如何合作、共享信息和快速行动方面也受到限制。对手利用这些漏洞,在武装冲突的门槛之下持续活动,并受益于这种模糊性和克制。

今天,我们的证人将帮助我们评估如何将进攻性网络能力负责任地融入现代国土安全框架。”

保卫美国国土安全需要网络攻防兼备

美国奥本大学麦克拉里网络与关键基础设施研究所所长弗兰克·西卢福作证称:

“随着对手不断增强自身能力,在美国关键基础设施中植入破坏性接入手段,并利用军事、情报、执法和民事部门之间的漏洞,这一挑战变得愈发严峻。21世纪初以秘密搜集为核心的情报驱动模式,如今已演变为网络战与传统军事计划、经济胁迫和危机升级等动态因素交织的对抗性作战环境。”

“美国如今必须运用原本并非为应对当今威胁的规模、持续时间和节奏而设计的框架来应对这种环境,同时还要依赖一种既体现机构优势又反映出长期政策和行动摩擦的组织结构。其结果是,美国在持续接触的环境中,往往过于注重应对突发事件,而非寻求持久优势。”

“过去十年间,美国对手不断扩大其进攻性网络行动的范围、复杂性和野心。……在此背景下,美国网络作战政策发生了重大转变。……这种转变带来了显著的作战效益。然而,它也重新引发了关于监督、情报公平以及持续交战所带来的战略风险等悬而未决的问题。这些并非纸上谈兵,而是关乎美国如何在作战灵活性、民主问责制和战略稳定性之间取得平衡的核心问题。此外,网络进攻方式的演变也对我们的防御态势以及联邦政府如何与私营部门等利益相关方合作,共同应对和防御威胁产生了影响。”

“重要的是,仅靠进攻性网络行动不足以保护美国国土安全。当在国外采取网络行动时,美国国土安全部——特别是通过网络安全和基础设施安全局——有责任保护国内网络,并与关键基础设施的所有者和运营者合作,提高各行业的网络韧性。这项任务对于国土安全、经济稳定和公众信心至关重要。”

“为了应对这些挑战,美国必须加强其网络战略的理论、法律和组织基础。这包括明确跨部门的角色和职责,改进与可信赖的私营部门伙伴的信息共享机制,并确保将韧性和安全视为威慑的核心要素,而非事后考虑。此外,还需要完善威慑框架,以应对那些蓄意将间谍活动、胁迫、影响力行动和预先部署活动等手段融合在武装冲突门槛之下的对手。”

“然而,正如单纯的进攻不足以应对挑战一样,纯粹的防御姿态也同样不够。简而言之:我们无法通过设置防火墙来解决这个问题。美国的网络政策必须超越被动的、零散的应对措施,转向一种能够在持续遭受外国入侵的时代有效运作的持久态势。我们不应依赖为不同时代建立的权限和假设。网络空间的战略竞争需要持续的参与、更清晰的治理,以及对进攻和防御行动如何相互作用以塑造对手行为的现实认识。”

“绝大多数关键基础设施由私营实体拥有和运营,这使得它们处于网络空间战略竞争的最前沿。然而,当前的政策往往将这些实体视为被动的受害者,而非潜在的防御伙伴。正如我们的报告指出,有效的网络空间威慑不仅取决于政府行动,还取决于赋予值得信赖的私营部门运营商及时、适度且合法的措施,以检测、干扰和清除其网络中的恶意活动。明确主动网络防御的法律和政策界限——同时保持强有力的监督和保障措施——将加强集体防御,提高对手的成本,并减轻联邦政府独自承担的国土安全负担。”

“许多与现代网络冲突相关的能力,例如威胁情报收集、快速事件响应以及大规模部署欺骗或拦截工具的能力,并非存在于政府网络中,而是存在于大型科技公司、云服务提供商和关键基础设施运营商内部。私营实体已经通过在其系统中搜寻对手、部署信标、缓解恶意流量以及在打击僵尸网络期间与联邦机构合作等方式,实施了一些主动防御措施。”

“尽管这些行动并非传统意义上的进攻性行动,但它们表明,私营部门可以通过合法、风险评估且技术先进的前瞻性措施,来影响对手的行为并限制其行动自由。目前尚未解决的问题是,在保护自身网络免受国家支持的威胁时,应允许私营企业采取何种程度的行动,以及政府应如何构建监督、责任保护和协调框架,以确保此类活动在不引发事态升级或侵犯公民自由的前提下,增强国家安全。随着对手越来越多地将美国公司作为获取战略优势的目标,问题不在于私营部门是否会在积极的网络防御中发挥作用,而在于这种作用是会被纳入一个连贯的国家战略,还是会继续在临时且法律模糊的‘灰色地带’中发展演变。”

大众化“黑客反击”机制可能弊大于利

美国网络安全公司CrowdStrike首席隐私官德鲁·巴格利作证称:

“民族国家的力量不容小觑。与此同时,网络攻击也呈现出大众化的趋势,攻击者不再需要以往执行高影响力攻击所需的知识、资源或时间——事实上,攻击者甚至可以通过‘氛围黑客’(vibehack)轻松得手。此外,由于合法凭证以及部署勒索软件和恶意软件的工具都可以在网络犯罪论坛上购买,因此,只要有攻击意图,就能轻易获得攻击手段。随着攻击者不断进化,防御者只有适应变化才能取得最大成功。这同样适用于我们整个数字生态系统。随着我们采用新技术、新功能和新能力,我们也必须相应调整安全防护方式。如今,这意味着我们必须思考如何检测、预防和防御包含人工智能在内的攻击面。”

“美国在多大程度上能够抵御网络威胁?美国仍然容易受到网络攻击,而且攻击的范围和严重程度还在不断增加。……尽管在网络安全措施方面投入巨大,但现状并不奏效。”

“问题出在哪里?简而言之:威胁行为者仍在大规模活动,其所受惩罚仍然有限,而且他们往往能够达成目标。他们仍然能够获得明显的投资回报。他们仍在评估风险,目前看来结果可观。为了取得持久进展,我们必须齐心协力地改变这些条件。”

“在应对网络威胁时,‘进攻’扮演着怎样的角色?在网络环境中,‘进攻’可以指代多种不同的事物。宏观层面,从执法或行业的角度来看,威胁行为者的基础设施破坏可能包括:控制恶意域名、服务器或中继基础设施;控制托管的恶意软件工具包或僵尸网络;或使用于匿名托管窃取信息的暗网论坛或网站瘫痪。重要的是,阻止对手将其行动变现也是可以实现的。至少,这类行动需要周密的计划,面临协调方面的挑战,并且可能引发关于责任分担的问题。从军事或情报的角度来看,‘进攻’可能意味着入侵外国组织或以其他方式攻击它们,例如通过拒绝服务攻击或破坏性攻击。后者可以侧重于删除数据、摧毁IT系统或在现实世界中造成‘影响’,例如操纵运营技术系统及其相关基础设施。在企业层面,我们提倡防御者自行开展威胁狩猎,或与能够代表其开展这项工作的合作伙伴合作。这项至关重要的实践可以在每个组织自身的系统、资源和数据上执行。因此,这主要是一种主动防御方法,而非单纯的进攻。但威胁狩猎是我们行业应对定向攻击最有效的技术之一。”

“网络攻击受害者或其代表是否应该开展‘黑客反击’(hack back)?……如果政策框架更有利于由众多行为体开展的‘黑客反击’行动,则可能导致二次受害、附带损害,并波及无辜受害者。正在进行的调查可能会受到干扰。报复行动可能引发一波又一波的局势升级,甚至可能沿着具有重要地缘政治意义的路线发展。鉴于这些原因,我们一致认为,进攻行动最好由拥有相关权限、冲突调解机制和明确监督的专业人员来执行。一个缺乏这些要素的大众化黑客反击机制,很可能弊大于利。”

“防御是否已经失去价值?不。防御是基础。即使是那些希望加强进攻的人也必须认识到强大防御的价值。……新的威胁行为者层出不穷,他们的能力和动机也各不相同。经济和地缘政治形势不断变化,而且往往是朝着更糟糕的方向发展。在这种不断变化的环境中,建立防御体系至关重要。此外,如果政策要求增加进攻行动,那么就应该更加重视防御,而不是放松防御。在军事领域,将目标分为‘软目标’和‘硬目标’是很常见的。简而言之,那些采用现代方法加强自身防御的组织更加安全,并且大大降低了遭受重大事件影响的可能性。而那些没有采取这些措施的组织不仅容易受到渗透,而且在面对突发事件时还会面临生存危机。”

“威慑在战胜威胁中扮演什么角色?从机制上讲,威慑可以通过两种方式实现:一是拒止(即,对手意识到攻击无效,于是将精力转移到其他方面);二是发出可信的报复威胁。报复可以是域内报复(即,本身也是网络攻击),也可以是跨域报复(例如,利用执法或常规军事能力)。网络攻击是由对手发起的。威胁本身无法威慑;威慑的对象通常是威胁背后的个人、机构和国家。这些人可能是军事或政治人物,也可能是匿名罪犯。他们可能富有或贫穷;可能权势滔天或走投无路;可能追求名利,也可能试图推行激进的政治或社会事业。从政治学的角度来看,他们可能是理性行为者,也可能是非理性行为者。鉴于他们的处境和动机千差万别,没有一种单一的威慑方法能够奏效。威慑效果难以衡量。显然,目前仍有相当数量的对手未受到威慑。作为一个整体,我们必须加强威慑,将其作为网络防御整体战略的一部分。”

“政策制定者应该如何权衡防御与进攻的资源配置?遗憾的是,简单的五五开(或八二开,或二八开)的答案难以实现。但以下几点应作为投资的指导:在防御方面,各组织应建立切合实际、信息充分的威胁模型,并制定应对这些威胁的计划;对安全进行一定程度的投资是合理的;有效性往往比资源投入更重要;将安全投资视为整体IT支出的一部分或许更为合理。同样,在国家层面,根据《美国法典》第10篇和第50篇授权运作的机构为进攻性任务提供资源是合理且现实的。但是,与其根据网络防御投资来确定这些活动的资源水平,规划者或许更应该考虑网络进攻与其他可能达到类似效果的攻击能力(例如,动能选项)之间的关系。”

“为了更好地应对网络威胁,哪些角色、任务和权限需要改变?我们的核心方案是开展更具针对性、更持久、更精心策划的行动,以扰乱威胁行为者及其支持者的活动。这意味着要运用更多技术手段,设置更多障碍,并利用所有可用的国家治理工具(例如跨域应对措施)来向对手施压,削弱其成功,并阻止其大规模运作。”

“人工智能的进步对这些考量有何影响?人工智能的进步并不会从根本上改变威胁行为者的动机。然而,它确实为威胁行为者提供了新的攻击目标、新的基础设施以及新的加速器,以自动化其策略、技术和程序。我们预计,随着攻击者利用新工具并适应不断变化的环境,这一趋势将持续下去。人工智能本身也受到攻击者的威胁,无论是系统、数据、人类和非人类身份,还是终端用户平台。随着人工智能的普及和融入传统IT架构,成为美国数字基础设施的组成部分,这种威胁只会加剧。与端点、网络、云和身份的检测与响应需求类似,人工智能检测与响应可以检测并阻止直接和间接的提示注入、越狱和模型操纵尝试。网络安全本质上是一个数据问题。幸运的是,人工智能——特别是代表用户采取有限行动的智能人工智能——极大地增强了防御者的能力。智能代理人工智能能够最直接地改善网络安全实践的领域之一,是利用代理消除安全运营中心的瓶颈。通过部署专门的代理来处理耗时任务,安全团队可以重新获得速度优势,弥补长期存在的人力和响应能力缺口,并从被动防御转向主动防御。代理可以分析恶意软件、执行特定的威胁搜寻操作、确定风险修复的优先级等等。”

德鲁·巴格利提出四点建议:

  • 公共和私营机构必须采取合理的措施保护自身安全。阻止网络威胁行为者实现其目标是网络安全能力投资的重要原则。如何实现这一目标将随着技术发展和攻击者手段的演变而不断演进。目前,企业应将端点检测与响应、威胁狩猎、身份威胁检测与响应、软件即服务安全和云安全视为实现这一目标的高杠杆投资领域。

  • 网络安全界应大幅提高政府机构开展恶意基础设施中断和清除行动的效率,并在适当情况下获得私营部门的支持(例如,信息共享和行动协作)。在某些情况下,IT提供商或电信公司等私营机构可以利用法律程序或其自身的服务条款来干扰行动。

  • 鉴于其利益相关者参与职能,美国网络安全和基础设施安全局应在协调公共和私营部门参与者方面发挥核心作用。本委员会可以确保美国网络安全和基础设施安全局得到适当的关注和资源支持,以履行这一使命。从监督角度来看,你们可以确保其拥有足够的权限、人才和能力,以最大限度地发挥其作用。

  • 美国联邦执法部门以及《美国法典》第10篇和第50篇规定的机构应共同努力以加强威慑。美国政府应主导对重大敌对行动的全面应对,同时迅速利用现有权限,并行采取行动,以威慑对手并降低其攻击的投资回报率。

“章鱼模型”进攻性网络行动

美国智库“战略与国际研究中心”国防与安全部门副总裁艾米莉·哈丁作证称:

“华盛顿在网络领域未能建立起有效的威慑力量,而我们的对手却掌控着事态升级的主动权。历史上,美国的外交政策一直以威慑为基础,隐含着在任何领域都拥有升级优势。但这一基础在网络领域已经失效。美国对网络攻击的反应一直较为迟缓,升级优势也并不存在。美国的进攻性网络能力强大,或许无人能及。美国网络司令部已多次证明,只要有机会,它就能干扰对手的活动。这种已展现出的能力,加上美国整体的实力,使得在网络领域建立威慑成为可能。但要真正实现威慑,我们需要转变思维模式。我们需要停止将网络攻击视为不可避免的麻烦,而应该将其视为其本质:针对美国的敌对行动。网络攻击并非总是由外国政府实施——我们仍需区分犯罪和敌对行为——但当此类攻击确实由外国政府实施时,应将其视为一种战争形式。美国对手并不认为战争与和平之间有明确的界限。相反,他们将网络攻击视为战争范畴的一部分。对他们而言,与美国的竞争仍在继续,低强度的网络战不仅可以接受,而且行之有效。”

“出于一系列合乎逻辑的原因,美国的防御能力薄弱得令人无法接受。美国政府和业界需要投入大量精力和资源,使关键基础设施和政府系统具备应对这种新型战争的韧性。系统必须能够在发生故障后迅速恢复,并在几分钟内(而不是几天内)完成重置和重建,同时最大限度地减少对关键服务的干扰。”

“‘网络’一词已被边缘化,被视为技术人员幕后工作的专属领域。它被视为独立、‘技术性’且事后才考虑的因素,而非现代外交政策的整合工具。这种思维方式是一个战略错误。当美国决策者允许这种事实上的网络孤岛存在时,我们的对手却在积极推行一体化战略。当美国致力于保护平民并谨慎选择进攻性网络行动时,对手却在不断突破界限。”

“网络攻击应被视为网络战危险新阶段的一部分,而美国的系统和政策对此准备不足。……除非美国政府开始将网络攻防纳入其国家安全战略,否则它将无法有效地威慑、防御和应对网络攻击。特朗普政府最近发布的《国家安全战略》明确将‘进攻性网络行动’作为美国政府全面应对能力的一部分,这是一个积极的进展。”

艾米莉·哈丁提出五方面建议:

一是宣布转变:网络战新政策声明

思维转变的第一步是美国政府制定一项新的网络战政策声明,其要点如下:

  • 网络攻击就是攻击。如果网络攻击危及生命、健康或安全,尤其是威胁关键基础设施并可能造成大规模伤亡事件,美国政府将像对待任何其他针对平民的攻击一样对待它们。

  • 美国能够并将动用一切国家力量,有效保卫国土免受任何领域任何威胁。此外,美国以保护无辜平民为荣,而非以平民为攻击目标,因此拒绝攻击民用关键基础设施。因此,对针对关键基础设施的网络攻击,美国将采取相应的严厉措施,并可能包括经济或军事手段。

  • 美国将假定任何针对关键基础设施的网络攻击都具有破坏性意图,并采取相应的应对措施。

二是让美国决策者理解这一转变

重新定义比例原则和升级机制,使其涵盖全局。决策者对比例原则的理解必须超越最近发生的事件,而应考虑一系列攻击的总体成本、这些攻击造成的长期经济和安全后果,以及不作为所传递的信息。一项新的政策,可以称之为“网络优先,网络可选”,必须以明确的原则为出发点,即美国正在重新定义网络领域的比例原则,加强防御,并向对手发出警告:未来美国将针对整体行为模式而非任何一次孤立的攻击进行报复,并将动用一切可用手段。对网络攻击进行网络反击是一种选择,但远非唯一选择。

三是转变国际行动

明确国际行为规范,为未来的行动建立清晰的基准。即使许多国家可能忽视这些规范,这项工作仍然意义重大。明确规范为威慑奠定了基础,因为它可以减少在规范遭到违反时采取行动的不确定性。威慑的关键不仅在于声明,更在于展现决心。在政策声明生效后,美国及其盟国对首次网络攻击做出强有力的回应,将有助于树立新的基调。

四是落实转变

将进攻性行动发展为一个战略整体。网络政策在外交政策中扮演着次要的辅助角色。因此,所需的发展取决于两项行动:大幅提高风险承受能力,使行动人员能够在机会出现时采取更多行动;大幅提前规划时间,将网络工具纳入早期政策规划流程。如此一来,决策者才能准备好运用一套新的、更强大的策略来赢得网络战。

首先,调整风险承受能力。提高风险承受能力,以应对快速行动,对于采取更灵活、更积极的策略至关重要。网络攻击必须结合长期规划的行动和即时机会。大规模行动对于构建连贯的长期策略至关重要,但行动人员必须做好准备,在漏洞出现的罕见时刻抓住它。理想情况下,决策者应该转变风险计算方式:对于一项拟议行动,默认答案应该是“是”,反对者必须证明其风险过高,而不是要求行动人员证明行动安全。

其次,尽早开展合作。由于网络安全相对较新,它常常被当作作战计划的最后附加部分,而不是在更大规模的行动中发挥整合作用。这种做法虽然能让网络活动做出一些贡献,但作用有限。相反,规划者应该将网络行动人员纳入早期规划阶段,尤其是在制定针对势均力敌的竞争对手的应急计划时。如果网络工具开发得足够早,就能分散和削弱对手,从而倍增军事和外交行动的力量。要抓住有利时机,需要数月的调研、规划和预先部署。如果要在紧急情况下使用网络工具,操作人员就需要提前规划。

这种演进后的模式可以想象成一只章鱼。优秀的进攻性网络工具灵活、富有创造性且善于把握机会,就像章鱼在野外捕猎一样。网络进攻必须将长期规划的行动与即时机会相结合——就像章鱼的中枢大脑和触手一样。章鱼能够完美地伪装自己,利用触手探索各个角落,甚至挤进极其狭小的空间等待猎物。此外,每条触手既独立行动,又相互协作。中枢神经系统指挥行动,而每条触手上的大脑则负责管理搜索。进攻性网络行动的“章鱼模型”可能包括:美国国家安全委员会的战略指导;跨部门行动规划;前瞻性的探索和机会主义策略;授予美国国家安全局、中央情报局和网络司令部执行低风险和中等风险任务的额外职责。

有了这些要素,就可以开始执行行动计划了。美国战略与国际研究中心的报告详细阐述了这些步骤,但关键在于:要大胆。针对特定攻击者的痛点,制定创造性的政策应对措施。要表明,美国将网络攻击造成的损失视为与实际军事攻击同等的严重后果。

五是给美国国会的建议

以下国会行动可以增强网络进攻能力,加强国内防御,并有助于建立亟需的威慑力量:

  • 创建并资助一支新的网络部队:网络领域需要一支独立的部队,其力量应以预备役部队为主,以便从私营部门招募和留住最优秀的网络人才。

  • 为网络安全提供资金:美国国会应考虑为政府网络亟需的资本升级提供资金,允许更灵活地支出用于网络安全改进,并要求政府内部加强网络防御薄弱环节的报告和问责。美国国会还应考虑为关键基础设施提供商设立资金激励(胡萝卜加大棒)相结合的机制,以显著提高其抵御攻击的能力。

  • 保护行业网络战士:将私营部门视为真正的合作伙伴。为与美国政府合作的网络运营者提供保护,就像许多私营部门人士在乌克兰所做的那样。

艾米莉·哈丁总结称:

“网络领域亟需进行重大变革。华盛顿迫切需要将网络空间纳入其更广泛的外交政策工具箱,并确定网络活动如何与更广泛的外交政策行动相协调,包括威慑、对等回应和国际规范。换言之,美国需要一套新的应对方案,以应对日益猖獗且极具破坏性的网络攻击。”

克制助长而非防止了局势升级

美国网络战初创公司Twetny联合创始人兼首席执行官乔·林作证称:

“长期以来,华盛顿一直将网络攻击视为必然升级的行动——仿佛应对网络入侵的风险与核战争无异。其结果形成了一种危险的模式:我们不断遭受攻击,发出关于‘规范’的警告,然后附加一两项温和的制裁。与此同时,外国继续渗透我们的关键基础设施,窃取我们的知识产权,并在我们的民用系统中预先部署恶意软件——而且他们越来越自信地认为不会付出任何实际代价。这种克制本意是防止局势升级,但实际上却适得其反,反而助长了局势升级。”

“我们的对手已经意识到,加大力度的边际成本很低。每当我们以空洞的言辞而非实际的后果来回应侵略时,我们都在发出一个明确的信号:继续升级。久而久之,这会变成一种反常的激励——奖励的恰恰是我们想要阻止的行为。网络空间的运作方式与冷战时期的核世界截然不同。升级并非自动发生——这意味着决策者拥有比他们本能所暗示的更大的行动空间。我们不必在无所作为和鲁莽行事之间做出选择。我们可以采取适度、先发制人且持续的行动。扰乱敌方的最佳时机,莫过于在其行动成为头条新闻之前。负责任地执行先发制人的行动,可以切断其访问权限,削弱其基础设施,并提高攻击者的成本。这迫使我们的敌人重建防御,三思而后行。”

“在现实世界中,我们绝不会允许恐怖分子越过我们的国界,在众目睽睽之下建立恐怖组织,然后等到他们准备引爆炸弹时才出手阻止。我们不会坐等他们扣动扳机或按下炸弹按钮。我们会在他们到达目标之前就阻止他们。事后,我们的军方、情报部门和执法部门会因其识别敌方为攻击美国而建造的基础设施的能力而受到赞扬。网络空间也应如此。我们目前拥有技术能力,可以发现敌人在我们网络阴影下构建的数字基础设施。我们可以看到那些旨在瘫痪我们的网络。然而,在我们现行的被动策略下,我们却被迫袖手旁观,坐等观望。我们需要采取威慑政策,在威胁的源头而非家门口将其扼杀。我们可以利用私营部门的创新能力,在这些威胁付诸行动之前将其消除。如果我们预见到针对美国城市或城镇、财富500强企业、联邦机构、州或地方政府的袭击,我们的职责就非常明确:我们有道义上的责任和国家安全义务消除这种威胁。……为了参与竞争,我们必须养成一种新的习惯——积极应对。任何针对美国的严肃行动都必须产生切实可见的后果。”

“去年,美国国会通过H.R.1法案授权拨款10亿美元用于进攻性网络项目。这固然是重要的一步,但仅仅是开始。我们不能将其视为走过场。这些资金必须用于面向未来的技术,而非过时的系统,人工智能必须成为这项投资的核心。此外,美国国会应将未来进攻性网络项目的拨款与速度、规模和任务影响方面的显著提升挂钩,优先发展为快速、持续网络作战而设计的系统,而非为零星、一次性任务设计的传统平台。”

声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。