编者按

美英等媒报道称,美国政府近期可能对俄罗斯发起反击行动,以报复俄罗斯对美国大量公私领域机构开展的SolarWinds攻击。美国三位网络安全专家就美国政府潜在报复性选项以及网络战略、政策和行动考虑因素提供了深入见解。

关于美国的报复行动的形式,美国需要考虑的主要因素包括美国的网络能力、战略和政策以及俄罗斯的独有国家特性,因此报复的主要武器将是经济制裁,次要选项将是对俄罗斯战略目标开展网络打击以展示美国的“数字肌肉”。同时,报复行动还需要考虑两方面制约因素:一是不能达到联合国宪章所禁止的“使用武力”水平;二是必须把握好“毁伤度”,既达到让俄罗斯“痛到长记性”的效果,但又不会引发事态升级。

关于网络报复行动的职责分工,美国网络司令部最有可能成为行动领导机构,而联邦调查局、国家情报总监办公室、中央情报局、国家安全局、国土安全部和国务院等伙伴机构则将根据各自职责和角色提供支持。

关于网络报复行动的决策,美国需要考虑三方面主要因素:一是相称性,既需要保证行动达到“传达信息”的效果,并可减轻对国家和经济安全的持续风险,同时也要保证行动的克制性,避免对外交和国际安全行动造成负面影响;二是网络规范,由于SolarWinds事件仅涉及间谍活动而非重要目标的攻击,所以网络规范在此次报复行动中可能并不起作用;三是升级风险,美军将基于克制性回应的意图、能力和结果的评估来决定武力水平,并将进行事先的兵棋推演,列出所有可能后果。

奇安网情局编译有关情况,供读者参考。

上任不到两个月,拜登政府正在解决如何应对民族国家对美国公共部门和私营部门开展的大规模、广泛的网络间谍活动的问题。美国政府对网络攻击事件的回应将为美国未来四年内应对敌对民族国家黑客攻击的网络安全战略、政策和行动定下基调或者是轨迹。据称美国政府正在采取多管齐下的应对措施,其中可能包括一份网络安全行政命令、经济制裁以及国家安全顾问杰克·沙利文所说的“看得见与看不见的工具”。

任何事件的网络行动回应,无论可能带来什么,都充满挑战性问题的棘手问题,例如相称性、升级风险和“网络规范”。上述规范是美国和许多其他国家提倡的,但一些国家并不接受。三名专家就上述问题发表独特的见解,可帮助了解摆在美国政府面前的可能开展的网络行动,以及其战略和政策影响。

  • 亚当·罗斯福,位于美于弗吉尼亚州阿灵顿的网络安全和情报公司AR International Consulting的首席执行官,美国陆军退伍军人,前国防部官员。在国防部期间曾承担过多个角色,其中包括监督军事网络活动和衔接高级军事官员以支持网络行动和演习。
  • 乔·比林斯利,国防大学信息与网络空间学院主任,非营利性军事网络专业人士协会的创始人,前美国陆军战略筹划人员和网络行动官员。他在本文中表达的观点是他自己的观点,并不代表美国政府、国防大学或任何其他政府机构或实体。
  • 赫伯特·林,斯坦福大学的高级研究学者,曾与他人合编《字节、炸弹和间谍:进攻性网络行动的战略维度》。

一、黑客攻击的幕后主使是谁?

当然,网络间谍活动并不是新生事物,但SolarWinds黑客攻击非同寻常。虽然美国政府尚未正式归因,但SolarWinds黑客攻击活动被广泛认为是俄罗斯情报部门的杰作,该活动以其技术精湛和受影响机构数量而引人注目。值得注意的是,美国网络司令部执行主任戴夫·弗雷德里克近日在一次虚拟活动中表示,“没有证据”表明国防部网络在SolarWinds黑客攻击中遭受入侵。

俄罗斯政府本周否认与SolarWinds黑客攻击有任何牵连,并警告美国不要开展回应行动。有媒体记者在社交媒体上表示,美国网络安全和基础设施安全局(CISA)“不久”将发布进一步证据,将此次黑客攻击归因于俄罗斯。

在确定回应时要回答的第一个问题是:谁应该为黑客攻击负责?众所周知,黑客攻击归因非常困难,尤其是对于像国家这样的高技能威胁行为者而言,这就是为什么归因还经常给出判断的“信心”程度的原因。使事情变得更加复杂的是,威胁参与者窃取并重新利用彼此的工具、技术和程序(TTPs),这进一步干扰了归因。因此,在美国对任何一个事件做出回应前,政府必须对其归因具有高度信心。

亚当·罗斯福表示,“俄罗斯黑客组织APT29‘舒适熊’被认为是最近SolarWinds黑客的幕后黑手。为了使拜登政府能够针对俄罗斯或可能是其他威胁行为者开展有效的网络和情报行动,政府需要证明归因。据推测,APT29‘舒适熊’在数字领域采用并利用了非常先进的间谍情报技术,这对归因提出了挑战。取证和情报活动将提供谁应负责的见解,并确定政府将用来对付敌人的武力级别。”

二、潜在选项菜单牵扯到什么?

专家们称,一旦美国政府确信了黑客攻击的技术归因,那么美国网络能力、战略和政策将被考虑,同进还有黑客活动所牵扯国家的独有特性。

从美国网络能力的角度来看,乔·比林斯利表示,“响应选项菜单很长,并且在一定程度上仅受创造性和物理定律的限制。但是,假定认为与网络行动相对应的应该是网络回应。不论是否以网络为中心,所有地缘政治大国都有许多选择。”

针对SolarWinds活动响应,亚当·罗斯福指出,“摆在美国政府桌上选项菜单将把经济制裁作为其主要武器。次要菜单将考虑旨在破坏俄罗斯商定战略目标的网络选项,这些目标将成为美国可以展示其数字肌肉并对违法行为进行惩罚的试验场。”

赫伯特·林认为,美国的回应可能会考虑两个“制约因素”。他表示,“选项菜单很广泛,但是它们必须满足两个约束。首先,它们不能施加可能被理解为‘使用武力’的成本,这是联合国宪章所禁止的。这限制了许多高端回应,例如关闭电网造成平民伤亡或者严重干扰或破坏俄罗斯军事力量的行动。其次,它们必须让俄罗斯决策者痛到长记性,但又没有痛到激起美国可能未做好准备的进一步升级。”

关于正式涉及黑客行为的民族国家的独特品质,乔·比林斯利表示,应该考虑到国家的利益、发展轨迹和可供打击资产。赫伯特·林表示,任何回应都必须考虑到所牵扯“国家领导层的特殊性以及他们最看重的是什么”。

三、谁来领导美国的网络回应?

如果网络行动是政府从其选项菜单中选择的项目之一,那么接下来需要考虑的将是哪个实体应领导上述行动,以及其他实体将提供哪种类型的支持。

赫伯特·林表示,“由于这种行动可能导致升级,因此只有在最高级别的白宫才能做出如此重要的决定。我预计包括中央情报局(CIA)在内的情报界也将参与进来,我觉得将以秘密行动而非传统军事活动的形式开展。我不确定领导层需要权衡的战略和政策担忧,但官僚的和机构间的担忧也应添加到该列表中。”

亚当·罗斯福补充称,“联邦调查局、国家情报总监办公室(ODNI)、中央情报局、网络司令部(CYBERCOM)、国家安全局(NSA)、国土安全部(DHS)和国务院将共同合作,并且都具有预定的角色和职责。在美国法律的约束下,每个机构的权限也得到概述,以确保各部门在涉及调查、反制措施和攻击性活动时在准则范围内操作。国家政策框架将源于一系列政策工具,例如《国防战略》和网络空间行动功能性活动计划。鉴于CYBERCOM的直接使命和当前的重点,我认为CYBERCOM将领导网络行动,因为其核心重点是实现并保持网络空间优势。考虑到这一点,伙伴机构将成为事实上的特遣队的一部分。”

四、美国网络行动响应如何考虑相称性和网络规范因素?

相称性和网络规范的原则经常在报复性网络行动问题中提出。

关于网络行动的相称性,亚当·罗斯福说:“网络空间行动功能性活动计划将用于规划和执行‘相称性进攻回应’。如果归因可被证实,美国将在内部讨论回应选项,重点聚焦网络司令部和伙伴机构可以联合部署用于传达信息的能力。报复性网络进攻战略必须实现两个目标:一是发送消息;二是确保所部署有效荷载是克制性回应,并减轻对国家和经济安全的持续风险。克制性回应的考虑因素还将包括评估可能对外交和国际安全行动造成负面影响的外部因素。”

赫伯特·林表示,就战略和政策因素而言,相称性问题是“一个很难回答的问题”。关于SolarWinds黑客攻击,林称,“《纽约时报》指出美国试图提出这样的论点,即俄罗斯的行动是无差别的,而美国的类似行动则是针对性的。这很可能是正确的,但如果是这样,它就排除了美国的无差别回应。这意味着任何美国回应都必须是针对性的,并且必须对目标施加‘相称的’代价。但是,由于将无差别攻击所产生的集体成本与针对性攻击所产生的个体成本进行比较没有很好的分析意义,最终这就完全成了一种判定,即决策者做出判断后我们就用‘相称性’的标签来识别。”

美国和其他国家公开倡导网络规范,包括限制对私营部门实体(例如公司)、某些公共部门实体(例如医院、学术机构等)和关键基础设施的网络攻击。但是,据FBI和CISA和,SolarWinds黑客行动已影响到私营部门、部分公共部门以及关键基础设施运营商。

但是赫伯特·林指出,至少根据我们现在对SolarWinds活动的了解,网络规范可能不会在这里发挥作用。林称,“到目前为止,据所有人所知,SolarWinds事件涉及间谍活动(从受保护系统中泄露信息)而非攻击。也就是说,没有任何东西被损坏、破坏或致瘫。由于规范涉及攻击而非间谍活动,因此根本没有违反任何规范。”

五、升级风险如何?

除相称性和网络规范外,政府决策过程中可能还要考虑的关键因素是升级风险。

为了解决这个问题,亚当·罗斯福称,“对每种情况进行兵棋推演将包括风险评估,并列出每个决定的可能结果。‘前沿防御’将要求美国制定一个计划,以使用先进的工具、战术和程序(TTPs)动态地寻求线索。武力水平是通过评估一系列因素来决定的,这些因素评估了部署克制性回应的意图、能力和结果。”

关于可能的升级情况,赫伯特·林指出,最近有媒体报道说,遭入侵系统的后门可被用来开展更多的“破坏性”攻击。美国联邦调查局(FBI)和网络安全和基础设施安全局(CISA)的联合警报也警告了这种可能性。

赫伯特·林为这种升级可能提供了以下假设情景,“在天气骤冷中,得克萨斯州奥斯汀再次发生断电。得克萨斯州当局宣布停电与2月份的停电类似,但俄罗斯人私下通过外交渠道对美国宣布对事件负责,并提供了证据表明他们已经入侵了向奥斯丁的电力输送。他们还提供了类似的证据,表明他们已经在向美国另外五个城市供电的电网中安装了类似的植入程序。然后,他们礼貌地要求美国不要再传达任何信息。”

六、美国能否威慑未来的网络间谍活动和网络攻击?

“网络威慑”的不可能性在前几年中已得到详尽讨论,这种不可能性得到解释并作为“持续交战”学说被纳入到2018年《美国网络司令部愿景》文件,而该学说与美国网络司令部的“前沿防御”概念相关。

美国网络司令部司令和国家安全局局长保罗·中曾根谈到了“前沿防御”,该概念承认网络威慑的局限性,并且涉及其所称的“在美国军事网络之外执行行动”。中曾根说,“持续交战”是“通过对抗和角逐未达到武装冲突的活动来聚焦于侵略者的信心和能力。”

鉴于“网络威慑”似乎毫无用处,赫伯特·林指出了美国网络司令部的愿景,该愿景提出:“持续交战给我们的对手造成了战术摩擦和战略成本,迫使他们将资源转移到防御和减少攻击上。”林称,“这是美国网络司令部所说的能够影响俄罗斯活动的唯一事情。但是,这当然意味着要在其网络中不断开展进攻活动——这意味着他们没有对俄罗斯的具体行动做出回应。”

亚当·罗斯福补充称,“美国国会可以制定法律,扩大网络司令部和情报机构的权力,从而允许在重大网络攻击后简化决策来扰乱对手。”

七、还有什么别的可做?

乔·比林斯利说,美国人对民族国家针对美国平民目标的这类网络运动“越来越不耐烦”。他补充称,“尽管在短期内传达信息的行动可能迫使对手在一段时间内重新考虑自己的风险偏好,但如果没有更明智的投入,美国及其民众在可预见的未来有望继续成为外国实体的网络受害者,且损失将日益严重。”

乔·比林斯利主张对从K-12到大学的教育进行长期投资,并指出了解网络空间当前环境所涉及的复杂性。他称,“不管很多人怎么说,这方面没有速效良策,我们确实没有足够多充分了解网络空间的美国人。”

但是,比林斯利确实看到了一些亮点。他称,“幸运的是,美国正在通过美国网络空间日光室委员会之类的努力朝着更具战略性的可持续发展方向发展,但全美各地都需要更强的紧迫感以加速这一进程。更多的美国父母不应等待纳税人资助的计划来激励有限的卓越人才,而应该独立地优先考虑他们孩子的STEM学习和学位。如果没有这样的基层行动,情况继续恶化也就不足为奇了。”

声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。