本文来自数世咨询,作者/茉泠。
当下最主流的观点认为,网络战指的是在网络领域进行的战争。但这种观点并不完全正确。战争和网络战是两个不同的概念。尽管存在一些共通之处,但将它们视为两个独立的实体能够更好地帮助我们理解其本质与影响。
Merck保险公司的判决案例刚好说明了这一点。从技术上讲,NotPetya从未是一种网络战行为。对该事件的误判以及对网络战和网络安全定义的误解导致保险业损失了14亿美元。本文旨在消除人们对于网络战和网络安全在理解上可能存在的模糊和混淆,以便能够更好地应对相关的风险与挑战。
01
何为战争?
战争通常被定义为两个国家之间在宣布战争状态后所进行的动态军事行动。战争的目的是一方通过各种手段来对另一方施加霸权,而这可以通过非武装冲突的方式实现。例如,经济手段、心理战(包括虚假信息传播),或者通过任何其他非军事手段来实现政权的更迭,同样可以有效地实现这一目标。
General Motors公司的全球网络安全副总裁、CISA网络安全咨询委员会成员Kevin Tierney十分赞同此观点。他在接受SecurityWeek采访时表示,两个国家之间的争斗不一定总是通过军事手段来进行的。相反,这种争斗有时也可能会通过经济方面的干扰来达成目标。
如果能够扰乱敌对国家的大部分运行系统,干扰其金融系统,让一个国家失去对信息的信任,丧失政府数据,停止交通运输,破坏其能源或水供应,那么就可以在不互相残杀的情况下赢得一场战争。
冷战是指未经宣战的战争,主要是通过非军事的手段(在世界各地出现局部爆发),发生在苏联和西方之间。西方通过经济手段而非武力取得了这场战争的胜利。
但无论如何定义战争,物理领域和网络领域之间存在着根本性的区别。物理战争在很大程度上受到交战国家的国界限制。而网络战则不受国界约束,并且具有更大的潜力迅速扩散成为具有全球影响的局势。
出于这个原因,人们通常会将网络战归类为与更广泛的战争概念相分开的事物,这种归类往往是任意的。与非网络战相比,网络战在观念上和定义上都不被视为相同类型的战争。换句话说,网络战被认为是一种特殊形式的冲突,其特征和影响都与传统的军事冲突有所不同。
02
何为网络战?
大多数国家认为,对于其他国家所发动的网络攻击,尤其是针对其关键产业的攻击,正确的回应是军事反击。因此,网络活动具有意外传播并扩大为全球军事冲突的潜力。为了减少这种潜在危险,对于网络战的定义必须是非常严格且高标准的。
对于网络战的定义,大多都源自于《塔林手册》(Tallinn Manual),该手册由国际专家在位于爱沙尼亚塔林的北约合作网络防御卓越中心编制。根据该手册,网络战被界定为那些可能导致人员伤亡或物质破坏的网络活动,或者是那些预期会导致这些不良后果的网络活动。
除此之外的行为通常会被视为网络间谍活动而非网络战。《塔林手册》对于网络战的定义中,明确排除了网络间谍活动。这最终导致了一种普遍的二元视角,即网络战仅基于造成死亡或破坏的行为,特别是发生在关键基础设施上的攻击。
Contrast Security的网络战略高级副总裁Tom Kellermann也持有此观点。他在接受SecurityWeek采访时表示,网络战是指国家发动的针对于关键基础设施的毁灭性网络攻击。而除此之外的任何网络攻击行为,都可以被归类为网络间谍活动。
Mandiant情报分析副总裁John Hultquist,持有同样的观点。他表示,经济压制并不是战争,将冷战称为实际的战争是不恰当的。只有当暴力或暴力威胁发生时,才能称之为战争。这是一个关键要素。只有当人们开始死亡时,才算是真正跨越了那条线。这就意味着,任何不涉及死亡(或至少不涉及预期和意图造成死亡或破坏)的情况,最多只能被归类为网络间谍活动,而不属于网络战的部分。
将网络间谍活动排除在网络战范畴之外的论点很简单。它是在网络领域进行的间谍活动。从个人到公司再到政府,间谍活动一直是日常生活的一部分。如果将间谍活动视为战争行为,那么自历史的开端,世界就一直在与自己进行战争。现代世界唯一的不同之处在于,网络间谍活动比以往任何时候都更加容易、可扩展且更具否认性。
这里的危险在于真正的网络间谍活动和实际网络战之间的区别可能只是来自C2(指挥与控制服务器)服务器的简单指令、攻击者的失误操作,或者其软件中的错误。那么这里就引入了另外两个概念:预期和意图。两者更大程度上都算是主观的解释,很容易被侵略者所否认。
普京曾以典型的方式否认了其政府参与黑客攻击,表示这可能是爱国的俄罗斯公民出于他们的信仰,为了正义的斗争,来反对那些对俄罗斯说坏话的人。简而言之,这并不是俄罗斯国家的行为,它没有造成任何死亡与破坏,因此不能被视为网络战的行为。
可否认性是非常重要的。在西方民主国家,法律和合法性往往是由法庭来确定的。仅仅拥有某些信息还不足以确保合法性,这些信息还必须能够在法庭上按照文法官的更高标准被证明,才算是有效的。
Incrypteon的创始人,Helder Figueira,在成为南非军队的电子战信号官兵之前,在法律领域学习过,并且曾短暂地在法律领域实际从事过工作。他表示,网络战是在数字领域进行的军事行动。但是,主权国家的网络攻击很难被证明或识别。为了进一步增加识别的复杂性,这些活动通常会被外包给独立的承包商来进行。而这也进一步增加了这些活动的发生,因为实际上并不会导致外交后果。
这样以来,未来可能会出现一个更为复杂的问题。即人工智能作为攻击者对一个目标发动‘网络战’时,此时由于攻击者是人工智能,而不是个人或国家,所以可能很难确定应该采取何种法律救济措施。这可能会引发一系列的法律和伦理问题,因为现有的法律框架可能无法适应这种新型攻击方式。
Coalfire公司的FedRAMP咨询服务负责人Stephanie Carter博士评论道,关于这个问题的最后一个官方释义是由参议院武装服务委员会发布的,其中指出‘关于在网络空间内外什么会构成战争行为,将由总统根据具体情况和事实来作出确定。这个决定将在很大程度上受到政治权力和国家防御的影响。这样做的目标是明确网络战的定义,提出清楚明确的界限,而不是模棱两可的解释。
03
NotPetya攻击
美国人认为,NotPetya是俄罗斯在2017年针对乌克兰进行的一次网络战行动。自2014年克里米亚被吞并以来,这两个国家之间一直存在着未宣战的状态。
同样,把任何附带的伤害视为网络战行为的一部分,也是一种很普遍的观点。然而,截至2023年5月1日,美国法院宣布NotPetya攻击不能被归类为网络战行为。裁决中提到:虽然这次攻击造成了财产损害,但并没有证据能够证明NotPetya恶意软件导致了人员伤亡。NotPetya攻击与军事行为或目标的联系不足,因为它仅是一次针对会计软件供应商的非军事性网络攻击。
SentinelOne的SentinelLabs高级总监、约翰霍普金斯大学高级国际研究院战略研究兼职教授Juan Andres Guerrero-Saade解释了将网络攻击描述为网络战行为时的一些复杂性。首先,是否能够在法庭上证明(不仅仅是情报机构所知道)这次攻击是由GRU所实施的?谁下达了什么命令?这在多大程度上是一次预谋行动,而不仅仅是因为不小心的误触而将其从简单的网络攻击变成了潜在的战争行为?
此时,预期和意图这两个概念至关重要。NotPetya武器几乎不能被称为传统的战争武器,它本质上是一种勒索软件。侵略者可以简单地声称这是出现问题的犯罪勒索软件,绝非一种战争行为。在有意对关键基础设施造成损害的背景下,像Industroyer这样的恶意软件就是一个十分典型的案例。Industroyer具有专门的工具,这些工具融入在代码之中,并专门设计用于与基础设施互动,从而对其造成损害。
如果对于“NotPetya是否是对乌克兰的网络战行为”都难以确定,那么要证明其在其他国家(比如美国)造成的附带损害也是由网络战行为所引起的,就更不可能实现了。在没有直接证据的情况下,要证明攻击者的意图为造成附带损害是非常困难的。
问题就在于,网络攻击所涉及的大部分工具都具有双重用途,它们既可以可被用于“友好”的目的,又能够用于完成恶意的目标。在网络领域,许多被视为侦察阶段的行为(因此与造成损害相距甚远),实际上都是由广告追踪网络、Google等日常运行的事情。
但这正是一个解释性网络战定义所面临的根本性问题。一个网络战“擦除者”可以通过带有破解解密功能的勒索软件传送,并且作为战争行为是不可见的。任何损害都可以声称是意外的,符合筹集资金的目的,同时也可以将犯罪行为归咎于某个罪犯。
这些可能性不仅仅存在于理论层面。恶意行动者早就知晓了这一点。在NotPetya之前,他们就已经这么做了。如果想在一个看起来像犯罪的操作后隐藏自己,这是一个很好的工具。
“殖民管道”事件展示了这些模糊的界限。它对关键基础设施造成了损害,但并没有被归类为网络战行为。该事件对美国的关键基础设施造成了巨大的破坏。但其意图却只是为了赚钱,而非破坏基础设施。因此,尽管它在执行方式上类似于在战时状态下可能由国家行动者采取的方式,但其目的也只是为了赚钱而已。
04
所以网络战的定义究竟是什么?
官方对于网络战的定义是十分明确的:网络战必须导致实际的物理损害或人员生命丧失。并且网络间谍行为被排除在网络战的范围之外。在判断一个行动是否构成网络战时,其意图是一个重要的因素,而这主要是由防御方来进行价值判断的。网络战是一个国家对另一个国家实施的行动。然而,仅仅知道某个行动是网络战行为还不足以确保它在西方民主国家的法庭上能够被证明。必须要能够在法庭上提供足够的证据来证明其确实构成了网络战行为,才可以。
这个半正式的定义所带来并不全是负面的问题,因为它在政府的回应方面提供了灵活性。政府无需必须去问一个民事法庭,“这算不算是我们可以回应的战争行为?”从政治的角度来看,政府可以直接说,“情况已经太过严重了,我们要采取行动。”这种灵活性允许政府根据情况来做出回应。
早在2018年,英国就明确表示,如果自己正在遭受实际的网络战攻击,那么就可以合法地立即进行未经通告的实质性军事反击,并且由于这是国际法的一种解释,因此其任何盟友也可以采取类似的立场。出于这个最终原因,网络战的定义被特意设定得很严格。这种严格的定义可以确保对于触发实质性军事反应的行为有明确的标准。
Merck案的裁决清楚地表明,政治/军事上对网络战的定义与普通人对网络战的理解并不一致。对于看似是网络战的情况,正确的回应应该基于一个国家或与国家有关攻击的可见影响,而非是政府对网络战的定义。
05
这是否重要?
一个明确的网络战行为可能很容易引发或升级成为军事实质性的报复。基于我们已经讨论过的原因,最终决定权在于总统。既然如此,我们最终需要问的问题就是,网络战和网络间谍活动之间的这种区别是否对企业的网络防御者具有实际意义。毕竟,这位防御者必须对来自任何人和出于任何目的的所有攻击保持弹性。
就像关于网络战的性质以及它与一般战争的关系存在多种不同观点一样,对于这个问题也有许多不同的答案。
piphany Systems的首席安全与信任官Malcolm Harkins说道:“风险是威胁、脆弱性和后果的函数。我无法控制威胁行为者或威胁代理者,这是一个无法控制的变量。作为首席信息安全官,我唯一能够为我的组织管理安全的就是管理自己易受攻击性的能力。这是我唯一能够控制的事情。其他一切都只是现实。运营安全是对易受攻击性的管理。如果我过于关注作恶者的性质,那么我就在浪费时间,因为我无法影响作恶者的行为。”
对此,Hultquist持有不同的观点。他表示:“这绝对是重要的。如果不关心攻击者是谁,那么就无法进行风险评估。如果两年前在乌克兰,负责保护IT基础设施的人员认为是否有战争迫在眉睫并不重要,那么其结局一定是失败。如果不考虑对手是谁,就无法对自己的系统进行保护。我们有时会忘记去问,攻击者是谁,他们有什么能力?他们什么时候会发动攻击,什么时候不会?我们是否会受到这些人的威胁?想象一下,如果在第二次世界大战前夕,你负责为军队做出所有采购决策。你想知道敌人已经开发了哪些能力,但有人对你说:‘你不需要知道那些,你只需要根据你认为最好的去做决策。’那么你是否会赞同并照做?”
第三种观点,一种更具政治色彩的观点来自于Guerrero-Saade。他表示:“对于那些作为守法国家的公民以及试图弄清楚防御正确措施的人们来说,这应该是一个非常现实且微妙的问题。如果总统最终对超出CISO保卫网络之外的正确措施负有责任,那么我们需要理解那些以我们的名义而做出的决策背后所涉及的论据。这是为了确保我们能够了解和认识到涉及国家安全和防御决策的基础和理由。”
数世咨询点评
关于网络战,准确的定义有助于明确行为的性质。这直接关系到国家安全、企业防御、风险评估以及决策制定,能够为各方提供指导,并推动更有效的网络安全策略和国际合作。
深入探讨网络战和网络间谍活动的本质区别揭示了其在目的、影响、预期意图以及可否认性等方面的不同特征。这一理解为政府、企业和国际社会提供了重要的指导,使其能够在制定战略和防御策略时更加明晰。
此外,清晰区分二者也有助于企业建立更强大的网络防御,避免因误判引发的紧张局势。