深入了解俄罗斯的进攻性网络能力,它们在乌克兰的潜在用途,网络力量的局限性,以及对西方的影响

2022-03-03 22:17:54

事实证明,下一场战争毕竟不是在网络空间进行的。或者至少它还没有开始。

自从约翰·阿奎拉(John Arquilla)和大卫·隆菲尔德(David Ronfeldt)1993年在兰德公司(Rand Corporation)的一篇论文中警告“网络战争即将到来”以来,在过去20年里,人们一直在预测数字领域在冲突中的重要性。就在2021年11月,英国首相Boris Johnson在与监督国防的下议院委员会主席Tobias Ellwood的一次激烈的交流中发表了评论。“在欧洲大陆上打大型坦克战的旧观念已经结束……我们还应该投资其他一些大的东西……比如网络——这就是未来的战争。”

埃尔伍德强烈批评英国政府决定裁减军队人员,转而投资于网络能力,他回答说:“你不能在网络领域站稳脚跟。”在军事策略上,俄罗斯总统弗拉基米尔·普京似乎同意他的观点。尽管俄罗斯是世界上最具攻击性的网络大国之一,但迄今为止,俄罗斯入侵乌克兰的暴行完全是常规行为,基辅、哈利科夫和其他城市的恐怖照片每小时都会显示这一点。乌克兰的英勇抵抗同样集中在对战争的传统理解上。

就连我们这些人长期以来也对将网络行动和网络风险错误地描述为灾难性毁灭性武器,而不是一种仍然严重但却截然不同的长期破坏和不稳定威胁持怀疑态度,在入侵的早期,几乎没有网络行动,这让他们感到惊讶。克里姆林宫在入侵前和入侵前后对乌克兰发动的几次严重网络攻击,代表了克里姆林宫在过去十年中对乌克兰进行的长期网络骚扰,而不是其严重升级。例如,似乎没有做出多少努力来打击乌克兰互联网基础设施的核心。相反,导弹下雨了,士兵和坦克滚滚而来。类似地,亲乌克兰行为者诽谤和关闭俄罗斯网站的行为可能会让克里姆林宫难堪,但也不应该被滥用“网络战”这个词(到目前为止,关于俄罗斯士兵个人数据大规模泄露的未经证实的报道如果属实,影响将大得多)。

迄今为止,俄罗斯在冲突中未充分利用其先进网络能力的原因尚不清楚。在《岩石上的战争》的一篇文章中,Lennart Maschmeyer和Nadiya Kostyuk提出了一个非常有趣的例子,尽管俄罗斯自2014年以来针对乌克兰的网络战役非常复杂和激烈,在这一时期,乌克兰已经成为“俄罗斯的网络游乐场”,能源中断,政府和银行支付的中断,以及对乌克兰企业和公民社会的骚扰,都是一次失败。他们认为,俄罗斯的黑客攻击没有对乌克兰领导人的决策产生实质性影响,似乎也没有削弱乌克兰人对乌克兰领导人的信心。或者,克里姆林宫的计算可能更基本。正如BBC安全记者戈登·科雷拉在入侵当天所说,“对于所有关于‘网络战争’的讨论,今天表明,当冲突升级到这一点时,它是次要的。如果你想摧毁基础设施,那么导弹比使用计算机代码更直接。网络现在的主要作用可能是散布对事件的困惑。”俄罗斯之所以选择不接触互联网,可能是因为它需要互联网来进行自己的通信。也可能是俄罗斯的国家黑客和他们的常规部队一样缺乏准备。

随着普京政权继续引发更多流血事件,西方决策者将有更多的紧急事务需要处理,而不是反思冲突迄今为止对网络权力的看法。但是,那些在国家安全社区内负责将网络视为国家安全风险和国家安全能力的人仍然需要找到评估三件事的能力:

如何分析网络在这场冲突潜在升级中的作用,包括西方网络能力的潜在使用。

尽管迄今为止,网络行动在冲突中的作用出人意料地小,但与入侵前相比,西方仍然面临着更高的严重破坏风险,这与通过网络领域的灾难性攻击不同。指出对网络能力的错误陈述、它们的局限性,以及迄今为止在冲突中没有使用它们,是在招致自满的指控。不应该;对实际风险的细微理解有助于更好地应对风险。

美国网络安全和基础设施安全局(CISA)局长詹·伊斯特利(Jen Easterly)的口号很吸引人,西方政府主张采取高度警惕或“屏蔽”的姿态,这有两个原因是正确的。首先是网络作战中的意外“交叉火力”破坏。俄罗斯仍然很有可能决定在比目前更大程度上调动其针对乌克兰的网络能力,特别是如果网络被视为在挫败和扰乱乌克兰民众以及乌克兰社会运作能力方面发挥潜在作用的话。网络世界的性质意味着这些攻击可能不会在乌克兰的系统内被烧灼。

2017年6月,俄罗斯军事情报局(GRU)对一系列乌克兰目标发起了一次定期网络行动,打击所谓的诺佩提亚袭击。这次袭击失败,并在全球蔓延,摧毁了多家西方公司的运作能力,造成约100亿美元的商业损失。航运巨头马士基受到严重干扰。制药公司默克公司(Merck)在2022年1月刚刚赢得了官司,并获得了超过14亿美元的保险赔付,以弥补其诺彼亚的损失。从全球律师事务所DLA Piper到吉百利位于澳大利亚南海岸霍巴特的巧克力生产设施,许多企业都受到了严重干扰。与一个月前朝鲜在全球造成毁灭性后果的WannaCry黑客事件一样,诺佩蒂亚案的讽刺之处在于,如果黑客们做得更好,全球影响就会小得多。如果俄罗斯对乌克兰的网络攻击加剧,尤其是在战争持续的情况下,这种反复误判的风险就会增加。

第二个风险是利用俄罗斯网络罪犯作为俄罗斯政府的代理人。第2021年对西方网络安全来说是可怕的,与乌克兰没有任何关系。这确实与俄罗斯有很大关系,但有一种特殊的方式。俄罗斯是世界上最大的网络罪犯集中地。Chainanalysis计算出,去年勒索软件收入呈指数级增长,其中近四分之三流向了俄罗斯的网络犯罪集团。更重要的是,以俄罗斯为基地的勒索软件攻击的经济和社会影响超出了以往的经验,暴露了整个西方国家脆弱性的软肋。在美国,一次针对殖民地管道的普通企业网络的犯罪行动导致该公司停止向美国东部输送燃料,导致加油站严重短缺。这起犯罪攻击的复杂程度远远低于俄罗斯政府的能力,说明即使是半熟练的黑客也可能造成破坏和破坏。更糟糕的是,被称为Conti勒索软件集团的袭击关闭了爱尔兰的行政机构,该机构负责管理国家医疗体系,对癌症、产前和其他关键健康治疗造成了巨大的破坏性后果。

康蒂集团发表声明,威胁要对支持乌克兰并承诺效忠俄罗斯母亲的国家进行报复(顺便说一句,该组织内部安全遭到严重破坏,似乎是与他们合作的亲乌克兰国家造成的)。他们的声明是对俄罗斯国家与有组织网络犯罪之间奇怪但基本上是共生关系的一次不同寻常的明显窥视。去年,拜登总统在日内瓦向普京总统口头抗议俄罗斯为此类活动提供的“安全港”。从那以后,俄罗斯的网络犯罪分子遭到了一些相当戏剧化的逮捕。但用CISA前主管克里斯托弗·克雷布斯(Christopher Krebs)的话说,这种“强盗外交”是双向的。陷入困境的普京可能不仅会放松对罪犯的惩罚,还会鼓励他们对西方造成更大的破坏。因此,出于上述两个原因,CISA和英国国家网络安全中心等组织(我曾领导)没有警告任何特定威胁,而是更普遍的更高风险。

这两种风险都是偶然的,而且使用代理已经存在多年了,所以目前的威胁水平升高只是:我们已经面临的可能加剧。但战争的情况会导致俄罗斯和西方国家之间敌对网络交流的严重和前所未有的升级吗?这将超越此前针对俄罗斯北约国家采取的任何行动(不包括2007年在世界真正开始讨论如何应对网络升级之前针对爱沙尼亚的高强度、中等复杂度行动)。西方是否会对俄罗斯进行网络行动,而不仅仅是那种已经预料到并公开表达的间谍活动和影响行动?

很多专家似乎都这么认为。鉴于普京政权的不可预测性,风险不容忽视。CrowdStrike联合创始人德米特里·阿尔佩罗维奇(Dmitri Alperovitch)非常准确地预测了冲突将如何开始,他担心俄罗斯军队早期表现不佳以及西方制裁的力度可能会导致克里姆林宫陷入困境,在这条道路上损失更少。也许更有趣的是,华盛顿和伦敦充斥着这样的猜测:攻击性网络攻击构成了对普京的计划反击的一部分。阿尔佩罗维奇当时担心的是“美国和俄罗斯之间可怕的升级……针锋相对,看看谁能摧毁彼此的关键基础设施”,从而“对我们的安全造成潜在的毁灭性影响”

预测冲突的这一方面结果是极其困难的。但为它做准备首先要解决什么是网络能力、它们如何工作以及它们有什么影响。而且,并不是每个美国决策者都像阿尔佩罗维奇那样对复杂性有专业的理解。入侵开始的第二天,NBC新闻报道称,拜登总统收到了一系列针对莫斯科的网络回应选项。一位匿名的美国政府消息人士推测,篡改铁路道岔可能是该计划的一部分,他沉思道,“你可以做任何事情,从让火车减速到让它们掉下轨道。”

这一句话概括了人们对网络能力的许多误解,这或许可以解释为什么白宫以异常严厉的措辞驳斥NBC的整个故事。网络操作有一个层次结构,从极其基本的到最复杂的。关联性增加了难度。任何人都可以尝试关闭俄罗斯政府网站。让一家中等规模的公司,或者甚至是一家大公司离线,都是低复杂度罪犯的能力范围。通过破坏信号来降低列车速度通常要困难得多。这种能力属于少数几个民族国家。强迫火车驶离轨道会让你进入好莱坞网络幻想的领域:网络操作是计算机代码,任何名副其实的铁路系统都没有一台可以重新编程以将火车驶离轨道的计算机。人们生活所依赖的系统,如空中交通管制,必须始终有一个后备机制。因此,空中交通管制将知道如何在网络完全崩溃的情况下安全降落飞机,无论是通过意外还是恶意手段。

早在2013年,现就读于约翰·霍普金斯大学的托马斯·里德就在他的杰作《网络战争不会发生》中捕捉到了所有这些细微差别尤其重要的是,他洞察到网络能力不像导弹。它们不会直接破坏任何东西。因此,网络攻击几乎不会造成任何人死亡或身体伤害。它们有一个影响:它通常通过间谍活动收集信息,通过颠覆影响结果,或通过破坏破坏破坏。但即使是网络破坏也是间接的结果。在战区,网络行动可能会对战场产生影响,不是通过发射任何武器,而是通过扰乱军事后勤和能力(这通常很难做到)。在战争或和平时期,破坏铁路信号意味着火车应该停下来,造成大量不便并造成经济损失。它不应该导致列车向前行驶,相互碰撞,造成大规模死亡。类似地,到目前为止,许多针对医疗保健的网络攻击大多是对医疗保健管理的破坏,这有着严重的间接后果,但与轰炸医院有着根本的不同。

关于网络作为战争武器的局限性,人们并不总是充分理解这一教训。今年2月,英国首相鲍里斯·约翰逊在英国《每日电讯报》的一篇专栏文章中写道:,称网络“实际上是北约的第二次打击能力”,并声称西方的“网络师在乌克兰危机的特殊情况下比航空母舰战斗群或核武器更有价值”,相当于替代核威慑力量。

现实是,正如目前所理解的那样,网络能力可以做任何事情,从低级骚扰到严重破坏日常经济和社会活动。但他们不能像导弹、战斗机和士兵那样。那么,在评估(a)俄罗斯政府对西方进行蓄意网络攻击的风险,以及(b)西方进攻性网络能力在打击俄罗斯侵略的行动中可能扮演的角色时,西方决策者应该考虑什么?

缓解正如网络能力没有导弹或地面部队的影响一样,它们也不能像导弹或地面部队那样被指挥。虽然基本的黑客攻击很容易,但在高端,政府的目标是产生战略影响,它们可能是复杂的操作,包括进入网络、保持不被发现、找到网络的正确部分,以及配置操作以获得预期结果。对于基本效果,这很容易;对于针对关键基础设施的有针对性的攻击,难度更大。这需要时间(有时需要很多时间)、技能和运气。领导人不能仅仅命令对防空、空中交通管制或医疗保健系统进行“网络攻击”,并期待第二天的行动报告取得成功。任何网络操作的可行性都是需要克服的第一个障碍。

有效性一些难度更大的网络行动可能会在战时产生明显而有用的影响,比如扰乱军事后勤或破坏防空。在战争之外,极端复杂的行动,比如2011年通过Stuxnet蠕虫针对伊朗核计划采取的行动,可以为执行者带来现实世界的战略利益。但这些通常很难做到。Stuxnet花了数年时间。可以对私有的民用关键基础设施采取更简单的行动。与制裁一样,制裁的目的不是伤害,而是影响。那么,什么会影响普京,或足够有影响力的俄罗斯人,或整个俄罗斯民众,从而改变路线呢?像某些地方的黑客行动主义者所做的那样,关闭克里姆林宫的网站会导致尴尬。打断俄罗斯媒体也是如此。但这足以产生决定性的影响吗?这是非常值得怀疑的。

升级那么,什么会产生这样的影响呢?这就是升级的风险所在。毫无疑问,俄罗斯和一些西方大国都拥有大规模破坏关键基础设施的能力。(俄罗斯在2015年和2016年两次基辅电力中断的情况下证明了这一点。)这里需要理解的是,任何此类活动都会升级。如果英国或美国的电网遭受了前所未有的复杂攻击,那么谁实施了这一攻击就显而易见了。把网络描绘成一个可能有决定性但秘密干预的领域,是对该领域最危险的错误描述之一。因此,进攻性网络攻击需要与任何其他形式的升级或降级一样,冷静地评估对手的反应。这只是国家能力的另一种形式。

道德准则这不太可能出现在普京的决策树上,但它将而且应该出现在西方的决策树上。医疗保健就是一个明显的例子。如果普京被发现已经下令或促成了一个西方国家在2021爱尔兰康健集团所看到的那种攻击的重复,那将被视为高度可升级的行为,完全超出可接受的行为范围。以及针对乌克兰战争中非战斗人员国家的公开敌对行为。那么这对西方的能力意味着什么呢?西方会对俄罗斯的医疗保健采取同样的做法吗?去年6月,拜登在日内瓦向普京提交了一份名单,其中列出了他表示不应成为恶意网络活动对象的大约16个部门。这预示着一个更长期的美国议程,以及更广泛的西方议程,试图让人们对网络活动的红线在哪里有某种普遍接受的理解。世界距离同意这些原则还有很长的路要走。但即使在这场可怕的冲突中,华盛顿也可能会担心被视为破坏了这些原则,让非战斗的俄罗斯平民面临医疗服务中断的风险。

因此,对于西方来说,网络空间升级的可能性存在着现实的、战略的,以及道德上的限制。这并不是说它不会发生。绝望的普京可以发射他所掌握的任何能力,即使网络能力的潜力受到所有这些限制,反复的敌对攻击也可能在西方造成重大破坏(尽管很可能不是死亡和破坏)。在任何情况下,通过溢出效应和使用代理来证明当前的高警戒状态是合理的,已经有足够多的非升级威胁存在。

在这一早期阶段,迄今为止的冲突告诉我们,在这场冲突中,网络能力在两个方向上都存在局限性。这场战争的早期阶段为西方决策者及其社会提供了两个重要的网络现实主义教训。

首先是关于网络能力局限性的现实主义。出于已经解释过的原因,网络能力给双方都提供了一个巨大的红色按钮来决定性地改变事件的进程。迄今为止,这场战争强调了网络作为战争工具的局限性,而不是它在战争中的中心地位。更现实的思考和公众对网络作为一种工具的作用的讨论

......