缺少乏國家級防御者的網絡防御總是會失敗-理論停滯是阻礙美國網絡不安全的根本原因
關于國家網絡力量的辯論必須重新關注一個非技術問題:如何刺激和引導國防任務、戰略、理論、部隊和組織的有效變革。
1991年美國國家研究委員會的非機密報告“處于風險中的計算機:信息時代的安全計算”清楚地說明了這個問題。(編者注:這本書概述了計算機安全研究中的問題和機會,推薦了改進研究基礎設施的方法,并為研究人員提出了主題建議。為制定國家的計算機安全政策和實踐提供了一個全面的議程。為從事計算機安全活動的行業和政府機構提供了具體建議。該書還探討了計算機安全領域的多樣性,基于專家認為計算機攻擊者下一步可能會做什么的推測來設計對策的必要性,為什么技術社區未能響應增強安全系統的需求,如何鼓勵創新者帶來市場的更多選擇,并平衡安全與隱私權的重要性。
我們處于危險之中。美國越來越依賴計算機。他們控制電力輸送、通信、航空和金融服務。它們用于存儲重要信息,從醫療記錄到商業計劃再到犯罪記錄。盡管我們信任它們,但它們很容易受到設計不良和質量控制不足的影響、意外事故的影響,也許最令人擔憂的是,還會受到蓄意攻擊的影響。
三十年后,這個唯一的超級大國已經習慣于接受蓄意的網絡攻擊。勒索軟件襲擊了從巴爾的摩到亞特蘭大的主要城市、地方政府、醫院和學校,這一情形尤其嚴重。就連三流大國也直接攻擊美國本土。
2014年圣誕節,總部位于加州的娛樂公司索尼影視娛樂 (SPE) 計劃在2014年上映電影《采訪》。動作喜劇情節圍繞中央情報局(CIA)招募幾個無能的美國藝人在平壤暗殺最高領導人金正恩。朝鮮民主主義人民共和國(朝鮮)認為斬首陰謀是不可容忍的、恐怖主義和戰爭行為,并且可以預見地威脅要進行無情的報復。但這一次,落后和孤立的國家找到了向實施美國力量投射的方法。
網絡攻擊者隨后竊取了數TB的數據,擦除了美國、英國和其他地方的數千臺 SPE計算機并使其無法操作。SPE沒有遵從黑客的要求,繼續按計劃發布《The Interview》。然后,網絡攻擊者發布了SPE的內部電子郵件、工資單和商業計劃以及四部未上映的電影。可以預見的是,西方媒體對SPE電子郵件中的八卦大肆宣揚。肇事者威脅要公布機密數據并揚言威脅3,800名美國SPE員工。由于SPE尚未決定這部電影的命運,12月16日,朝鮮網絡攻擊者威脅說對放映該電影的美國電影院的襲擊;AMC影院和大多數主要電影院所有者立即拒絕放映這部電影。索尼決定不上映這部電影,實際上是向朝鮮妥協了。盡管美國總統奧巴馬進行了干預,但逆行的朝鮮公開威懾了美國。
與朝鮮一樣,伊朗公然敵視美國,但缺乏向美國投射經濟或軍事力量的能力。與朝鮮一樣,伊朗展示了對網絡力量的有效利用。例如,美國司法部(DoJ)于2018 年3月23日公開的一份起訴書描述了幾名伊朗人如何組織德黑蘭的馬布納研究所針對320所大學的100,000多名教授,其中包括美國的144名教授和20所大學的176 名教授。另一個國家。這個小團隊使用已知的策略、技術和程序 (TTP),例如魚叉式網絡釣魚和密碼噴灑,實現了全球影響力,沒有進行任何有意義的研發。隨后,伊朗人利用被盜的數千份憑證(包括美國大學的3,768個賬戶)獲得了價值30億美元的西方知識產權。肇事者代表伊斯蘭革命衛隊(IRGC)協助伊朗的國家行動,并通過出售被盜數據和憑證獲利。此外,伊朗和朝鮮利用勒索軟件攻擊了美國本土。
這些攻擊和最近的勒索軟件熱潮有什么共同點?考慮對美國心臟地帶進行破壞性攻擊的外國對手,他們在陸地、海上和空中是否在與國家級防御者對抗。外國對手對非軍事本土目標發起直接網絡攻擊將不會遇到任何問題。
為什么這種缺乏國家級防御成為常態?能力不足不是原因。畢竟,美國擁有首屈一指的情報和軍事力量、全球作戰經驗、充足的意識和龐大的預算。此外,美國人憑借優秀的創新體系和完善的工業基礎擁有網絡空間。當前的邏輯(正確)斷言,軍事方法不適合保護平民目標免受網絡威脅。但是,國防和軍事機構可能會濫用它來逃避變革的負擔。國會研究局最近的一份報告《國防入門:網絡空間作戰》” 簡潔地描述了聯邦網絡安全組織。主要防御者國防部 (DoD) 只會在網絡緊急情況下協助國家。簡單來說,只有在事情變得非常艱難之后,戰士才會接管并帶領美國取得勝利。國防部不應為電影制片廠或醫院單調的日常安保所困擾。邏輯的錯誤在于,即使國防部成功了,也為時已晚。
普遍的不安全是和平時期戰略防御適應不良的結果。因此,關于國家網絡力量的辯論必須重新關注一個非技術問題:如何刺激和引導國防任務、戰略、理論、部隊和組織的有效變革。這一挑戰并不新鮮。
與俏皮話相反,嚴肅的研究確定國家和軍隊確實為未來的戰爭做準備。適應不良很少表現為否認現實正在改變。軍隊是大型官僚機構,正如哈佛大學教授斯蒂芬·彼得·羅森所寫的那樣,“我們在理論上所知道的關于大型官僚機構的幾乎所有信息都表明,它們不僅難以改變,而且它們的設計初衷是不會改變的。” 和平時期的戰略防御適應通常會失敗,因為防御組織不愿意、沒有被迫或無法真正改變他們的方式。
六年來,社會科學家建立了軍事適應獎學金。雖然這一問題超出了本文的范圍,但我只提供了一個研究樣本,這些樣本處理了現在損害網絡安全的持久性問題。
Azar Gat研究了空中和陸地機械化戰爭的理論,證明技術本身并不能推動創新或其進程。Frederic A. Bergerson開創性的政治學研究解釋了美國陸軍航空兵從1942年到1970年的復興:很少有激進的改革者反對政策,但努力從軍事組織內部改變政策,從而產生了至關重要的國防應變。最后,羅森指出,軍事創新源于年輕軍官的新晉升途徑。
理論停滯是阻礙美國網絡不安全的根本原因。?沒有一個國防部門接受一項新穎而具有挑戰性的任務:保衛國家免受外國網絡攻擊。此外,激進的網絡防御創新不會自行出現。相反,學者和政策制定者必須利用國防創新獎學金來推動足夠的安全。
