信息時代“突發性網絡攻擊”的安全挑戰與應對
摘 要:
網絡安全是信息時代國家安全的重要領域。突發性網絡攻擊是當下網絡空間的重要威脅,闡釋突發性網絡攻擊的概念與特征,分析其對國家安全的挑戰與應對策略,有利于構筑網絡安全屏障,提升國家安全水平。根據現有文獻,闡釋突發性網絡攻擊的內涵與特征,分析其構成要素及其對國家安全的挑戰。立足于情報工作,闡釋應對突發性網絡攻擊的策略。突發性網絡攻擊具有特定的構成要素。綜合實力強的國家是突發性網絡攻擊的主要受害者,霸權國家也可能通過突發性網絡攻擊推行網絡空間的霸權主義。突發性網絡攻擊的源頭難以偵測,為情報工作帶來了諸多困境。因此,可以借鑒協同型網絡威脅情報的工作方法,從源頭偵測、情報共享平臺、協同分析方法、易感性評估等方面推進情報工作轉型,以擴大情報源、整合情報力量、提升情報能力、筑牢安全技術屏障。
前 言
網絡是信息流通的中樞,也是現代社會主要產業運作的平臺。然而,由于網絡空間的跨界性、戰略性、隱蔽性與不確定性等特征,互聯網與人類社會的深度交融在加速全球化的同時,也帶來了風險的無界傳播并導致外溢效應。頻繁的網絡攻擊與網絡犯罪以及肆虐的黑客進犯對世界各國關鍵基礎設施的運轉造成了嚴重的消極影響。鑒于此,有學者將這種境況稱作“網絡的不安全時代”(age of cyber insecurity)。網絡安全成為國家安全的重要領域,正如習近平總書記指出:“在信息時代,網絡安全對國家安全牽一發而動全身,同許多其他方面的安全都有著密切關系。”
在網絡安全領域,“突發性網絡攻擊”是信息時代網絡戰爭(cyber warfare)的一種新形式。突發性網絡攻擊的防范與應對已經成為世界范圍內網絡安全乃至國家安全的重要課題。美國中央情報局第22任局長、國防部第23任部長萊昂·帕內塔多次強調突發性網絡攻擊對美國國家安全的挑戰,并敦促軍方出臺相應的安全措施維護網絡安全。當下,我國也逐漸重視突發性網絡攻擊,但相關研究仍處于起步階段。在復雜的安全形勢下,“網絡安全的威脅來源和攻擊手段不斷變化”,我們需要未雨綢繆,強化防范意識、提升技術手段,構筑系統化、強效能、高科技的網絡安全保障體系,提升整體國家安全水平。有鑒于此,筆者從突發性網絡攻擊的概念與要素入手,梳理與闡釋突發性網絡攻擊對網絡安全的挑戰,并結合情報領域的專業知識分析應對突發性網絡攻擊的策略,以期從理論上豐富網絡安全研究的視角,為現實層面構筑網絡安全屏障、提升網絡安全治理乃至國家安全治理效能提供借鑒思路。
1 突發性網絡攻擊的概念與要素
網絡空間(cyberspace)已經成為大國戰略博弈的新領域,也是繼陸、海、空、天之后的“第五大作戰領域”。2007年4月,愛沙尼亞遭受到了前所未有的網絡攻擊,這場攻擊規模之大、損失之嚴重遠遠超出了黑客攻擊的范圍,使其成為具有時代意義的網絡安全事件。在愛沙尼亞的慘痛教訓下,各國開始未雨綢繆,將國家安全延伸到網絡空間。這表示,網絡空間已然成為一個充滿對抗的環境(contested environment),網絡戰爭一觸即發。突發性網絡攻擊正是在這一大背景下走進理論界與實務界的視野。
1.1 突發性網絡攻擊的概念
突發性網絡攻擊并不是一個全新的概念。在安全情報領域,突發性網絡攻擊被美國情報界稱為“網絡珍珠港”(cyber pearl harbor)。將“珍珠港”與“網絡”這兩個詞語相結合,旨在描述網絡空間中類似于珍珠港事件的突然攻擊。美國情報與安全界在20世紀90年代初期曾指出,所有人都容易受到個人、組織和政府的電子窺探(electronic snooping)與蓄意破壞,并且這種破壞往往被公眾所低估。因此,突發性網絡攻擊受到了美國中央情報局、美國國防部的強烈關注,并將突發性網絡攻擊視為國家安全的重要威脅。總的來看,作為網絡戰爭的一種形式,突發性網絡攻擊具備如下特征:
a.以國家管理和運行中樞為打擊對象。更為精確地說,“國家的基礎設施(national infrastructure)”是突發性網絡攻擊的核心目標。只要對國家整體運轉造成傷害的網絡突然襲擊,都是突發性網絡攻擊的囊括范圍。
b.襲擊的突然性。既然強調攻擊的突發性,就意味著這種網絡攻擊是“晴天霹靂”(bolt-out-of-the-blue),即決策者和情報官員將無法預測網絡攻擊的范圍、性質或目標。
c.攻防力量的非對稱性。“進攻占優”是網絡戰爭攻防力量的基本特征,這表明,網絡戰爭的發起方占據著相當程度的技術優勢。不過,進攻占優僅僅是將一般攻防理論運用到網絡空間的研究發現。突發性網絡攻擊的另一特點是,實力弱小的國家也可能同樣傾向對發達國家發動突發性的網絡戰爭,因為發達國家更依賴于互聯網,小國的網絡戰爭能夠以低成本代價對發達國家造成更大的損失。
d.損失或后果的嚴重性。普通個人或者組織受到黑客攻擊的影響不能和網絡戰爭的后果相提并論。網絡攻擊所威脅的是“關鍵性信息基礎設施”(critical information infrastructure)的安全。正如特朗普政府于2017年發布的《國家安全戰略》強調,網絡攻擊不僅能構成基礎設施癱瘓,甚至會造成經濟損失以及生命損失等一系列次生災害。
從現實來看,到目前為止,世界上還并未出現破壞程度極強的突發性網絡攻擊。但是為了強調突發性網絡攻擊潛在的可能性,以及提升政府對網絡安全與國家安全的重視,一些安全專家與情報專家建議將小型攻擊(small attack)納入到突發性網絡攻擊的分析與防范范圍內,以增強日常的網絡安全意識。
1.2 突發性網絡攻擊的要素
對突發性網絡攻擊的描述與分析要建立在一種框架意識之上。換言之,突發性網絡攻擊是一個由不同要素構成的整體,分為主體、目標、活動與影響四個部分。
1.2.1 突發性網絡攻擊的主體
突發性網絡攻擊的主體包含了國家與非國家行為體。20世紀90年代到21世紀初,發達國家尤其是美國安全界與情報界對突發性網絡攻擊的研究主要集中于非國家行為體(non-state actor),例如次國家組織(sub-national groups)以及恐怖組織(terrorist groups)。以非國家行為體為進攻主體的突發性網絡攻擊是網絡恐怖主義(cyber terrorism)的體現。近年來,美國安全界與情報界開始強調國家行為體(state actors),萊昂·帕內塔在一次演講中指出,“我們在網絡空間面臨的更大危險不僅僅是犯罪和騷擾。民族國家或暴力極端組織發動的網絡攻擊可能與“9·11”恐怖襲擊一樣具有破壞性”,約翰·哈姆雷也同樣警告,敵對國家的情報機構和軍事組織也會通過網絡戰爭的形式實施攻擊。
1.2.2 突發性網絡攻擊的目標
突發性網絡攻擊的目標可以分為顯性與隱性兩個方面。其中,顯性目標是對信息基礎設施的破壞,隱性目標則是網絡威懾以及對目標國造成心理層面的創傷,即通過大規模的網絡攻擊形成威懾,使被攻擊者生活于對互聯網的恐懼之中。網絡威懾不僅可以遏制對手的發展,同時也是威懾者防衛自身的有效手段。質言之,突發性網絡攻擊的目標就是實現“戰略的最高境界”,即癱瘓對手,而不是殺戳對方”。
1.2.3 突發性網絡攻擊的活動
“活動”就是網絡攻擊所采用的具體手段。就目前而言,比較常見的網絡攻擊手段包括分布式拒絕服務(distributed denial-of-service, DDoS)、惡意軟件、網絡釣魚,以及導致數據失竊的社會工程(social engineering)等等。鑒于突發性網絡攻擊的特性,突發性網絡攻擊的活動要產生出其不意或者大規模的結果,例如物理破壞(通過網絡攻擊使某些基礎設施停止運轉或者錯誤運轉)和生命損失。這些破壞將使國家陷入癱瘓和震驚,并產生一種新的、深刻的脆弱性。
1.2.4 突發性網絡攻擊的影響
“影響”指的是網絡攻擊的實際結果。對于攻擊者而言,實際結果滿足其攻擊的預期目標自然是一種理想的情境。但是對于能力非對稱的雙方而言,影響要以不會引起被攻擊者的強烈報復為底線。例如,A國對B國實施網絡攻擊,既要對B國造成一定的損失,也要控制在B國容忍范圍之內。日本偷襲珍珠港的史實表明,雖然日本打擊了美國的士氣,但卻引起了美國的報復,與日本最初的作戰目標完全相反。相較之下,對于被攻擊者來說,突發性網絡攻擊可能難以避免,但在造成損失的同時希望喚醒組織和公眾的網絡安全意識,將損失化為推進網絡安全治理的動力。
為了更好地呈現突發性網絡攻擊各要素的主要內容,表1提供了各要素的簡明描述。
表1 突發性網絡攻擊的各要素解釋
2突發性網絡攻擊的安全挑戰分析
“網絡戰爭對21世紀的意義可能就如同閃電戰對20世紀的意義一樣”,突發性網絡攻擊作為網絡戰爭的新興形式,對于世界來說仍是國家安全領域的新問題,對網絡安全治理帶來了不可忽視的嚴峻挑戰。
第一,結合當下的戰略背景,突發性網絡攻擊的受害者往往是世界上具有影響力的大國。網絡攻擊是一種成本較低的戰爭替代辦法,因此大國將在防范突發性網絡攻擊與實現有效網絡安全治理方面投入更多的資源和精力。根據目前的世界格局,國與國之間的軍事實力是完全不對稱的,尤其是有核國家和無核國家之間的能力差距。網絡攻擊便成為在實力上處于劣勢的國家在政治和戰略上取得成功的可行之路。情報專家指出,網絡攻擊可以避開軍事能力之間的不對等,并且可以為對方造成損失,甚至能夠改變現實的戰略環境。像美國這種以信息和通信技術作為軍事行動基礎的大國,對突發性網絡攻擊具有更強的易感性,一旦信息系統中的一個鏈條被打破,將迅速造成跨行業、跨領域的震蕩,造成不可估量的損失。對于弱國而言,對大國的網絡攻擊更能夠實現可欲的影響。大國的決策者面對突如其來的網絡攻擊,只能亡羊補牢,扭轉損失,而不能夠發動一場代價更高的戰爭來報復。正是鑒于這樣一種權衡,美國的安全戰略才不斷地強調對突發性網絡攻擊的預防。當然,美國對突發性網絡攻擊的強調也出于對多方網絡沖突的擔憂,因為美國也是多起網絡戰爭的始作俑者。根據學者的統計,美國主要媒體對突發性網絡攻擊(尤其是“網絡珍珠港”)的報道于2011-2013年之間呈飆升的趨勢,而這正是因為伊朗對美國和其波斯灣盟國進行了一系列的網絡攻擊,以作為美國和以色列對伊朗核設施實施的震網(Stuxnet)攻擊的報復。與此同時,我國也是頻繁遭受互聯網攻擊的國家之一,根據國家互聯網應急中心統計,2019年境外組織對我國300余個政府網站發起了1 000余次DDoS攻擊,攻擊領域逐漸由黨政機關、科研院所向各重要行業領域滲透。
第二,互聯網強國也會通過網絡戰爭的方式實現一種新形式的對抗,尤其在霸權主義的滋養下,突發性網絡攻擊成為干涉別國主權、破壞別國經濟社會建設與國家安全的重要工具。上文提到的震網攻擊不僅對伊朗造成了嚴重的影響,同時也波及到了全世界。這正是美國推行霸權主義的體現。繼2010年遭受震網病毒攻擊之后,伊朗在2018年又一次受到了震網病毒的攻擊,并且攻擊的嚴重程度遠遠超過2010年。對于2018年的震網攻擊,美國表示并非美方網絡力量所為,以色列則繼續遵循“既不承認也不否認”的模棱兩可策略。在互聯網虛擬性的特征之下,主權國家可能偽裝成非國家行為體或者雇傭黑客組織蓄意破壞網絡空間,從而使受害者難以對發動突發性網絡攻擊的主權國家進行追責。例如,Google信息安全高管希瑟·阿德金斯就提到,政府雇傭黑客組織實施網絡攻擊已經司空見慣。在霸權主義的欺凌下,欠發達國家和發展中國家一旦成為網絡攻擊的目標,這些國家將面對著難以承受的損失。因為這些國家的網絡安全指數往往偏低,網絡風險預防的建設落后和對網絡安全危機的認知不足,所以體系具有較強的脆弱性。
第三,鑒于網絡威脅的源頭難以識別,使得被攻擊者對突發性網絡攻擊的源頭偵測與原因分析也困難重重。一方面,情報的不完備使得國家難以精準地預知潛在的網絡攻擊,為突發性網絡攻擊的“晴天霹靂”留下了情報缺口;另一方面,如果網絡安全風險的應急準備不足,不僅會造成信息基礎設施的迅速癱瘓,甚至會使被攻擊方陷入茫然的境地,難以迅速采取有效的應對措施。各種網絡威脅背后的動機極其復雜,可能出于政治目的,例如軍事報復、政治對抗或貿易壁壘;抑或夾帶文化意圖,例如歷史記憶、身份差異以及宗教沖突等。網絡安全風險不僅關涉“個人的安全”“人類的安全”等非傳統安全議題,還牽連到軍事安全、國家主權等一系列等攸關國家生存與發展的傳統安全議題。因此,判斷突發性網絡攻擊背后的直接動因就成為一項棘手問題。以網絡恐怖主義為例,網絡恐怖主義是網絡安全威脅中極為特殊的一類,識別恐怖主義主導的網絡攻擊的動因和方式是當下網絡安全的重大挑戰。網絡恐怖主義在未來將呈現行動更隱蔽、防范更困難、攻擊更有效、后果更可怕的趨勢。
第四,突發性網絡攻擊同時為安全情報工作帶來了挑戰。首先,在突發性網絡攻擊的可能性下,情報機構要全面地分析所有可能被打擊目標的脆弱性。以情報工作應對恐怖主義的研究指出,分析脆弱性,就是要在特定時間內,根據特定攻擊類型評估給定目標發生損害(損害可能涉及死亡、傷害、財產損失或其他后果)的概率[25]。由于突發性網絡攻擊發生的時間節點難以識別,且打擊面較廣,攻擊手段與強度也較為多樣化,所以為有關網絡安全情報的搜集與分析帶來了困難,降低了安全風險評估的科學性與有效性,也拖延了安全預警的及時性。其次,以互聯網為載體傳遞虛假信息往往會干擾正常的情報工作,或者通過突然打擊其他目標制造混亂,掩蓋真實的打擊意圖。一方面,網絡攻擊方可以通過虛假信息將真實的意圖和行為隱藏起來;另一方面,網絡攻擊也可以直接干擾情報、監視和偵察系統。
總的來說,突發性網絡攻擊對于網絡安全的挑戰可以概括為如下方面:一方面,大國是突發性網絡攻擊的主要受害者,但霸權國家也可能是突發性網絡攻擊的始作俑者。作為受害者,小國發動突發性網絡攻擊的目的在于通過網絡攻擊這種小代價的戰爭模式來實現更為低成本的戰爭效果;作為攻擊方,大國發動的突發性網絡攻擊是霸權主義在網絡空間的體現,具有極強的破壞性,可以直接造成小國各類基礎設施迅速癱瘓,既造成實際破壞,也能夠形成網絡威懾。另一方面,突發性網絡攻擊的防范與應對具有較強的復雜性。突發性網絡攻擊的動因多元、手段多樣、行動隱蔽,為網絡威脅的精準防范和網絡安全的有效治理帶來了困境。另外,由于互聯網本身的特性以及突發性網絡攻擊自身的特征,突發性網絡攻擊為網絡安全情報工作帶來了巨大的工作量,甚至會混淆視聽,造成“情報失敗”(intelligence failure)。
3突發性網絡攻擊的應對策略
應對突發性網絡攻擊,推動情報工作轉型是重中之重,核心工作在于偵測(detecting)與回應(respond)。負責任和安全的情報政策、程序與工作機制是滿足網絡安全治理任務的信息基礎。正如美國中情局原局長約翰·杜奇提到,“(網絡突然襲擊)這種情況發生的可能性有多大?誰有能力發動這樣的攻擊?如何防御這種攻擊?最重要的是,我們能否非常及時地確定攻擊的幕后黑手?”結合突發性網絡攻擊的特征以及對情報工作的挑戰,并借鑒協同型網絡威脅情報(collaborative cyber threat intelligence)的工作方法,從源頭偵測、情報共享平臺、協同分析方法、易感性評估、防范技術升級等方面推進情報工作轉型,以擴大情報源、整合情報力量、提升情報能力、筑牢安全技術屏障。協同型網絡威脅情報的工作要旨在于,為了適應和應對突如其來與快速變化的網絡安全威脅,信息社會中所有受影響的主體都要展開合作,實現情報目標協同、方法協同、技術協同的有機統一。
3.1 源頭偵測
一如我們指出,源頭偵測是情報工作應對突發性網絡襲擊的重點與難點,對了應對突然襲擊,提前偵知是關鍵。借鑒珍珠港事件的教訓,美國情報專家指出,雖然珍珠港事件的情報準備不足,但是一些預警信號(warning signs)也應該受到情報機構和決策者的重視。例如,珍珠港事件發生前夕,美日的關系已經跌至冰點,美國早應該做好對日的安全防范措施。對于防范突發性網絡攻擊也是如此,需要系統評估國家所嵌入的國際安全環境,整合經濟、政治、文化、外交等要素,分析外在的安全威脅。“沖突中較弱的一方比較強的一方更有可能采取需要意外因素才能成功的策略”是情報工作的“金科玉律”,這一原則可以被用于突發性網絡攻擊的分析當中。其次,在加強對外情報工作的同時也要對內部的情報工作予以高度重視。“后斯諾登時代”的情報教訓指出,強化對內情報工作也是維護國家安全的重要措施,以預防“堡壘從內部攻破”。這意味著,突發性網絡攻擊或許并不完全來自于外部,內部的敵對勢力也可能成為突發性網絡攻擊的始作俑者。
3.2 情報共享平臺
情報共享平臺是應對網絡威脅的制度基礎。通過情報共享,不同的組織可以打破自身的情報盲區,并通過一種成本收益較高的方式利用其合作伙伴的知識、經驗與能力來提升各自的安全級別。網絡安全情報共享利用是一種有效提高響應能力的手段,因此,構建一個整合政府與各類非政府組織的具有高度安全性的網絡情報共享平臺可以使情報價值最大化,降低情報搜集成本和連接信息孤島,提高參與共享各方的風險檢測與應急響應能力。在構建情報共享平臺中,實現情報自動化處理和破解共享信任障礙是提升情報共享平臺有效性的基礎。對此,區塊鏈技術、自然語言處理技術是構建情報共享平臺可茲利用的技術手段。
3.3 協同分析方法
協同分析方法的核心是為決策者提供準確與可供行動的情報。主要分為兩方面內容。第一,將問題逐一分解,細化分析目標。細化目標有利于將安全威脅縮小到不同領域之內,做到精準防范、科學應對。具體來說,就是將已經確定好的任務目標準確地轉化為需要回答的問題,并對問題進行全面、精確、詳細地分解和逐級細化,最終形成可供情報人員容易進行分析的小目標。第二,要將情報分析置于來自不同領域、不同組織情報分析人員之間的協同框架之中,彌補情報分析中的認知偏見、情報解釋中的個人偏好以及單一分析方法對情報知識增殖的限制,這樣一種分析方法對于識別外部威脅,分析潛在受攻擊目標的易感性具有重要意義。對于突發性網絡攻擊這種源頭多元、攻擊偶然性強的安全威脅,更需要對各種網絡安全情報進行系統的分析與評估,以供決策者制定有效應對潛在威脅的對策。
圖1 應對突發性網絡攻擊的系統化情報流程
3.4 易感性評估
國家的基礎設施是突發性網絡攻擊的核心目標,所以要在明確網絡安全威脅確實存在的基礎上,明確何種基礎設施更易遭受突發性網絡攻擊。強化國家重要基礎設施的信息安全建設,是預防突發性網絡攻擊、將其破壞力控制在最小范圍內的先行之舉。借鑒美國的網絡安全防范經驗,奧巴馬政府區分了16個易受攻擊的關鍵基礎設施,包括化學工業、商業設施、通信設施、關鍵制造業、水利設施(大壩)、國防工業設施、應急服務系統、能源系統、金融服務業、食品與農業系統、政府機構、醫療機構、信息產業、核反應設施、交通系統、水資源系統,并對這些設施進行常態化的漏洞監測,實施有針對性的網絡安全建設。以電網系統的安全維護為例,需要通過提升防火墻等級,使用加密和更精細的檢測網絡入侵工具以及智能代理網絡等措施來保護數據采集與監視控制系統(Supervisory Control and Data Acquisition)。
3.5 防范技術升級
應對突發性網絡攻擊不僅在于偵測,也在于攻擊發生后的應對,所以要提升網絡攻擊的防御和反擊能力。第一,有效防御取決于迅速地評估攻擊可能影響的范圍以及迅速地隔離并修復被感染的主機。因此,要完善網絡安全應急響應流程機制,提升網絡安全風險識別與評估能力,基于威脅建模和評估,選擇精準合適的防御作戰解決方案,采用“各個擊破”的網絡防御戰術。第二,“網絡安全的本質在對抗,對抗的本質在攻防兩端能力較量”,在加強網絡安全防御能力的同時,提升網絡威懾能力也至關重要。從概念上講,網絡威懾指的是潛在對手由于某種行動的固有風險或反映而不發動網絡攻擊的狀態。網絡威懾的有效性不僅僅在于網絡攻防能力,同時也囊括了軍事、外交、經濟等多重領域。簡言之,基于網絡威懾的視角,應對突發性網絡攻擊最好的方法就是改變對手的動機,使其不能夠通過避開對手的優勢軍事力量來獲得實現目標的戰略信心。
綜上所述,以上5個方面構成了一個系統化的應對突發性網絡攻擊的情報流程(見圖1)。這5個方面相互連接相互影響,共同構成了一個有機整體,每一個步驟都要充分履行,否則會削弱整個情報流程的效能。
4總結與展望
突發性網絡攻擊是當代國家安全的重要威脅已經成為一項共識。不僅是發達國家,近年來,我國也開始關注到了突發性網絡攻擊問題,一些學者論證指出,突發性網絡攻擊是擺在任何國家面前一個很嚴重的問題,實際上是有發生可能的。但由于國內對突發性網絡攻擊內在特征的闡釋與系統研究較少,所以有必要將其作為國家安全的重要問題,在總體國家安全觀的立場上分析突發性網絡攻擊的應對策略。在概念分析與挑戰梳理的基礎上,文章重點從情報工作的角度提供了突發性網絡攻擊的應對策略,希望以“小切口、大問題”的方式審視信息時代的國家安全。總的來說,網絡安全承載著國家安全,未來相關研究仍需進一步探索,例如國家安全與網絡安全的關系,如何從網絡安全的角度去看待全球治理中的國家安全問題等等,這些有助于為全球治理領域與安全領域提供新的話語體系與研究空間。
