什么是“網(wǎng)絡(luò)安全困境”?

古希臘歷史學(xué)家修西底德斯(Thucydides)警告稱，誤解帶來的沖突危險重重。當(dāng)某個國家自我防御時，即使不對其它國家懷揣敵意，有時似乎也會構(gòu)成威脅。其它國家察覺到這種威脅后，會采取措施予以響應(yīng)，由此便會陷入不斷升級的危險循環(huán)模式。修西底德斯寫到，“雅典的崛起導(dǎo)致斯巴達(dá)心生畏懼，因此戰(zhàn)爭不可避免。”

這樣的問題被稱為“安全困境”。古代各國之間“未雨綢繆”，通過武力、財力相互制衡。我們的時代國與國之間本質(zhì)上并沒有改變，網(wǎng)絡(luò)科技只不過將兵戎相見換成另一種形式。但是，網(wǎng)絡(luò)安全帶來一個全新挑戰(zhàn)，其核心在于“最強(qiáng)”之國之間的關(guān)系。各國都在尋求保護(hù)國家安全的辦法，同時還要向其它國家發(fā)出不懼怕攻擊的信號。

美國華盛頓威爾遜中心全球研究員本•布坎南在《網(wǎng)絡(luò)安全困境：國家之間的入侵、信任和恐懼》(The Cybersecurity Dilemma: Hacking, Trust and Fear Between Nations)也支持這一觀點，這些國家并不總具有攻擊性。相反，他們可能正是網(wǎng)絡(luò)攻擊的受害者，試圖通過入侵行為解決自身問題。但被其它國家發(fā)現(xiàn)時，極可能不會將這種行為視為防御入侵。這種本來打算平息沖突和緊張局勢，而非威脅國際和平而發(fā)起的入侵，便是“網(wǎng)絡(luò)安全困境”。

安全防御誘發(fā)“防御性入侵”

2000年，美國計算機(jī)網(wǎng)絡(luò)面臨的其中一個最大威脅：他國入侵。NSA想出一個新代號 “拜占庭冥王”(Byzantine Hades)替代之前的TITAN RAIN，指代執(zhí)行竊取機(jī)密、滲透機(jī)密信息、并對美國能力和競爭力構(gòu)成最終威脅的黑客行為。

為了擊退和防御該國黑客對美國計算機(jī)網(wǎng)絡(luò)的入侵。“BYZANTINE CANDOR”發(fā)起的針對該次“他國入侵”的防御入侵，NSA的威脅行動中心的防御者尋求獲取更多信息，他們向特定入侵行動辦公室(簡稱：TAO)的網(wǎng)絡(luò)專家尋求幫助，以收集這群黑客的“可操作情報”。

保護(hù)美國網(wǎng)絡(luò)安全是一項大規(guī)模的秘密行動，單憑一點無法確認(rèn)美國這次行為的真實性。直到斯諾登泄露了一個常被忽略的文件，這項美國的機(jī)密計劃才被證實。

美國網(wǎng)絡(luò)專家介入后迅速獲取了該黑客使用的基礎(chǔ)設(shè)施。一旦取得訪問權(quán)，美國網(wǎng)絡(luò)專家就能利用這些重點觀察對手的行動。然而，TAO執(zhí)行得更加徹底，他們掌握該國黑客發(fā)起行動的五臺計算機(jī)。進(jìn)而入侵了5名黑客，甚至隨其操作人員回到虛擬基地，并獲得大量對手活動的“優(yōu)質(zhì)數(shù)據(jù)來源。”

NSA分析此次獲取的數(shù)據(jù)具有前瞻防御價值。這些數(shù)據(jù)包括該國入侵的“未來目標(biāo)”，其中包括高級白宮官員、國家承包商雇員、美國政府雇員等;此外，還包括中國用來實施行動的源代碼和新工具。NSA滲透的計算機(jī)還揭露了使用中的漏洞利用。實際上，NSA在BYZANTINE CANDOR這次行動中獲得的情報足以指導(dǎo)并提升美國的防御工作。

這起事件涉及網(wǎng)絡(luò)防御中的重要主題。該事件顯示出對手的持續(xù)性、防御者的創(chuàng)造力、獲取威脅可操作情報的挑戰(zhàn)、以及網(wǎng)絡(luò)架構(gòu)和防御者(有能力利用這些信息)的必要性。

但是，該事件同時還強(qiáng)調(diào)人們經(jīng)常忽略的重點：并不是每起入侵行動都以進(jìn)攻為目的。一國對另一國發(fā)起入侵確實存在防御的理由。

一國對另一國發(fā)起入侵確實存在防御的理由。

增強(qiáng)防御可以采取多種形式：

侵入另一國，了解該國實施網(wǎng)絡(luò)行動的控制與命令基礎(chǔ)設(shè)施位置，使該基礎(chǔ)設(shè)施的收發(fā)流量更易被阻止;

收集對手開發(fā)的惡意代碼信息，讓防御者開發(fā)定制的感染指標(biāo);

確定對手可能進(jìn)入的方法和潛在目標(biāo)，允許一國預(yù)先準(zhǔn)備防御并將風(fēng)險降到最低;

找到對手將要使用的零日漏洞，為防御者預(yù)留時間提醒廠商或保護(hù)自身系統(tǒng);

......防御性入侵的發(fā)展必然是主動入侵

時任美國總統(tǒng)奧巴馬談到這些方法時曾表示：

“缺乏數(shù)字通信滲透技術(shù)就沒能力阻止網(wǎng)絡(luò)威脅，無論是攔截針對股票交易的惡意軟件，還是確保航空交通管制系統(tǒng)不被感染，或確保黑客不會將銀行賬號洗劫一空”。NSA總法律顧問辦公室(Office of General Counsel)前成員指出，獲取數(shù)字對防御任務(wù)的關(guān)鍵信息—可提前攔截惡意攻擊者攻擊美國網(wǎng)絡(luò)的計劃。

防御者入侵獲取的信息，可便于了解入侵者是否已進(jìn)入系統(tǒng)內(nèi)部。美國國家安全委員會(National Security Council, NSC)的網(wǎng)絡(luò)安全協(xié)調(diào)員丹尼爾·邁克爾默認(rèn)，入侵者及防御者響應(yīng)的動機(jī)都需保密，對手知道的越少，入侵成功的機(jī)會就越大。

斯諾登泄露的其余文件證實，NSA收集這類數(shù)據(jù)用來執(zhí)行秘密行動。這些文件描述了美國為收集情報和更好地保護(hù)網(wǎng)絡(luò)而制定的一系列互相關(guān)聯(lián)的復(fù)雜計劃，并將其稱之為“支持動態(tài)防御的外國情報”。收集的信息可以“破壞”NSA在全球核計算機(jī)上植入的惡意代碼，利用這一點，NSA的其中一個節(jié)點可以發(fā)揮該信息(“將響應(yīng)頭注入到目標(biāo)互聯(lián)網(wǎng)”)的作用。NSA可以注入各種HTTP響應(yīng)頭，包括重置連接、發(fā)送惡意代碼和重定向互聯(lián)網(wǎng)流量。

同樣，如果NSA提前獲取對手的工具和間諜情報技術(shù)，就可以開發(fā)并制定對策來破壞別人的計劃。信號情報機(jī)構(gòu)向部署在NSA保護(hù)網(wǎng)絡(luò)上的自動化系統(tǒng)提供即將發(fā)生的威脅信息。這個系統(tǒng)具有大量功能，包括阻止進(jìn)入流量，向?qū)κ职l(fā)送意外響應(yīng)，減緩流量，達(dá)到欺騙對手讓其看起來行動已經(jīng)完成。這些防御功能經(jīng)常用于應(yīng)對大規(guī)模攻擊。截止2011年，NSA已使用該系統(tǒng)阻止28類來自強(qiáng)勁對手國家和非國家攻擊者的攻擊。

文件記錄了大量防御成功的案例。其中包括NSA網(wǎng)絡(luò)防御者扼殺了BYZANTINE HADES入侵四大高級美國軍事領(lǐng)導(dǎo)人、美國海軍作戰(zhàn)部長和參謀長聯(lián)席會議主席的企圖，以及成功防御知名黑客組織“匿名者”和其它組織的實例。

各國都在實施間諜行動，而網(wǎng)絡(luò)行動可以將間諜活動的破壞性迅速升級，甚至難以控制。

也許有人認(rèn)為這種說法站不住腳。他們一定認(rèn)為只有最先進(jìn)的國家才有能力開展這類活動。但是，就美國及其盟國來說，相比其它國家可能僅需要少量的網(wǎng)絡(luò)滲透便可獲取可用的防御情報，這是因為美國具有從核心路由器和互聯(lián)網(wǎng)交換機(jī)被動收集大量情報的能力，而之所以具備這種能力是因為美國與世界上一些最重要的電信提供商有廣泛的合作。

例如，加拿大的信號情報機(jī)構(gòu)已經(jīng)開發(fā)了一個包含200多臺部署在全球的傳感器的系統(tǒng)。加拿大情報機(jī)構(gòu)使用該系統(tǒng)追蹤已知威脅，一旦發(fā)現(xiàn)未知威脅即在互聯(lián)網(wǎng)核心進(jìn)行防御。雖然被動收集需要在其它國家的網(wǎng)絡(luò)和基礎(chǔ)設(shè)施內(nèi)進(jìn)行主動和更集中的收集，但可以獲取對防御任務(wù)有用的信息。

從某種意義上講，網(wǎng)絡(luò)行動中的防御性入侵與傳統(tǒng)邏輯的國際關(guān)系和安全困境相去甚遠(yuǎn)。網(wǎng)絡(luò)行動中的這支軍隊可以發(fā)現(xiàn)攻擊滲透、武裝準(zhǔn)備，并可在對手取得任何進(jìn)展時將其挫敗，若將其理解為傳統(tǒng)的方式，這等同于國家在潛在對手的領(lǐng)土駐守軍隊。以傳統(tǒng)邏輯來說這就是在外國單邊駐守部隊，是一種侵犯他國主權(quán)的侵略行為，即使入侵國聲稱駐扎部隊是為了執(zhí)行防御任務(wù)，也可能使沖突升級。

換個方式理解，防御性網(wǎng)絡(luò)入侵不是侵略行為，而屬于情報范疇。

國家秘密搜集他國能力的信息而進(jìn)行的這類入侵活動，從某種程度上講，情報搜集是能夠避免正面沖突又在國際政治中長期接受的做法。簡單而言，所有國家都在開展間諜活動，這點大家都心知肚明。但網(wǎng)絡(luò)行動可能將間諜活動快速變升級為更具破壞性的行動，這個時候若情報搜集具有威脅性，或直接帶來攻擊時，防御性間諜活動會使局勢更為緊張甚至引發(fā)沖突。