freebuf关于国家网络力量的辩论必须重新关注一个非技术问题:如何刺激和引导国防任务、战略、理论、部队和组织的有效变革。
1991年美国国家研究委员会的非机密报告“处于风险中的计算机:信息时代的安全计算”清楚地说明了这个问题。(编者注:这本书概述了计算机安全研究中的问题和机会,推荐了改进研究基础设施的方法,并为研究人员提出了主题建议。为制定国家的计算机安全政策和实践提供了一个全面的议程。为从事计算机安全活动的行业和政府机构提供了具体建议。该书还探讨了计算机安全领域的多样性,基于专家认为计算机攻击者下一步可能会做什么的推测来设计对策的必要性,为什么技术社区未能响应增强安全系统的需求,如何鼓励创新者带来市场的更多选择,并平衡安全与隐私权的重要性。
我们处于危险之中。美国越来越依赖计算机。他们控制电力输送、通信、航空和金融服务。它们用于存储重要信息,从医疗记录到商业计划再到犯罪记录。尽管我们信任它们,但它们很容易受到设计不良和质量控制不足的影响、意外事故的影响,也许最令人担忧的是,还会受到蓄意攻击的影响。
三十年后,这个唯一的超级大国已经习惯于接受蓄意的网络攻击。勒索软件袭击了从巴尔的摩到亚特兰大的主要城市、地方政府、医院和学校,这一情形尤其严重。就连三流大国也直接攻击美国本土。
2014年圣诞节,总部位于加州的娱乐公司索尼影视娱乐 (SPE) 计划在2014年上映电影《采访》。动作喜剧情节围绕中央情报局(CIA)招募几个无能的美国艺人在平壤暗杀最高领导人金正恩。朝鲜民主主义人民共和国(朝鲜)认为斩首阴谋是不可容忍的、恐怖主义和战争行为,并且可以预见地威胁要进行无情的报复。但这一次,落后和孤立的国家找到了向实施美国力量投射的方法。
网络攻击者随后窃取了数TB的数据,擦除了美国、英国和其他地方的数千台 SPE计算机并使其无法操作。SPE没有遵从黑客的要求,继续按计划发布《The Interview》。然后,网络攻击者发布了SPE的内部电子邮件、工资单和商业计划以及四部未上映的电影。可以预见的是,西方媒体对SPE电子邮件中的八卦大肆宣扬。肇事者威胁要公布机密数据并扬言威胁3,800名美国SPE员工。由于SPE尚未决定这部电影的命运,12月16日,朝鲜网络攻击者威胁说对放映该电影的美国电影院的袭击;AMC影院和大多数主要电影院所有者立即拒绝放映这部电影。索尼决定不上映这部电影,实际上是向朝鲜妥协了。尽管美国总统奥巴马进行了干预,但逆行的朝鲜公开威慑了美国。
与朝鲜一样,伊朗公然敌视美国,但缺乏向美国投射经济或军事力量的能力。与朝鲜一样,伊朗展示了对网络力量的有效利用。例如,美国司法部(DoJ)于2018 年3月23日公开的一份起诉书描述了几名伊朗人如何组织德黑兰的马布纳研究所针对320所大学的100,000多名教授,其中包括美国的144名教授和20所大学的176 名教授。另一个国家。这个小团队使用已知的策略、技术和程序 (TTP),例如鱼叉式网络钓鱼和密码喷洒,实现了全球影响力,没有进行任何有意义的研发。随后,伊朗人利用被盗的数千份凭证(包括美国大学的3,768个账户)获得了价值30亿美元的西方知识产权。肇事者代表伊斯兰革命卫队(IRGC)协助伊朗的国家行动,并通过出售被盗数据和凭证获利。此外,伊朗和朝鲜利用勒索软件攻击了美国本土。
这些攻击和最近的勒索软件热潮有什么共同点?考虑对美国心脏地带进行破坏性攻击的外国对手,他们在陆地、海上和空中是否在与国家级防御者对抗。外国对手对非军事本土目标发起直接网络攻击将不会遇到任何问题。
为什么这种缺乏国家级防御成为常态?能力不足不是原因。毕竟,美国拥有首屈一指的情报和军事力量、全球作战经验、充足的意识和庞大的预算。此外,美国人凭借优秀的创新体系和完善的工业基础拥有网络空间。当前的逻辑(正确)断言,军事方法不适合保护平民目标免受网络威胁。但是,国防和军事机构可能会滥用它来逃避变革的负担。国会研究局最近的一份报告《国防入门:网络空间作战》” 简洁地描述了联邦网络安全组织。主要防御者国防部 (DoD) 只会在网络紧急情况下协助国家。简单来说,只有在事情变得非常艰难之后,战士才会接管并带领美国取得胜利。国防部不应为电影制片厂或医院单调的日常安保所困扰。逻辑的错误在于,即使国防部成功了,也为时已晚。
普遍的不安全是和平时期战略防御适应不良的结果。因此,关于国家网络力量的辩论必须重新关注一个非技术问题:如何刺激和引导国防任务、战略、理论、部队和组织的有效变革。这一挑战并不新鲜。
与俏皮话相反,严肃的研究确定国家和军队确实为未来的战争做准备。适应不良很少表现为否认现实正在改变。军队是大型官僚机构,正如哈佛大学教授斯蒂芬·彼得·罗森所写的那样,“我们在理论上所知道的关于大型官僚机构的几乎所有信息都表明,它们不仅难以改变,而且它们的设计初衷是不会改变的。” 和平时期的战略防御适应通常会失败,因为防御组织不愿意、没有被迫或无法真正改变他们的方式。
六年来,社会科学家建立了军事适应奖学金。虽然这一问题超出了本文的范围,但我只提供了一个研究样本,这些样本处理了现在损害网络安全的持久性问题。
Azar Gat研究了空中和陆地机械化战争的理论,证明技术本身并不能推动创新或其进程。Frederic A. Bergerson开创性的政治学研究解释了美国陆军航空兵从1942年到1970年的复兴:很少有激进的改革者反对政策,但努力从军事组织内部改变政策,从而产生了至关重要的国防应变。最后,罗森指出,军事创新源于年轻军官的新晋升途径。
理论停滞是阻碍美国网络不安全的根本原因。没有一个国防部门接受一项新颖而具有挑战性的任务:保卫国家免受外国网络攻击。此外,激进的网络防御创新不会自行出现。相反,学者和政策制定者必须利用国防创新奖学金来推动足够的安全。
转载请注明来自网盾网络安全培训,本文标题:《缺少乏国家级防御者的网络防御总是会失败-理论停滞是阻碍美国网络不安全的根本原因》
