十年前,时任国防部长莱昂·帕内塔说了一句后来臭名昭著的短语:"网络珍珠港"。帕内塔利用他作为该国主要国家安全官员的平台来警告美国未来将遭受可怕的数字攻击。
他警告说,能源基础设施、交通系统、金融平台等都容易受到剥削。媒体、专家和政界人士使用这个短语以及类似的"网络9/11 "和"网络卡特里娜"来激励人们支持各国应对网络安全挑战的努力。
"网络珍珠港"模因的臭名昭著在于它完全不忠于全球网络冲突的现实。该观点认为,西方社会因数字破坏而崩溃的想法忽视了这样一个事实,即除了与同等国家进行激烈的战争之外,这种破坏对于那些最有能力执行此类攻击的行为者来说没有任何战略效用。
正如 NotPetya 等事件中所见,重大破坏是不可避免的,但它们不太可能是常见的、普遍的或像"珍珠港"助记符所暗示的那样灾难性的。相反,交战方在乌克兰和以色列最近发生的重大冲突中对网络的使用既有限,又缺乏"网络闪电战",往往以表演为重点,感觉更像是未来网络冲突的典范。
2023 年网络战略呈现实用主义
反对网络末日命名运动的一个主要推动因素是,这种框架导致政府对国家网络防御的担忧与行业建立更健康的网络生态系统的现实努力脱节。鉴于此,国防部最近发布的 2023 年网络战略应被视为政府对网络领域防御范围和威慑挑战的看法的一个值得欢迎的演变。
与之前国防界对网络空间作战的战略愿景的表现不同,2023 年的文件极其保守。它没有提出重大的概念发展,没有围绕数字运营的新兴想法进行新品牌宣传,也没有对乌克兰战争采取激进的反动态度。
虽然"踩刹车"的网络战略看可能听起来有风险,但面对最近使美国网络司令部能够开展活动的变化,这种限制为国家网络安全决策带来了一定程度的稳定性。更重要的是,它提供了喘息的空间,让民间、工业界和政府能够找到平衡,而这在该领域的公私关系中一直是缺失的。
对国家网络防御进行更多跨部门考虑
在 2023 年文件发布之前,2022 年国防战略概述了一个新概念,该概念将推动五角大楼的愿景、规划和行动,称为"竞选"。这个概念不是特定于网络的。相反,它更全面地体现了这样一种理念,即国家安全和外交政策目标总是通过跨政府和国家能力的多个领域计划的连续和累积活动来确保。
政府和国家能力之间的区别值得注意,因为竞选理念强调军事活动必须与战略相关的活动保持一致。这包括非军事行为体、他们的利益、他们的基础设施以及他们自身影响国际政治和商业的能力。
2022 年战略现在在 2023 年网络战略中以网络特定术语提出,其要点是,在与敌方力量持续交战所定义的领域中进行前沿防御的概念需要跨越公私界限的授权和相互依赖。
五角大楼认识到,与过去几年相比,大多数网络安全活动完全发生在国家间武装冲突的范围内。
人们之前可能会认为这一承认暗示五角大楼致力于持续、快速和持续的军事行动,这些行动很少规模到重大行动的水平(例如奥运会),而且大多数网络并不是为了贬低对手' 现实世界的能力。2023 年战略现在优先考虑注重累积成果而非持久影响的活动。仅仅持续参与是不够的;战术行动必须能够扩大到战略收益。
这意味着国防部更清楚地认识到美国的攻击面------即其知识产权空间、信息环境、网络物理基础设施,当然还有其人民------本质上是绝对私有的。这个明显的观点在口语中一直得到承认,但现在它是竞选概念的核心。
通过前沿防御来确保在线军事目标的行动意味着超出作战规划范围的协作。这意味着将教育活动扩展到国家数字健康的主要利益相关者------不仅仅是服务提供商,还有社会技术产品供应商、多元化的软件开发商等等。
这意味着在联邦政府的支持下,开展行动后的后续工作,并将恢复和未来准备的责任委托给愿意的私人合作伙伴。它还意味着对民间社会可以为国家网络防御做出贡献的现实期望。总而言之,这是一个充满希望的发展。
更少的领导力,更多的整合意味着更好的领导力
认识到网络事务绝不是纯粹的网络的另一个关键要素是承认联邦在网络安全方面的领导可能会适得其反。在与治国方略和社会功能的其他方面共同变化的问题上的"领导"往往会过分强调该领域的重要性。
这是三十多年来主导美国网络安全观的病态思想。认识到网络安全是 20 世纪 90 年代和 2000 年代初的重大国家挑战,网络空间域概念应运而生,成为政府和军方主导的数字问题对话的重心。虽然这受到欢迎,但它也过分强调网络而网络,并且常常忽视了这样一个现实:网络行动通常是与其他政治、经济和安全挑战相关的辅助活动或促成活动。
2023 年网络战略以承认的形式纠正了这种夸大其辞的说法。该文件坦率地阐述了在网络空间开展行动以阻止外国对手攻击美国工业、社会、政府和国际合作伙伴的限制。正如许多冷战核时代网络空间威慑思想的倡导者最近被迫承认的那样,第五域的运作逻辑使得发出信号和展示真正威慑所需的能力变得困难。
通过网络行动进行的表演性姿态通常会适得其反,因为它们让对手防御者看到其防御设置中的漏洞并部署修复措施。归因使定向强制的水域变得混乱,这种强制通常需要合理的特异性和紧迫性的沟通才能有效。在纳秒级危机发展过程中,通过反黑客提高威慑力的机会往往会因将漏洞利用与人才、基础设施和政治愿景结合起来的延迟而受到阻碍。
相反,美国政府现在表示,它将减少领导力度,但与直觉相反,这样做会更好地发挥领导作用。这就是综合威慑的概念在联邦网络安全工作中脱颖而出。仅通过网络行动无法实现威慑,尤其是主要由美国网络司令部及其其他联邦交战方采取的行动。相反,网络能力必须附属于"其他国家力量工具",以创造"大于其各个部分之和的威慑力"。
此举旨在使美国网络司令部摆脱对其捍卫美国数字健康能力的传统限制------与其说是无法授权其自身行动,不如说是无法让非政府合作伙伴和利益塑造联邦网络使命。现在人们认识到,建立国家网络威慑力量的最佳工具可能不是主要以防御为导向的态势。这个职位是明智且有前途的。它还提出了共同的公私利益可以蓬勃发展的空间,同时避免传统行业对联邦政府越权(或监督)的担忧。
将国防机构建设为更可靠的网络安全合作伙伴
2023 年网络战略的最后一个转变是五角大楼网络任务的实际落实。运动和向综合威慑的转变并不意味着开放式的任务和资源,只是增加了公私合作的新想法。相反,它们反映了一个现实,即网络不仅是国家安全实践的一个辅助焦点,而且持续的活动并不总是受欢迎的。对于五角大楼来说,从法律上或实际上来说,捍卫美国知识产权的每一块空间都是不可能的。现在,人们认识到,从威慑的角度来看,这样做也是不可取的。
2023 年网络战略的观点源于对近代历史的一种谦卑的看法,在这种历史中,联邦政府支持的帮助者在危机期间迅速提供救援的生态系统几乎没有实现,也很少被召唤。与美国网络司令部围绕的更紧密的任务支持角色相比,五角大楼并不适合此类支持活动。现在,五角大楼将支持能力建设、情报支持、劳动力扩张和网络意识举措,但不明确与国防部所需互动的范围。在此过程中,国防部力求成为工业界,特别是国防工业基地(DIB)的更可靠的合作伙伴,而不需要单一的国家网络防御战略或作战方法。
网络安全港,而不是珍珠港
五角大楼正在消除网络珍珠港事件的幽灵,将其作为国家网络防御对话的概念工具,这是一个值得欢迎的进展。网络威胁并不是专家和好莱坞经常喜欢表达的战略灾难。与此同时,网络威胁的范围逐年扩大和多样化。在这种情况下,国防部无法用相当于导弹防御盾牌的网络覆盖全国,因此必须调整其姿态,以尽可能有效地尝试创造有意义的威慑。
新的战略文件总会有一个蜜月期,政府的意图会受到官员、国会和现有合作伙伴行动的影响。然而,工业界应该将 2023 年网络战略视为与国防机构接触的机会,而不必担心被同选。
该文档具有过去迭代中所缺失的实用性。尽管所列出的优先事项更多的是克制而不是新活动,但也有助于围绕网络威胁建立限制性规范。五角大楼在没有直接任务控制的情况下在保障国家网络响应能力方面发挥的作用较小,这对于那些怀疑自己处于地缘战略竞争直接火线的公司(例如投资于乌克兰重建的公司)来说具有独特的价值。对美国网络防御优先事项的一个有点无聊的更新也许也是联邦政府对私营部门提供真正援助的最佳承诺。