对于大多数领域,威慑就像氧气一样:当它的含量充足时,很少能够引人注目;当它的含量稀少时,却非常引人关注。但令人遗憾的是,如果网络威慑的失败,敌对国家会在网络空间中采取敌对行动,这却可能不会让人立刻发现。通常,被破坏的数据就像完好的数据一样。许多系统在大多数情况下运行时,自身都或多或少存在一些故障。这些故障可能只有当系统在危急关头执行某种任务的时候才会被发现。甚至,有证据表明,在针对一些敌对行动(而不是恶作剧)的干涉的行动中,我们很难知道幕后的对手是谁,他们想要完成什么目标,或者他们是否存在一些弱点。网络威慑遭受或者依赖于一个人的观念,受益于许多模棱两可的情况之中。
为了界定网络空间中威慑的可能性以及限制条件,需要如下的一些步骤:第一,需要对概念做出定义;第二,我们需要对网络攻击发生的方式进行认真的观察;第三,对网络攻击的动机进行分析;第四,在核威慑或者常规威慑和网络威慑之间做出对比。
网络威慑的定义
按照威廉•考夫曼(William Kauffman)的论述,“威慑必须由两个基本的部分组成:第一是能够表达出为了捍卫某种利益的意图;第二是具有为了保卫利益而显示的一种已被证明了的能力,或者是对攻击者施加影响,使之认为要完成最终的目标要做出巨大的努力并且对自身来说是不值得这样去做的。”事实上,尽管防止系统遭受攻击的能力将制止某些人的攻击,我们还是常常使用一种更加狭窄的对威慑的定义:一种能够迫使对方放弃攻击行为的能力,如果对方发动攻击将会导致大规模的报复行动。
换句话说,网络攻击只是利用各种方法使得系统失灵的一种尝试,从而减少系统对使用者的价值。例如:系统运行得很慢,根本不起任何作用,或者不能与其它系统连通信息以及运行法则被阻断。一些大规模网络攻击的例子主要有关闭发电厂或者偷窃银行的个人信息记录等等。军事上的影响可能包括使指挥控制系统失灵或使得整个防空火控系统失效。
入侵一个系统并且拷贝它的文件(计算机网络间谍活动),这应该被认为是一种攻击吗?这样一种行为会使得目标计算机把信息发送到一个它本不应该发送到的地方——但是它并不能阻止计算机的运行,以及产生正确的信息和指令。在默认的情况下,间谍活动也不应该被鼓励,但是在历史上,战争的规则常常把冲突与间谍活动相区分,而后者在通常情况下并不被认为是一个合法的可提起诉讼的案例。在现实层面上,我们能够想象相互竞争的国家的情报机构都忙于阅读彼此收发的电子邮件。我们也一定能够想象一些未曾听说过的机构比我们所熟知的部门在这个方面上更擅长。这样,一些入侵网络的行为可能被认为是一种不称职的指示器而不是恶意行为的表现。
我们进一步认为网络威慑是某种报复行为。做出这种界定的原因不仅仅是因为这样做是有意义的,还因为它能够更多的表现出网络威慑的复杂性。其中一些报复行为的复杂性是采用了动态的方式进行网络攻击;另一些是采用网络的方式进行动态攻击。
最后,我们认为假想中的攻击国当前没有任何真正的动态攻击。战争发生后,如果不考虑到怎样对余下冲突进行控制,网络威慑是不可能被关注的。
网络攻击发生的原因
网络空间和其它事物一样来源于现实世界,即它实际上是人造的。网络空间是一个虚拟的媒介,至少在理论上来说,使用者可以有许多方法对其加以控制。一个不与外界相连系统,它是由一些值得信任的元素构造而成,并且由一些值得信赖的人员进行操纵,甚至在应对最猛烈地网络进攻时,它都可能被认为是十分安全的。这些特征可能或者应该用来形容大多数机密的军事系统(即大多数的作战装备)。然而,大多数的系统是与外部世界相连接的,使用者必须要设计一些方法来仔细检查那些来自外部进入到系统内部的数据包从而能够防止不良的影响。事实通常是这样的,进入到系统中的数据是因为系统允许它能够进入,并且由于系统仅仅会执行设计者以及操作者的指令,那么理论上在网络空间中就不会有强制进入的行为发生。当然,实际上坏事总是时常发生。软件使得系统运行十分复杂,通常情况下对使用者来说,这些都是比较模糊的并且不可避免不是十分的完美。甚至当软件是完全的透明(这种软件可以提供开放的源代码)时,它仍然是十分复杂的。确保那些由字节组成的软件不会对系统造成危害是一项令人畏惧的挑战。
事实上,复杂性最终成为使得所有计算机故障的主要原因,包括无意和恶意攻击。系统在设计者看来可能具有防止恶意攻击的能力。但是使用者和系统管理者对此有一种完全不同和不完全的观点。两者的区别可能导致安全漏洞(security breach)。最后,存在一种实际代码(actual code),它是一个确定的单词并且实际上系统能够对输入和输出的这一单词做出反应。任何冲突之中,在观念、设计以及代码之中,代码往往具有最终决定权。在设计和使用的安全模式与存在于代码中的安全特性之间的分歧是网络脆弱性的主要来源。换句话说,利用了这种脆弱性,黑客能够使得系统按照他们的意志行动而不是设计者、管理者和使用者们认为的系统应该运行的那样。
所有的网络攻击几乎都是利用了系统的脆弱性,这一现实对我们来说有几点启示:第一,攻击本身可能是对自身的限制。使用者当意识到系统不能正常地运行时,他们可能会尽最大的努力查明原因。当知道了原因之后,他们也可能会意识到将会在多大程度上信任系统,甚至会知道如何去解决这一问题或者(如果问题出现在已安装的软件中时)向他人寻求帮助。如果问题解决有效以及系统没有漏洞,攻击者就不得不寻求一些其它的方法,这就对系统的影响较小。甚至如果这些脆弱性的特征没有被识别出,网络攻击几乎不可能会毁坏物理设备,一个胜任的机构应该会对其数据进行备份并且留有其软件的纯净的拷贝。这意味着,几乎所有来自于任何网络攻击所带来的破坏都是暂时性的。第二,网络攻击需要一些策略而不是蛮力。持久的而不是漫无目的地找寻系统的漏洞,这种方式找到漏洞的可能性更大,但是一千个单独行动的黑客可能与一个国家情报机构所雇用的一千个人员找到漏洞的几率是一样的。第三,基于这个原因,本质上不存在对发动一次网络攻击的特别的物质需求以及相应地为了阻止一次网络攻击的发生,几乎没有方法能够使得它们被摧毁或者被破坏。
实施网络攻击的动机:当认为怎样制止攻击时,一种观点倾向于把处于次要地位归结于预测实施攻击的动机。毕竟,不管攻击者的动机是多么的合理和理性,在任何模式下,威胁的信息都是“不许或者其他!”相反,很少能够理智地推断威慑是不必要的,因为没有理性的人将会预见来自于一次特别攻击形式的净收益是多少。
然而,一定程度上对动机的关注是重要的,这是因为它能够表现出反应的本质和可信性并且提出在多大程度上对失败的恐惧或者对惩罚的威胁能够制止攻击的建议。在本质上,能够把动机分为以下四类:误差(errors)、压制(coercion)、优先(preemption)以及恶意(spite)。
误差有许多种,例如一个自我感应的系统缺陷;一种非法侵入系统的尝试,这种尝试为了达到侦查的目的却出乎意料地偏离了;一个攻击者的反应,这种反应错误地认为目标先于自己实施了打击;一种攻击,这种攻击看似来自于一个国家,但实际上是来自于一个未经授权的地方。只要正确的理解,误差可能不会导致报复。
压制是为了警告攻击者。有时,攻击等同于一种挑战;有时,攻击者能够清楚这一点并且仍旧保持隐匿状态因为它的利益可能被其它国家或者为国家行为者所分享。在这里,报复给了己方一个警告。
优先权以国防安全系统为目标,对攻击者而言,在运动的空间中应对一个笨拙的反应能力将更容易取得控制权。如果攻击者受制于后续的动态行动,我们能够想象网络攻击将不起作用或者不能够充分的与动力选项相协调,否则就是已经被目标所迷惑。在这样的情况下,当网络系统运转失灵时,避开动态威胁是最优先的选择,这种报复可能会继续,但是会延后发生。
恶意作为一种动机是一种区分有意攻击从而破坏目标的方式,但是对攻击者自身而言这并没有多大的意义。报复应该是恰当的,但是首先是能够想出一个合理的理由来应对这样一种攻击。
网络威慑的八个难点
在冷战期间,威慑是一个非常普遍的概念,但是之后的发展表明,人们忽视了威慑的必要性。然而,随着网络威慑的重要性逐步提升,对威慑必要性的需求又重新显现。
1.我们具有实施网络威慑行动的基础吗?
回顾一下考夫曼所定义的关于威慑的标准,我们将要保护的利益必须具有一些精密度。对于美国政府来说在网络空间中单独地行使权力来维护秩序,这是不合适的。大多数人同意,国家利益应该延伸到政府系统之外,包括一些必要的基础设施(例如:金融系统、电力系统等)。除了那些之外,还存在一些模糊地带。网络空间中的敌对活动发生得十分频繁。黑客人群的来源形形色色:有好奇和粗心大意者、政府示威者、愤世疾恶的生意人、奸诈之徒、犯罪分子、虚无主义者以及国家建设参与者等等。这之中,只有一小部分的攻击能够被发现。在敌对国家边界地区的支持下只有一些攻击能够被追踪,并不是所有的攻击行动都是由政府发起的。因此,何种程度的才可以使得网络攻击能够具有行动的能力?为了避免每次在发现网络漏洞时发生错误报复以及消耗过多的国民生产总值,在实施报复的临界值和造成破坏的程度之间在量度上可能存在一些可以辨别的特征,这些破坏可能被认为是背景噪音(它们的程度和构成随着时间的不同而不同)。尽管大多数由国家发起的网络攻击是一种间谍活动,它是一种能够付诸实施的间谍活动吗?人员伤亡是一个可以克服的门槛,但是我们至今还没有看到黑客所造成的第一起伤亡。在大多数摧毁许多高价值目标的行动中,常常伴随着零伤亡。如果能够突破金钱的门槛使得一次攻击在技术上成为可能的时候, 如果即将面临报复的攻击者的满足并非必然确定,如何能够将这种危险性传达、量化以至于让其他人明白这次攻击?
2.我们知道网络攻击的实施者是谁吗?
对于核武器和大规模常规武器的打击来说,攻击的来源常常是十分明显的。但在网络空间中,情况却不是这样。甚至当能够追踪到犯罪数据包所发送的电脑(IP地址)时,也不能确定是否该电脑的所有者就是犯罪嫌疑人(真正的攻击者可能在该电脑植入木马,并在随后进行激活。)。甚至攻击者就是该系统的所有者,我们也不能确定是否这样的攻击是由国家授权。可以不加夸张的说,攻击可以来自任何地方(包括可以信赖的内部人员)。只有那些肆无忌惮或者软弱无能的国家才会从本国发起网络攻击。依靠技术来鉴定攻击属性就好像在涨潮中游泳,将会遇到更大的数字不确定性。依托于攻击者的情报也许是有用的,但是对于发动一场战争,甚至仅限于网络空间的战争,仅依靠情报就有它自身的问题了。否则,我们将不能判断出合理的属性除非攻击者实际上公布了他的任务。不必再过多的赘述,如果没有坚实的依据,对于报复这样的案例还不得不克服非零的可能性(the non-zero probability)以免回击错误的对象。
跟大多数的战争形式(恐怖主义除外)不同,是否任何形式的网络攻击都是一次小故障、一次犯罪、或者是一种战争形式,对此在战争的开始时总不是十分的清楚,这没什么用处。如果是一次小故障,那就是拥有者的责任;如果是一次犯罪,那就要诉诸法律的实施;仅仅当这是一种战争形式时,这就需由国家安全部门负责(例如国防部)。这三个部门对此有完全不同的标准并加以证明。具有国际属性的网络问题进一步增加了问题的复杂性。这都需要系统之间能够更好的衔接以及有关部门能够对攻击进行发现和分类。然而,要解决这个问题和在合理地应对攻击上达成一致,可能还需要一些时间,因为一个潜在的敌人也需要一些时间来抵消遭到惩罚性报复反应的可能性。
3.你们能依据反应而发起打击吗?
由于几乎所有报复的形式都需要加以利用目标的漏洞,预测何种报复后果的能力是基于能够预测出目标含有何种的漏洞。预测是可能的,但也是困难的和不确定的。未向大众公布的漏洞【又称“零日”漏洞(“zero-day” vulnerabilities)】和假定未被另一方发现的漏洞,这些我们可能能够知道。通过坚持不懈的探究,我们能够用特殊的方法发现目标关键系统的漏洞。然而不幸的是,当上述的知识能够赋予人们在任意时候做出反应的自信时,威慑的态势需要一种能力,即只要威慑的政策是有效的(时间可能几年或者数十年),就能够预测并做出反应。一般而言,零日漏洞或者其他特殊的漏洞能够被发现和打补丁(确实,对一些粗心的黑客来说,它们可能已经被不知不觉的打上了补丁。)。攻击的影响可能也是猜测的。许多动能武器(例如核武器)常常以相同的方式打击任何目标。一项在美国新墨西哥州阿拉莫戈多的核试验的结果就能够预测出广岛的核爆炸所发生的一切。但是对信息系统的攻击却不是如此。更进一步说,许多对信息系统的破坏常常与它的操作者的反应情况息息相关。例如,发现和修补漏洞的时间是如此之快;解决攻击造成的破坏是如此之容易;备份数据的频率是如此之频繁;以及现存的应急计划或者在系统中用户是否有足够的信心来应对这些情况。再者,如果不能观察到另一方是如何对网络攻击做出反应的,我们只能对反应的情况来做出猜测。最后,是什么使得遭受网络攻击的目标处于危险之中,恰恰是因为那些所有者认为他们的系统没有面临着严重的威胁,这些自满情绪和信念与那些认真着手准备和应对的做法背道而驰。这样,他们仅仅是依赖于那些名义上具有抗击能力的系统。一旦这样的目标置于危险之中,操作者可能就不再自满,这样一来目标可能就不会太脆弱了。目标操作者越自满——因此目标本身就会暴露出更多的脆弱性——就越不会对目标攻击加以重视,这也就凸显了威慑的必不可少。
4.能实施再次打击吗?
对于这个观点,思维敏锐的读者可能能够猜到答案——这并非易事(需要指出的是:自从核战争之后,人们几乎很少对重新建立核威慑的困难程度表示担心。)。第一次一个国家在网络空间中实施威慑(尤其是如果基础设施被严重地干扰或者破坏),之前提到的自满情绪也随即消失了。想利用新的攻击对目标进行打击将变得困难得多。可以肯定的是,当防御者自满的时候,威慑者可能设置了一些潜在的攻击对防御系统进行破坏。然而,能够想象警觉的防御者将会对现存系统保持检查,包括不规则的行为和不能解析的代码,可能更好地发现准备中的后续攻击。更糟糕的是,对于重新建立威慑的愿望,操作者可能使其相信自己已经安装了必要的措施,因此这次他们的防御是充分的和对威慑将没有什么可怕的了。
5.威慑能力能够被用于反作用力吗?
反作用力有时具有“二等奖”的特征:我们建立了一种能力,但它并不能起作用;我们不得不使用它,但是至少通过使用,我们减少了其他对手破坏我们的能力。在网络威慑中并不存在那样的“二等奖”,除非是对手愚蠢到在自己的网络上建立起网络攻击的能力,这样的网络将在随后被肢解,但想要肢解其网络攻击能力却几乎不可能。网络攻击依赖于睿智的黑客,丰富的情报,有用的工具和一些与目标的连通,仅仅后者能够通过网络攻击进行肢解。后者的反应即不连通却意味着另一种矛盾。为了切断攻击者与目标的连通却需要切断目标与整个世界的连通,因为攻击者实际上能够从任何地点发起攻击。因此当网络战士们不得不对第二次打击能力进行担忧时,无疑这样一种能力更多被其自身攻击所带来的后果所减少,而不是被对手发起的攻击。与核战争相比这根本不需要详细阐述。
6.我们能够把战争限制在两者之间吗?
威慑依赖于通信技术,通信技术需要有足够地清晰度来区分良好行为(使其单独运行)与恶意行为(受到伤害)的结果。区分原因和结果越困难,信息就越模糊,针对这一点,每个决定的判断都不是根据它所带来的反应,而是基于更小的事件,即是否暴力的后果比产生的结果值得。一旦第三方,以他们众多的动机,进行混合,信息的清晰度将遭受巨大的影响。一项针对目标的报复行为可能产生后续的来自第三方的攻击。第三方并不可能像国家那样拥有深厚的情报能力能够使得它们指向特殊网站,但是可能拥有更睿智的人员从而找到漏洞之所在。来自第三方的攻击,如果没有其它的情况,将会使得报复者难以发现目标从而不能进行惩罚以及计数器(the counter)将被重置。(我们将驻足观看是否你已经学会了课程不会再这样做了。)相反,没有控制战争升级的能力确实能够传递这样一种信息:“不要开始,因为没人知道这将会在哪里结束。”
7.威慑是否正向我方传递错误信息?
大多数的美国公共设施所依赖的基础设施,例如:银行、电力和通信等,都由私人占有和操控。确保这些基础设施系统的运行安全以免破坏和瓦解是一项责任并且只能由系统操纵者来履行。威慑政策把焦点集中于攻击者而不是系统所有者,而后者未能履行公共职责。虽然未受到法庭的控告,但是系统所有者可能隐藏自己以免遭受控诉,并声称网络攻击是战争行为,因此应受针对第三方的不可抗力(force majeure)的保护,甚至在网络空间中根本不存在作为强制进入的那样的事物。
8.避免战争升级
人们普遍认为核交换(nuclear exchange)已经使得各方到达了核战争危机升级阶梯(the escalation ladder)之顶。当然,对于所有其它的冲突形式不仅仅如此。确实如此,任何形式的暴力冲突都可能被认为是来自网络攻击的战争升级,然而却是令人不快的。因此人们关心的是:如果实际上为了显示巨大的不满而不是对事件失去控制而采取报复行为来应对网络攻击,另一方能够有相同的对抑制战争的需求,对此我们有足够的自信么?举个例子来说,俄罗斯就已经发表了相反的说辞:任何对它实施的网络攻击都将上升到战略层次,并可能使用其它形式的战略手段(暗指核武器)进行反击。有人可能认为战争升级的威胁是为了保持优势地位,但是这样一种姿态,虽然是符合逻辑的,并不能完全排除于网络报复相关的危险,然而这可能看起来是正当的行为(无论何时都会对谁发动了攻击或者是否攻击逾越了合理的标准而产生怀疑)。
结论
威慑是困难的,当我们要应对网络空间的不确定性时,这将变得更加困难。从历史上来看,一般而言战争能够根据陆地的使用和敌人解除武装的情况来确定规模。而相反,威慑成功与否是基于对方相信的程度。至少一方要制定规则,并把这些规则传达到敌人那里,使其确信你想要从正反两种情况下对其施加影响。在核威慑以及其前身例如大规模空袭之下,威慑包含了许多原始的恐惧元素。网络空间中的报复威胁不会造成直接的有形危险,恐惧的因素是微弱的。
有效地影响系统的运行需要有高度的清晰性,因为可能要施加一种双重信息:不好的行为将会受到惩罚,反之将会得到奖赏(至少不会被惩罚)。不确定性仿佛是噪声,噪声会对信息造成损害。探测这些损害的真实来源以及网络空间的攻击者是谁,这是困难的,并且没有什么用处。是否报复会在合适的层次上施加影响,能够被充分地关注并不会被视为有所增加,这也被认为是没有什么用处的,人们对这两方面存在疑虑。关于攻击的动机和另一方的系统运行情况的不确定性使得这一切都没有任何作用。
所有这些并不是说威慑,如前所述,是一个无效的概念。它能够有效。可能存在这样的情况,其中一些建立网络威慑的尝试总是难以达到,显著地表现在攻击者实际上使你不敢进行反击。但是这里理论和现实的差距是宽广的并且必须要认真地被逾越:即通过度量两次再实施。 |