《2021年國防授權法》與美軍網路戰略動向
網路安全與決策推演所 謝沛學助理研究員
關鍵字:國防授權法、網路作戰、前進防禦
關鍵字:國防授權法、網路作戰、前進防禦
近期美國兩院所通過的《2021年國防授權法案》(FY 2021 National Defense Authorization Act),包含了數項與美軍網路戰略相關的條文,在美國聯邦政府屢遭外國網路入侵之際,格外引人注目。從幾個關鍵的條文來看,在可預見的未來,五角大廈仍將維持主動進攻的態勢,以反制針對美國及其盟友的先進持續性的網路威脅(advanced persistent threat, APT)。本文將首先探討美國近年來網路戰略朝主動進攻的態勢轉向,並討論《2021年國防授權法案》如何回應與支持此種新的戰略態勢,以及為何延續主動的態勢將是美國新政府較為可能的網路戰略走向。
「持續接戰」: 川普政府的網路戰略遺緒
儘管過去二十年多來美國試圖建立在網路空間的作戰與反制能力,例如2009年便設有「網路司令部」(USCYBERCOM),並轄有133個「網路任務部隊」(Cyber Mission Forces)。華盛頓對於「網路攻擊」此類灰色地帶威脅,長期以來採取被動防守姿態,甚至受制於反恐任務的重擔而顯得力不從心。川普上台後則有了明顯的轉變,開始以先發制人的手段,反擊網路攻勢。川普政府於2018年公布之《國家網路戰略》(National Cyber Strategy)揭示了美國最新的網路作戰概念:「持續接戰」(Persistent Engagement),即「美國網路作戰單位應該在網路空間與對手保持對抗,甚至以先發制人的攻擊,讓對手疲於奔命,必須把資源用於防守美國的主動進攻」。[1]在「持續接戰」的主動進攻態勢之下,美國國防部更於《2018年國防部網路戰略》(2018 Department of Defense Cyber Strategy)中,提出所謂的「前進防禦」(Defend Forward)以及「前進追捕」(Hunt Forward)概念。前者代表直接將戰場拉到敵人境內,針對網路入侵者進行「源頭打擊」; 後者則是美國網路司令部向盟友派遣支援團隊,在協助友盟加強網路防護的同時,掌握潛在對手的網路攻擊手段及戰術。[2]美國近年來已數度派遣網路部隊前往烏克蘭、愛沙尼亞與蒙特尼哥羅等國,協助當地政府防禦來自俄羅斯的網攻,並藉此對俄國駭客的戰術進行剖析與情資蒐集。[3]
主動進攻的網路戰略態勢已成國會兩黨共識
儘管川普任內施政時有爭議,其所推動的網路戰略卻為國會兩黨所接受,並反應在歷年的國防授權法。例如,《2019年國防授權法》便明定,當美國遭受來自中國、俄羅斯、北韓或伊朗的「積極的、系統的和持續的」安全威脅,美國網路司令部可以採取「攻勢」以扼制敵人的作為。網路作戰的發動權限亦下授至網路司令部,不必再由總統或國防部長作最後定奪,增加了美軍網路作戰的靈活性。[4]
《2021年國防授權法案》亦有多項條文用以推進「持續接戰」概念的執行。例如,第1706節的條文,要求美國防部仿效《四年期國防總檢討》,向國會提交一份「四年期網路態勢總檢討」(the Quadrennial Cyber Posture Review),針對美軍「網路任務部隊」進行全面評估,是否已具備執行「持續接戰」與「前進防禦」戰略所需的人力、能力、設備、資金等。第1720節的條件則要求五角大廈在2021年4月1日前制訂標準化全面框架,旨在增進網路「前進追捕」行動的一致性、執行與效率。這一條款說明了美國國會對網路司令部展開「前進追捕」與「前進防禦」這類具主動進攻態勢的網路行動之認可。
第1702節條文則是修改了針對敏感軍事網路行動需要向國會報告的範圍。此前五角大廈只要在美國本土之外進行網路行動,皆被歸為敏感軍事網路行動,需要向國會進行報告。新的《國防授權法案》則修改為只有當進攻性網路行動係針對「外國政府或國外恐怖組織」時,才是需要向美國會報告的敏感軍事網路行動。這一條款意味著進一步鬆綁美軍在海外執行網路攻擊的限制,未來無需通報國會,就可針對不具有官方背景的實體,例如勒索軟體組織等進行打擊。[5]
嚇阻的侷限性或迫使美新政府延續川普的網路戰略
過去歐巴馬政府的網路政策基調屬「被動回應」。例如,2015年《國防部網路戰略》(2015 DOD Cyber Strategy)揭示,只有在網路攻擊對美國國家利益造成「重大後果」(cyber attacks of significant consequence),並由總統或部長下令,五角大廈才會展開網路行動。[6] 歐巴馬甚至在2015年與習近平會面時,寄望透過高層之間的君子協議,促使北京自主扼制中國駭客對美國的網攻。由於拜登新政府團隊成員多為歐巴馬時期的舊人,美國不無可能改回「被動消極」的路線,冀望增強在網路防護與反制的能力,便足以「嚇阻」潛在進攻方。
然而,由於嚇阻的諸多要件難以在網路空間重現,例如「能否對攻擊行為進行溯源」(attribution),以及「防守方擁有的報復能力與意願必須清楚無誤的傳達給潛在進攻方」(signaling)等。「先發攻擊」是網路領域賽局的「優勢策略」,行為者極欲避免成「後發受制於人」的輸家。簡言之,在攻擊行為溯源的高難度及致命程度十份輕微等條件下,網路嚇阻無法達到過去冷戰時期核武相互保證毀滅的戰略穩定效果。這也是為何即便持續加強對網路防護能力的投注,近年來美國仍逐漸轉向先發制人的戰略,以求維持在網路領域的優勢。
身兼「美國網路空間日晷委員會」(Cyberspace Solarium Commission)主席,並主導此次《國防授權法案》關於網路戰略條文修訂的參議員金恩(Angus King),亦強烈主張美國必須維持主動進攻的網路戰略,並持續提升相關能力。[7]其理由便是被動回應無法嚇阻入侵,唯有主動進攻,才能產生效果。即便主動進攻的態勢無法全面嚇阻對美國的網路攻擊,卻能施加報復性的打擊,讓入侵者付出應有的代價。
因此,在國會的壓力與網路空間不容坐以待斃的客觀條件下,可預期拜登新政府在一定程度上,將延續川普的網路戰略。五角大廈亦可能對入侵者發動網路打擊,作為近期美國聯邦政府IT系統商SolarWinds遭駭事件的回應。正如同美國網路司令部在2018年期中選舉期間針對俄羅斯網路研究局(Internet Research Agency)的網路阻斷攻擊,以及2019年6月網路癱瘓伊朗的導彈發射系統,報復俄羅斯對美國大選的介入,及伊朗在阿曼灣擊落一架美軍RQ-4A無人機。[8]
「持續接戰」: 川普政府的網路戰略遺緒
儘管過去二十年多來美國試圖建立在網路空間的作戰與反制能力,例如2009年便設有「網路司令部」(USCYBERCOM),並轄有133個「網路任務部隊」(Cyber Mission Forces)。華盛頓對於「網路攻擊」此類灰色地帶威脅,長期以來採取被動防守姿態,甚至受制於反恐任務的重擔而顯得力不從心。川普上台後則有了明顯的轉變,開始以先發制人的手段,反擊網路攻勢。川普政府於2018年公布之《國家網路戰略》(National Cyber Strategy)揭示了美國最新的網路作戰概念:「持續接戰」(Persistent Engagement),即「美國網路作戰單位應該在網路空間與對手保持對抗,甚至以先發制人的攻擊,讓對手疲於奔命,必須把資源用於防守美國的主動進攻」。[1]在「持續接戰」的主動進攻態勢之下,美國國防部更於《2018年國防部網路戰略》(2018 Department of Defense Cyber Strategy)中,提出所謂的「前進防禦」(Defend Forward)以及「前進追捕」(Hunt Forward)概念。前者代表直接將戰場拉到敵人境內,針對網路入侵者進行「源頭打擊」; 後者則是美國網路司令部向盟友派遣支援團隊,在協助友盟加強網路防護的同時,掌握潛在對手的網路攻擊手段及戰術。[2]美國近年來已數度派遣網路部隊前往烏克蘭、愛沙尼亞與蒙特尼哥羅等國,協助當地政府防禦來自俄羅斯的網攻,並藉此對俄國駭客的戰術進行剖析與情資蒐集。[3]
主動進攻的網路戰略態勢已成國會兩黨共識
儘管川普任內施政時有爭議,其所推動的網路戰略卻為國會兩黨所接受,並反應在歷年的國防授權法。例如,《2019年國防授權法》便明定,當美國遭受來自中國、俄羅斯、北韓或伊朗的「積極的、系統的和持續的」安全威脅,美國網路司令部可以採取「攻勢」以扼制敵人的作為。網路作戰的發動權限亦下授至網路司令部,不必再由總統或國防部長作最後定奪,增加了美軍網路作戰的靈活性。[4]
《2021年國防授權法案》亦有多項條文用以推進「持續接戰」概念的執行。例如,第1706節的條文,要求美國防部仿效《四年期國防總檢討》,向國會提交一份「四年期網路態勢總檢討」(the Quadrennial Cyber Posture Review),針對美軍「網路任務部隊」進行全面評估,是否已具備執行「持續接戰」與「前進防禦」戰略所需的人力、能力、設備、資金等。第1720節的條件則要求五角大廈在2021年4月1日前制訂標準化全面框架,旨在增進網路「前進追捕」行動的一致性、執行與效率。這一條款說明了美國國會對網路司令部展開「前進追捕」與「前進防禦」這類具主動進攻態勢的網路行動之認可。
第1702節條文則是修改了針對敏感軍事網路行動需要向國會報告的範圍。此前五角大廈只要在美國本土之外進行網路行動,皆被歸為敏感軍事網路行動,需要向國會進行報告。新的《國防授權法案》則修改為只有當進攻性網路行動係針對「外國政府或國外恐怖組織」時,才是需要向美國會報告的敏感軍事網路行動。這一條款意味著進一步鬆綁美軍在海外執行網路攻擊的限制,未來無需通報國會,就可針對不具有官方背景的實體,例如勒索軟體組織等進行打擊。[5]
嚇阻的侷限性或迫使美新政府延續川普的網路戰略
過去歐巴馬政府的網路政策基調屬「被動回應」。例如,2015年《國防部網路戰略》(2015 DOD Cyber Strategy)揭示,只有在網路攻擊對美國國家利益造成「重大後果」(cyber attacks of significant consequence),並由總統或部長下令,五角大廈才會展開網路行動。[6] 歐巴馬甚至在2015年與習近平會面時,寄望透過高層之間的君子協議,促使北京自主扼制中國駭客對美國的網攻。由於拜登新政府團隊成員多為歐巴馬時期的舊人,美國不無可能改回「被動消極」的路線,冀望增強在網路防護與反制的能力,便足以「嚇阻」潛在進攻方。
然而,由於嚇阻的諸多要件難以在網路空間重現,例如「能否對攻擊行為進行溯源」(attribution),以及「防守方擁有的報復能力與意願必須清楚無誤的傳達給潛在進攻方」(signaling)等。「先發攻擊」是網路領域賽局的「優勢策略」,行為者極欲避免成「後發受制於人」的輸家。簡言之,在攻擊行為溯源的高難度及致命程度十份輕微等條件下,網路嚇阻無法達到過去冷戰時期核武相互保證毀滅的戰略穩定效果。這也是為何即便持續加強對網路防護能力的投注,近年來美國仍逐漸轉向先發制人的戰略,以求維持在網路領域的優勢。
身兼「美國網路空間日晷委員會」(Cyberspace Solarium Commission)主席,並主導此次《國防授權法案》關於網路戰略條文修訂的參議員金恩(Angus King),亦強烈主張美國必須維持主動進攻的網路戰略,並持續提升相關能力。[7]其理由便是被動回應無法嚇阻入侵,唯有主動進攻,才能產生效果。即便主動進攻的態勢無法全面嚇阻對美國的網路攻擊,卻能施加報復性的打擊,讓入侵者付出應有的代價。
因此,在國會的壓力與網路空間不容坐以待斃的客觀條件下,可預期拜登新政府在一定程度上,將延續川普的網路戰略。五角大廈亦可能對入侵者發動網路打擊,作為近期美國聯邦政府IT系統商SolarWinds遭駭事件的回應。正如同美國網路司令部在2018年期中選舉期間針對俄羅斯網路研究局(Internet Research Agency)的網路阻斷攻擊,以及2019年6月網路癱瘓伊朗的導彈發射系統,報復俄羅斯對美國大選的介入,及伊朗在阿曼灣擊落一架美軍RQ-4A無人機。[8]
[1] Terri Moon Cronk, “White House Releases First National Cyber Strategy in 15 Years,” Department of Defense, September 21, 2018, https://bit.ly/3ngFlGI.
[2] 原文為” to disrupt or halt malicious cyber activity at its source, including activity that falls below the level of armed conflict”, 見Mark Pomerleau, ” DoD releases first new cyber strategy in three years,” The Fifth Domain, September 18, 2018. https://www.fifthdomain.com/dod/2018/09/19/department-of-defense-unveils-new-cyber-strategy/.
[3] Shannon Vavra, “Cyber Command deployed personnel to Estonia to protect elections against Russian threat,” Cyber Scoop, December 3, 2020, https://bit.ly/2XciUYD.
[4] “National Defense Authorization Act for Fiscal Year 2019,” US Congress, August 13, 2018, https://bit.ly/38n2B1D.
[5] U.S. Congress, “National Defense Authorization Act for Fiscal Year 2021,” https://bit.ly/3okkF1Q.
[6] James E. McGhee, “Liberating Cyber Offense,” Strategic Studies Quarterly, Winter 2016.
[7] Cyberspace Solarium Commission是由《2019國防授權法》所明訂成立的委員會,其目的在於協助美國政府發展與制訂網路領域的重大戰略方針。目前由參議員Angus King(無黨籍,但加入民主黨團運作)與眾議員Mike Gallagher(共和黨)為共同主席。
[8] Mark Pomerleau, “The cyber teams that helped stop Russian election interference,” Fifth Domain, April 15, 2019. https://bit.ly/38gI8uZ; Sean Lawson, “What will be the effect of the latest US cyberattack on Iran?” Fifth Domain, October 23, 2019. https://bit.ly/2MxzIqJ.