美國網路作戰攻勢戰略之安全隱憂
2019.02.22
瀏覽數
101
壹、新聞重點
2019年2月11日,《華盛頓郵報》(The Washington Post)採訪了一百多位來自於公家機關、學術界,以及私人企業的網戰資安專家,針對2018年8月15日美國總統川普(Donald Trump)授權美國國防部長可自行命令美國網路司令部(United States Cyber Command)採取網路攻勢行動(offensive cyber operations)政策尋求看法。其中,有六成受訪者表示支持,認為積極阻止網路惡意行為的新政策具有嚇阻作用,對於網路司令部的主動性與戰鬥力,具有正面效果。另一方面,也有專家表示疑慮,擔心會有軍方不受政府文官領導與監督、給第三國家或盟友的基礎建設造成損害、影響民眾的隱私與安全、甚至促使其他國家採取網路攻勢戰略而使網路更加不安全等的可能性。[1]
貳、安全意涵
一、川普政府網路作戰戰略有別於歐巴馬政府
美國前任總統歐巴馬(Barack Obama)在2011年的《國防部網路作戰戰略》(Department of Defense Strategy for Operating in Cyberspace)確立「降低風險」(mitigate risk)政策,採取相對保守的網路戰略立場,宗旨為降低內部威脅與防止機密洩漏,以及減少民間供應鏈與基礎建設漏洞等,並要求軍方在進行重要網路作戰行動之前,須待政府高層討論後,方能賦予許可。相對而言, 2018年8月15日,川普政府授權國防部在「未達武裝衝突程度」(below the level of armed conflict)的條件下,不必經白宮許可便發動網路攻勢行動。2018年9月,美國國防部發布《國家網路戰略》(National Cyber Strategy of the United States of America)與《2018 國防部網路戰略摘要》(Summary of the 2018 Department of Defense Cyber Strategy),其中表明要反擊惡意的網路活動,以達到嚇阻作用。
美國現正面臨中美貿易戰、中國與伊朗的網路攻擊與智慧財產權盜竊以及俄羅斯干涉美國選舉的種種威脅,川普政府於此時採取以上的主動性政策,凸顯出美國行政部門對於國防部網路攻勢戰略的肯定,也聚焦於軍方的網路作戰能力。[2]未來將可能進一步制訂如網路攻勢行動、前進防禦(defend forward)、全面性的嚇阻(comprehensive deterrence)等戰略措施。
二、美國網路攻勢戰略可能牽連第三國家
一國政府在尋求全面性嚇阻的過程中,侵入他國的系統,將會急遽增加意想不到的跨國政治風險。網路作戰是一具有極大摧毀性與複雜性的高技術領域,而專家憂慮若國家採取更激進的網路作戰戰略,其所引發的附帶損害將波及與網路攻擊無關的國家或其他非國家行為者。例如,多數重大網路攻擊是透過設置於第三國家的代理伺服器(proxy)進行,其攻擊來源的辨識仍有相當的困難度;若分析有誤,極可能會造成第三方國家經濟損失,並造成基礎建設與網路服務供應商不應遭受的損害。此外,國際社會若無法在網路規範議題上建立共識,網路攻勢行動恐將進一步侵蝕國際間在網安領域的信任。
參、趨勢研判
一、網路攻勢戰略增加惡意軟體管理不善之風險
有關網路攻勢行動可能造成的問題,其中包含軍方在網路作戰中單方面行動所帶來的政治風險,也牽涉到技術性威脅。美國網路司令部與國家安全局若採取網路攻勢行動,極有可能將應用進階式持續威脅(advanced persistent threat, APT),此手段通常需要政府層面的大量資源、人力、技術知識等。然而,政府開發出如惡意軟體(malware)等網路作戰工具,恐會反受其害,也就是被駭客竊取之餘,被用來對美國或其他目標發動攻擊。[3]更具體地說,軍方或情報局所開發的網路作戰工具若因管理不善而被竊取或洩漏,後果將一發不可收拾。以永恆之藍(EternalBlue)為例,其為美國國家安全局開發的漏洞利用程序,2017年4月14日,被駭客組織竊取,在網路黑市上拍賣而被北韓買下,一個月後應用於WannaCry勒索病毒攻擊(ransomware),造成了全球40億美金的經濟損失。此案例顯示出,掌控網路作戰的困難度與管理不善的後果。[4]軟體開發者雖會利用電腦更新,來填補可能被駭客利用的漏洞,但惡意軟體快速的擴散,仍能在短時間內透過開發者未發現的漏洞來侵入多數的電腦系統,造成重大的損害。
二、網路攻勢行動使國際網路秩序更不易形成
亞斯本研究所(Aspen Institute)主任庫珀(Betsy Cooper)在接受《華盛頓郵報》採訪時警告,美國採取網路攻勢的戰略,將會促使其他國家政府與非國家行為者跟隨。2017年,美國聯邦眾議員格拉維斯(Tom Graves)與希尼瑪(Kyrsten Sinema)提案,建議政府授權美國私人企業針對駭客攻擊進行反擊(H.R.4036 - Active Cyber Defense Certainty Act),目前仍未通過。同年,美國喬治亞州州議會提出類似的草案,卻被州長否決。[5]2018年11月13日,美國國防部副助理部長威爾森(Burke Edwin Wilson)因擔心國際網路規範再度惡化,勸告美國私人企業若受到網路攻擊,不可採取反擊手段。非國家行為者是否有權對國外駭客進行反擊目前未有定案。由此來看,此議題是一個牽扯到國內法與對外政策的政治難題,各國態度也未達一致。非國家行為者若對付網路攻擊採取反擊手段,極有可能會出現連環性報復的現象,造成惡性循環。
[1] Joseph Marks, “The Cybersecurity 202: Trump gave the military freer rein for offensive hacking. Security experts say that’s a good idea,” The Washington Post, February 11, 2019, https://www.washingtonpost.com/news/powerpost/paloma/the-cybersecurity-202/2019/02/11/the-cybersecurity-202-trump-gave-the-military-freer-rein-for-offensive-hacking-security-experts-say-that-s-a-good-idea/5c607a571b326b66eb098678/?utm_term=.fb703fb45f1f
[2] Nicole Perlroth, “Chinese and Iranian Hackers Renew Their Attacks on U.S. Companies,” The New York Times, February 18, 2019, https://www.nytimes.com/2019/02/18/technology/hackers-chinese-iran-usa.html
[3] Brad Smith, “The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack,” Microsoft on the Issues, May 14, 2017, https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/#sm.0000mpb068eggcqczh61fx32wtiui
[4] Jonathan Berr, “‘WannaCry’ ransomware attack losses could reach $4 billion,” CBS News, May 16, 2017, https://www.cbsnews.com/news/wannacry-ransomware-attacks-wannacry-virus-losses/
[5] Jacqueline Thomsen, “Pentagon cyber official warns U.S. companies against ‘hacking back’,” The Hill, November 13, 2018, https://thehill.com/policy/cybersecurity/416494-defense-cyber-official-warns-private-companies-against-hacking-back