 网络武器转让:意义、限制和影响  作者:Max Smeets,苏黎世联邦理工学院安全研究中心高级研究员,主要研究方向为网络战略、网络冲突、网络军事化等。 来源:Max Smeets, “Cyber Arms Transfer: Meaning, Limits, and Implications,” Security Studies, Vol.31, No.1, 2022, pp.65-91. 导读 一般认为,在网络场域中,国家的行为异于传统理解,但很少有人探讨在传统国际关系理论的解释下,这种特殊性究竟意味着什么。本文将研究重点放在网络军事化上,探讨了国家进行网络武器转让的独特动机,以及这如何改变国家的网络行为。网络武器是指以计算机代码、计算机软硬件系统等形式设计用来威胁、破坏或控制敌方网络信息系统的一类资源武器。作者认为,网络武器转让既可以指“攻击”和“工具”的出售,也可以包括战术技术的教学、人员调动和相关组织程序的共享。然而,“攻击”和“工具”的短暂性和可跟踪性削弱了国家进行网络武器转让的动力。只有在促进他国发展自己的进攻能力,而不会降低本国网络武器库效率的情况下,国家才有可能相信武器转让的价值。 作者还指出国家更容易在网络间谍行动中开展合作,这有利于解释“五眼联盟”在近年来的发展转型。相对于网络合作造成的风险,成员国在情报搜集和分析、开发工具分享、攻击特定目标方面的合作会带来更多好处。此外,本文还有利于为网络裁军提供更多有意义的视角,正如作者指出的,如果国际社会想控制进攻性网络能力转移带来的不稳定影响,就应该把重点放在人员和技能的扩散上。虽然关于网络武器转让还有很多问题需要进一步思考,如不同种类的网络武器转让会带来何种影响?美国对不同盟友进行网络武器转让的动机和方式存在何种差异?但本文的尝试性回答的确“照亮”了一个不容易察觉的“研究盲区”,为更多学者的深入研究提供了启发。 摘要 在网络领域进行武器转让的动机和机遇是什么?尽管学术界未能系统地回答这一问题,但有一个明确的解释对理解网络司令部和情报联盟的运行、北约在21世纪的运作和网络军备控制的可行性至关重要。首先,本文通过提出一个新的概念框架——“人-攻击-工具-基础设施-组织”(PETIO)——来理解进攻性网络能力的要素。其次,本文解释了在PETIO框架的不同要素下,网络武器转让的动机为何会产生差异。虽然“攻击”和“工具”可以被轻易复制,但它们的短暂性和操作跟踪的潜力意味着几乎没有动力能实际转让这些资产。国家间转让的动力是促进他国发展自己的进攻能力,即通过提供专业知识、基础设施和组织能力来适应和创新,因为这并不会降低本国网络武器库的效率。最后,本文认为与网络间谍合作相比,国家间进行武器转让的网络效应较弱,技术与工具的归属问题使国际网络武器的转让过程更为复杂。 引言 时至今日,大部分国家的网络司令部仍处在发展初期。随着各国致力于加强网络作战能力建设,它们寻求在这个新的战争领域中分担责任并开展合作。相关研究已探讨了国家如何利用代理人来开展网络行动、如何将开源工具应用到具体操作中、如何在灰色市场上提供客户服务,以及情报机构之间的联系等,但明显忽视了对网络武器转让的理论研究。同时,从事传统武器转让研究的学者也未关注到网络领域的特殊性。 本文主要探讨国家进行网络武器转让的动机,这不仅有利于理解各国如何提高军事网络能力和北约在网络领域中的作用,更有助于评估情报联盟行动和施行网络军控措施的可行性。在概念上,本文提出的PETIO框架有助于理解网络武器转让涉及的要素。在理论上,本文提出的观点主要有:一是在PETIO框架的不同要素下,国家进行武器转让的动机存在差异。只有两种情况下的武器转让才会惠及所有国家,即各国就资产共享部署的时间、目标和比例达成一致,或一项资产对武器供应国没有操作价值,但可以被武器接收国有效地部署。国家间武器转让最理想的动力是通过提供专业知识和基础设施,来促进他国发展自己的能力。二是与网络间谍能力相比,武器转让的网络效应较弱。这是网络效应操作的弊端、情报联盟对更多情报收集方式的排斥、武器供应国可以依托武器接收国的情报活动等多重作用导致的。三是网络空间中的归因动态为网络武器转让增加了更多复杂性。如果一个国家决定分享其部分能力或提供关于操作方式的见解,这可能会增加被另一个国家使用后产生错误归因的可能性。 PETIO概念框架 进攻性网络能力指的是行为体开展网络行动的能力,网络行动是一组将技术、技能和组织流程结合在一起,涉及目标捕获、有效载荷和交付等的相互关联的活动。要理解国家提高进攻性网络能力的要求,特别是一国的网络指挥和情报机构如何在网络空间中有效运作,就必须对国家网络能力的概念进行深度剖析。 其一,人(People)在国家网络能力建设中的作用至关重要。国家既需要精通网络技术的人员,如漏洞分析师、开发人员、操作人员、测试人员和系统管理员等,也需要战略思想家和战略设计师管理人力资源、联络国内国际机构、与媒体沟通,更需要法律专家参与培训、咨询和监督等。 表1 人力资源功能描述  其二,为了建立网络能力,领导人必须考虑如何攻击(Exploit)计算机系统中的漏洞来获取、升级和保持访问权限,这包括已修补的N日攻击、未修补的N日攻击和零日攻击。其中,已修补的N日攻击是针对已打过补丁的已知漏洞发起的攻击;未修补的N日攻击是针对未打过补丁的已知漏洞发起的攻击;零日攻击是针对未知漏洞发起的攻击。 其三,工具箱(Toolbox)是指一组用于创建、调试、维护或以其他方式支持其他程序或应用程序的计算机程序,其中最受关注的远程访问木马(RATs)是一种对目标计算机和网络进行管理控制的后台程序。为了使投资回报最大化,国家被激励去提供运作成功所需的最低限度的能力,这意味着它们更倾向于使用已知的漏洞和工具。进攻型网络组织也需要攻击工具来达到一定的效果或目的,这些工具的载荷差别很大,既可能是容易分发的轻量级文件,也可能有效载荷达到几兆字节。为网络司令部或情报机构建立一个工具库是困难且效率低下的。尽管为确保在需要时能迅速部署,早期的开发和储备是必要的,但工具往往必须针对特定目标和预期效果,特别是在行为体希望保证隐蔽性和稳定性的前提下,因此及时开发通常是必要的。此外,可使用的目标功能越多,自身消耗的成本越少。攻击者可能会使用一些外来工具进入目标网络,并通过其现有的基础设施来获得进一步的网络访问。 其四,国家和组织都需要利用基础设施(Infrastructure)来有效地开展网络行动。广义上来说,基础设施是实施进攻性网络行动的过程、结构和所需设施,并可被划分为控制型基础设施与预备型基础设施。前者是指直接用于运行操作的过程,包括钓鱼网站的域名、泄露的电子邮件地址、被滥用的技术等;后者是指准备实施进攻性网络行动的过程,这意味着国家需要明确进攻目标,寻找可以被当作目标的网络、节点、路由器或服务器,以及建立测试环境来对行动进行模拟评估等。 其五,组织(Organization)特征和过程会严重影响国家在网络领域的治理效果,因为这涉及有效的组织一体化、情报和军事活动的协调。活动的紧密协调有利于促进知识转化、代码和其他操作设施的再利用、借鉴过往经验与行动,以及为专业化提供资源等,也可能强化网络安全困境、增加暴露风险、使归因更容易等。对于建立标准操作程序和保持个人灵活性之间的矛盾,国家既需要保证行动的稳定性和可预测性,也需要为操作者营造灵活创新的环境。 网络武器转让的动机 只有在非常特殊的情况下,国家才有动力转让操作、维护或复制大多数网络的能力。相反,如果存在任何促进网络武器转让的动机,那将是允许其他国家适应和创新。 从本质上来说,“攻击”和“工具”是非常短暂的,这意味着它们在网络行动中被有效使用的潜力非常依赖时间。在所有条件相同的情况下,与间谍行动相比,在操作中具有强破坏性的攻击更容易被发现。同样,当一种工具被用于对付更高级的防御者时,它也更有可能被发现。因此,“攻击”和“工具”的短暂性使它们成为相近似的、互相构成竞争关系的产品。例如,多数情况下,一个国家的常规军事力量对他国相同的军事力量部署会产生较大影响。 “攻击”和“工具”也有可能带来两大影响:一方面,在遭受攻击后,维护人员有更多巩固防御的机会。这意味着只有两种情况下的武器转让才会惠及所有国家——各国就资产共享部署的时间、目标和比例达成一致,或一项资产对武器供应国没有操作价值,但可以被武器接收国有效地部署。另一方面,在相关国家使用这些资产攻击目标时,伙伴国知悉的可能性会提高。 此外,在转让“攻击”和“工具”的过程中,武器接收国仍然需要提高自身的“消化能力”,即通过组建运作团队、加强基础设施建设和建立组织机构来整合各种网络能力。 国家间转让的动力是促进他国发展自身进攻能力,即通过提供专业知识、基础设施和组织能力来适应和创新,因为这并不会降低转让国网络武器库的效率。 一个网络强国只会对一群精心挑选的伙伴国进行武器转让,也就是说,国家只相信这些在历史上与本国联系密切的伙伴国不会利用网络能力来对付自己。这一理念可以解释北约内部的武器转让动态,如自2012年以来,北约合作网络防御卓越中心(CCDCOE)都会举行年度“锁定盾牌”(Locked Shields)演习,以增强北约国家在实时网络攻击下防御国家信息技术系统和关键基础设施的能力;十字剑(Crossed Swords)演习也旨在锻炼各国在网络防御场景下的战术执行能力。 但涉及到具体行动部署时,北约也十分强调“主权网络效应”。成员国自愿向北约网络作战中心(CYOC)提供主权网络效应,既不会损害各国的网络能力,也有利于北约克服国家间武器转让的障碍,保证各国在联盟框架下开展联合网络行动。 网络间谍行动与网络效应行动的转让机制差异 出售间谍和监视工具的动机相较于转让网络武器的动机要强烈得多,原因是首先,间谍行动更不易被发现,因此用于操作的“攻击”和“工具箱”将有更长的寿命。其次是紧密的情报联盟也有必要消除冲突:为了延长情报搜集和秘密行动的时间,盟友们希望避免追逐相同目标、搜集相同情报和互相牵绊。实现跨地域和跨部门的情报平台共享,是克服这种潜在危险的有效途径。最后,无论是直接提供还是通过私人团体直接监控设备,各国都可以从中搜集到可用的情报。 网络武器转让和归因作用 根据赫伯特·林(Herbert Lin)的观点,网络归因至少有三层含义:(1)将恶意网络活动归因于一台或多台机器;(2)将恶意网络活动归因于特定行为体;(3)将恶意网络活动归因于最终负责的对手。攻击者和防御者的行动可以极大地影响这三个层次的归因动态。攻击者可以在高度匿名和貌似可信的推诿下进行操作,同时,攻击者可以转移防御者的注意力,这导致很难实现准确的网络归因。 事实也表明,各国都在结构层面上参与了“假旗行动”,如美国中央情报局下的UMBRAGE部门在入侵电子设备和系统时故意留下其他黑客组织的“痕迹”;2014年至2015年,一个名为“网络哈里发”的黑客组织控制了美国多个社交媒体账户,但最后调查指出,俄罗斯军事情报机构26165部队才是行动的“罪魁祸首”;俄罗斯74455部队也被指证在平昌冬奥会期间冒充朝鲜“拉扎勒斯”集团发动了网络攻击。 这些动态可能会使国家间网络武器转让的动力机制更加复杂。如果一个国家决定分享基础设施、恶意代码样本,以及对操作方式的理解,这可能会提高被错误归因的可能性。因此,这就削弱了共享(定制)工具或控制基础设施的动力。 然而,也应注意到,盟国在战术、技术和行动程序上的相似性可能会使受害国更难知道谁应该对攻击负责,这相应增加了受害国决定反击的复杂性和潜在成本。 展望 一个值得研究的场景是两个或多个国家决定分享他们的开发成果,而不是一个国家将开发成果出售或赠送给另一个国家。这种情况虽然无法消除短暂性的问题,但可能会带来一些特定好处。此外,也需要研究更短暂的武器转让形式,而不只是将其作为正式行动计划的一部分。例如,网络技术人员会通过参加黑客大会(DEFCON)、柏林OffensiveCon国际安全会议、渗透安全会议(Infiltrate Security Conference)等,就前沿技术开发、反向工程和漏洞发现等展开讨论和分享。这种知识转移也可能在更小规模的酒会或聚餐中进行。 词汇积累 网络武器转让 Cyber Arms Transfer 进攻性网络能力 Offensive Cyber Capability 零日漏洞攻击 Zero-day Exploits 主权网络效应 Sovereign Cyber Effects 网络归因 Cyber Attribution 网络间谍活动 Cyber Espionage Operations 译者:李航,国政学人编译员,外交学院国际关系研究所博士研究生,研究方向为国际安全与大国战略。 审核 | 赵怡雯 刘睿洁 排版 | 苏伊文 本文为公益分享,服务于科研教学,不代表本平台观点。如有疏漏,欢迎指正。  |
|
|
