2007年9月,在爱达荷州一个偏远的实验室里,研究人员开始表明,这一图景已经开始发生巨大而不可逆转的变化。研究人员的项目被称为“极光”(Aurora),展示了网络黑客摧毁物理设备的能力——在这个项目中,一个用于为电网发电的发电机。奥罗拉的研究将一个国家的人身安全和防御网络世界攻击的能力问题推向了最前沿。在接下来的三年里,这一艰难的讨论在很大程度上仍将只是一场讨论,在华盛顿的角落里,在美国各地的学术会议上,即使充满激情,也只是一场深思熟虑的讨论
第一个戏剧性的图像,发电机摇晃和喷出的烟雾是生动的,足以迫使消息灵通人士开始考虑这样的攻击在现实世界中发生的影响。我们开始设想对美国基础设施的大规模袭击可能会导致持续数月的停电,污染我们的供水,并造成工业灾难。忘了Facebook吧——我们开始担心自己是否有能力让灯继续亮着。
2010年,出现了Stuxnet蠕虫病毒该研究采用了从极光研究中推断出的假设场景,证明它不仅已经完成,而且还被释放并在网络空间中旅行而未被发现。蠕虫携带着Aurora的所有潜在结果,由打包的自治代码触发。现在,风险是真实的,而且变得非常明显。[编者按:请阅读阿桑特在国会就Stuxnet病毒作证的全文(PDF、注册要求)。)
这是我们第一次在公共论坛上读到一个现实世界的场景,远程计算机的攻击会导致物理后果。在我们的脑海中,化学加工厂冒出的有毒蒸汽和全国各地发电厂发生的一系列爆炸的画面开始清晰起来。
(也看到罗马引水渠能教会我们保护电网的四件事作者:Assante和Mark Weatherford
网络威胁的这种新“面孔”,打破了我们认为网络安全仅局限于“网络”世界的观念。它将某些类型的计算机攻击提升到决策的更高层次民族国家把传统上的执法问题变成了军事和情报部门的问题。在Aurora和Stuxnet之前,领导者可以忽略或容忍大多数网络攻击,选择悄悄地进行调查,并采取长期努力,提高人们的意识,在计算机生态系统中培养更负责任、更有能力的参与者。当我们考虑到网络安全威胁时,我们大多数人都很容易将头条新闻视为例行公事。病毒、身份盗窃、维基解密,甚至大规模的金融诈骗都是我们日常用语的一部分,被理解为我们在网络上生活不可避免的后果。我们都认识到这些风险的存在,成本可能是相当大的,但是,毕竟,我们喜欢我们的电子邮件,我们喜欢脸谱网在美国,我们喜欢即时获取几乎所有东西的便利。我们仍然每天早上开车去上班。
网络风险,通常是一种看不见的威胁:看不见的,往往是察觉不到的,并被社会吸收为一种不可避免的邪恶,伴随着互联网带来的巨大进步。这些威胁很少会以让我们感到害怕的方式发生——更少会以一种我们开始认为政府、更不用说军事干预是必要或适当的方式发生。尽管信息和货币价值的损失是非常真实的,并最终产生物理的、“现实世界”的影响,但它们缺乏利用人类对真实危险的感知的生动性。当然,总统可以认识到不利的情况,并对许多导致窃取资料或对各组织造成经济损失的行为表示遗憾,但他们并不觉得必须利用国家权力的工具,以公开的方式直接作出反应。网络上的努力可以留给全国各地的专业人士,以非实时的方式处理,没有必要的严重性来质疑人民对其领导人的信心。Stuxnet改变了这一规则,使网络威胁成为一个明确而现实的危险。
Stuxnet已经向总统和其他发达国家的领导人传递了一种可能性,即他们可能会面临一场网络攻击,而这种攻击需要利用国家力量的工具进行实时响应。在发布的《网络空间国际战略》(International Strategy for Cyber Space)中,白宫明确传达了针对网络攻击的国家安全原则,这些攻击对公共安全构成了这种可识别的危险。该文件称:“自卫权:根据《联合国宪章》,国家拥有内在的自卫权,这种权利可能由网络空间的某些侵略行为引发。”美国的国防目标明确表示:“美国将与其他国家一道,鼓励负责任的行为,反对那些试图破坏网络和系统的人,劝阻和威慑恶意行雷竞技比分为者,并保留在必要和适当的情况下捍卫这些重要国家资产的权利。”
这种采取防御行动的权利也将延伸到友好国家,“当有必要时,美国将对网络空间的敌对行为作出回应,就像我们对国家面临的任何其他威胁一样。”雷竞技比分所有国家都拥有固有的自卫权利,我们认识到,根据我们与军事条约伙伴的承诺,通过网络空间进行的某些敌对行为可能会迫使我们采取行动。在符合适用国际法的情况下,以保护我们的国家、我们的盟友、我们的合作伙伴和我们的利益。为此,我们将尽一切可能采取军事行动;将仔细权衡采取行动的代价和风险与不采取行动的代价;并将以反映我们的价值观和加强我们的合法性的方式行事,尽可能寻求广泛的国际支持。”
白宫明确表示,它正在制定一种威慑和可信回应的战略,这种战略将依赖于将某些行为视为执法问题,对威胁行为者产生真正的后果,而将其他行为视为可能导致军事回应非法的国家安全问题。这种对网络攻击的军事反应的概念,包括使用暴力来保卫我们的国家,是由像Stuxnet这样的潜在攻击明确和呈现的后果和危险的直接结果。
除了明确的威慑和军事报复政策外,这些类型的攻击也为强有力、连贯一致的国内政策提供了理由,以确保这些威胁在我们的整个关键基础设施中得到充分保护。如今,激励机制并不能让企业所有者针对这些风险做出合理的投资决策,导致系统和资产缺乏保障。许多人呼吁为所有关键基础设施建立一个强有力的监管框架,以降低成功攻击的可能性,并提供管理类似stuxnet的攻击的能力。
监管最终将是必要的,但我必须分享我最近在电力系统网络安全标准方面的经验。这些标准使行业两极分化,并对高度动态且不完全了解的风险领域施加了合规要求。结果是一种有意识的、不可避免的退步合规/ checklist-focused方法为大容量电力系统的安全。管制虽然是必要的,但应重新评价和设计,以强调学习,使更合格的工作人员能够发展更大的技术能力,并阻止建立可预测和静态的防御。这需要时间,也不是一项容易的任务。
这一新的现实还需要澄清应急权力和当局,以应对和防御可能来自私人网络的此类攻击。促成这类行动的机制一直备受争议,许多立法提案被搁置或搁置。众议院军事委员会(House Armed Services Committee)主席霍华德?“Buck”McKeon(加州共和党人),在他对国防部的网络空间交战规则的评论中说,“由于网络战争的演变性质,在网络空间中构成传统军事活动的历史先例是缺乏的。”
[也读读乔治·休姆的书如果Stuxnet是一场网络战争,美国准备好回应了吗?]
作为一个国家,如果我们要决定如何做出正确的决定来应对网络安全威胁或攻击,特别是那些可能最终导致使用军事力量的威胁或攻击,我们有许多问题需要回答。什么需要这样的回应?当然,这是一个综合因素,包括我们对谁发动了袭击、为什么发动袭击以及他们未来的意图和能力的了解。但最终决定将取决于袭击本身的影响和影响。总统将面临这样一个问题:限制国家在一段时间内生产或供应某种产品的能力是否符合要求?当有问题的产品是一种维持生命的药物,供应短缺,或大城市停电,或水源受到污染时,这就不是一件小事。我们还必须与我们的无能作斗争,因为我们无法控制所有在美国领土上行动的行为者,或与我们利益有关的行为者,不让另一个国家鹦鹉学舌地做出合理回应。这些都是需要考虑的情况,并将其发展为威慑和可信回应的战略。
随着震网病毒(Stuxnet)和极光(Aurora)的出现,我们真正进入了网络安全的“坏新世界”——一个现在需要我们在最高层面关注的“坏新世界”。与过去不同的是,今天的头条新闻质疑我们国家“提供共同防御”的能力,并威胁我们公民的安全和我们的生活方式。网络安全的新面貌具有鲜明的物理影响,不再是需要暂停怀疑的电影剧本。
这件事的矛盾之处在于:我们已经学会如此轻易地忽略的风险,最终可能会让我们的社会付出比我们现在被迫防范的攻击更大的代价。中大型企业遭受网络攻击的平均成本令人担忧,但智力资本损失的长期影响令人震惊。这些实际成本提醒我们,任何国家战略都需要有效地跨越攻击范围,因为迄今为止,美国因类似stuxnet的攻击而付出的成本为零。
然而,这就是为什么以及如何让人感到被迫采取行动的本质。正是这些戏剧性的事件能够穿透我们自我欺骗的盔甲,引起我们的注意。我们不得不考虑所有网络攻击对我们的生产力、生存能力、竞争力和国家安全造成的难以评估的后果。我们必须发展出足够灵活的理论,以阻止千刀万剐的死亡,同时理性地阻止直接影响公共安全的更生动的袭击。
我们现在面临的困难是,必须建立一种审慎的防御体系,以应对影响我国竞争力和经济福祉的一连串攻击,以及目前已被阐明的将造成物质损害的攻击幽灵。明智的做法是,我们应该努力培养高技术和熟练的网络防御者,并找到使他们成为网络防御者的方法。坏的新世界不应该阻止我们部署和推动未来的技术,也不应该用以合规为重点的安全程序束缚我们的捍卫者的双手。我们必须睁大眼睛展望未来,认识到错误的鲜明和不那么鲜明的含义。
迈克尔·阿桑特是美国国家信息安全审查委员会(National Board of Information Security examiner)的总裁兼首席执行官,也是北美电力可靠性公司(North American Electric Reliability Corporation)的前首席安全官。
这篇题为“糟糕的新世界:网络风险和我们国家的未来”的文章最初是由首席信息官 .