近日,英国《2021年国防评论》关于在网络空间适用核威慑理论(动用核武反击网络攻击)的声明引发了网络安全行业的广泛争议。
《评论》指出,英国不会对1968年《不扩散核武器条约》(NPT)的任何无核缔约国使用核武器。但随后又补充道:“如果大规模毁灭性武器的未来威胁(例如化学和生物能力或可能产生类似影响的新兴技术)构成必要条件,我们保留审查此保证的权利。”
《评论》还明确指出,“网络”被认定属于(上述核反击条件中的)“新兴技术”。这是否意味着英国将考虑对严重的网络攻击做出核攻击反应?
早在2018年,英国国防部国防情报局局长马歇尔·菲尔·科林斯(Air Marshall Phil Collins)曾表示,英国的网络战立场是:“应该首先了解(情况),再做出决定,然后在必要时首先在物理和虚拟环境中采取行动,以确保决策优势和行动优势,以寻求迅速而可控地利用漏洞并主动遏制威胁。”
大约在同一时间,英国总检察长杰里米·赖特(Jeremy Wright)表示:“英国认为,很明显,可造成与武装袭击同等规模的死亡或毁灭性损失的网络行动将触发《联合国宪章》第五十一条赋予的可采取自卫行动的固有权利。”
两位官员的公开发言清楚地表明,英国认为它有权对网络攻击做出激烈反应,并且这种反应可以是先发制人的。《防务评论》的最新声明扩大了这一立场,使其包括了动用核武反击网络攻击的可能性。
核威慑的介入似乎是网络战争的重大升级,但此类声明是否值得认真对待呢?
网络战的核反击红线
可能引起英国激烈反应的关键词似乎是“可造成与武装袭击同等规模的死亡或毁灭性损失的网络行动”。这实际上意味着,那些对水、电力、医疗保健或金融等一个或多个关键行业的工业控制系统(ICS)和可编程逻辑控制器(PLC)实施的破坏性攻击,都有可能符合《评论》所定义的(与武装袭击等效的)网络战。
网络战离我们并不遥远
现实情况是,可造成物理和人员伤害的网络攻击并不新鲜,而且越来越普遍。第一个(也许仍是标志性的)行为是Stuxnet震网病毒对伊朗Natanz核设施的攻击,业界通常认为是美国和以色列在网络空间的联合行动,Stuxnet在2010年摧毁了大约1000台离心机。
2016年,(被认为)来自俄罗斯的恶意软件在基辅、乌克兰和周边地区造成大停电。
2017年,Triton/Trisis恶意软件差一点导致沙特阿拉伯Tasnee石化公司发生严重爆炸。攻击者首先入侵了IT网络,然后从那里穿越到OT网络。Tasnee既没有足够的网络分段功能,也没有足够强健的身份验证程序,也没有足够的可见性来防止或检测被攻击的IT或OT网络。
2019年,无人机对沙特的石油设施发动了物理攻击,造成大火并导致该国一段时间内损失了约一半的原油产量。尽管没有得到官方确认,但通常认为这些袭击是伊朗策划的。
2020年,以色列警告说,有组织企图攻击污水处理厂、泵站和污水控制和监视系统。攻击可中断供水,或通过增加化学添加剂使其超过安全水平导致中毒,可能会导致广泛的危害。
业界人士指出,三大趋势增加了大规模关键基础设施网络攻击的可能性:
第一大趋势,是地缘政治紧张局势(尤其是中美在亚太地区)正在加剧:
- 俄罗斯则随着能源财富的快速增长而变得越来越好战;
- 英国退欧后撤军,削弱了欧盟;
- 而美国正在试图从特朗普执政期间的不正常外政策中恢复过来。
第二大趋势是第四次工业革命的增长。将IT和OT分开防护越来越困难——这使得攻击(无论是偶然的还是有意的)穿透互联网和工厂之间的“间隙”的变得更加容易,成功率更高,破坏性也更大。
第三大趋势是关键基础设施之间的相互依存度越来越高。“对一个关键基础设施持续时间超过72小时的任何网络攻击都会对其他基础设施造成连锁影响,并且这些影响可能是巨大的,可与自然灾害相比(考虑到卡特里娜飓风的后果)。”New Net Technologies(NNT)安全研究全球副总裁迪克·施拉德(Dirk Schrader)警告说:
针对关键基础设施的重大网络攻击不是能否的问题,而是何时发生的问题。
国防评论的其他“亮点”
英国国防评论(下载链接在文末)中还有另外两条值得关注的评论。该评论相当详细地讨论了英国的网络实力,声称英国是“世界第三大网络国家,在国防、情报、规范和进攻能力方面均排名第一。”
《评论》还讨论了国家网络部队(NCF)“发现、破坏和阻止对手的新能力。NCF编入了来自GCHQ和MOD的人员,以及秘密情报局(SIS)和国防科学技术实验室(Dstl),这是上述人员和机构首次在一个统一机构指挥下行动。除了MOD的运营专业知识,Dstl的科学技术能力和GCHQ的全球情报外,SIS还提供了招募和运营代理商的专业知识以及提供秘密运营技术的独特能力。”
《评论》中提及网络归因的内容篇幅很小。但是,NCF将传统信息收集(间谍工作)与GCHQ结合起来意味着将网络和物理数据收集结合起来。NCF在声明中补充说,英国将“提高其在物理领域或网络空间以及军事或非军事性质的国家威胁范围内对侵略行为进行侦测、理解、归因和行动的能力。强化了这样一种观念,即英国将知道谁对其发动了攻击,并将做出回应。
核反击的可能性
然而,核心问题仍然是,英国动用核武器反击网络攻击的可能性有多大。这其中最大的危险(或者说不确定性)是攻击能否准确归因。大多数网络专家建议,没有组织可以100%通过在线检测准确归因在线攻击者。更为精确的情报来自GCHQ和“五眼联盟”的那种老式电话监控。英国表示将会在侵略者评估中将这两种情报来源结合在一起。
Attivo Networks的首席技术官Tony Cole认为,数字证据和来自情报收集设备的数据的结合“可以提供关于攻击者的清晰的,高可信度的信息,并且可以全面了解其战术,技术和程序。”但是,由于担心将收集方法泄漏给其他民族国家,因此不大可能公开其物理证据,从而使攻击者可以自由否认参与任何攻击。
意外的“网络战”?
网络空间的核威慑论还牵涉到其他一些界定问题。例如是否可以区分网络犯罪集团和与之偶尔有松散关系的政府?那些意外产生大规模严重后果的勒索软件攻击是否属于网络战范畴呢?
“2017年,英国国家医疗机构NHS遭受WannaCry袭击,这种袭击的后果无疑是毁灭性的,”Schrader问道:“这是否可被视为核反击触发事件?此外,由民间勒索软件组织进行的大规模攻击是否也算呢?此类出于经济利益的攻击也可能产生严重的意外后果,例如在电网内部产生连锁效应……”
激活核反击是一种极度危险的做法,英国政府的政策可能纯粹只是一种威慑和恫吓。该政策中有很多模棱两可的地方,但必须确保认真对待它——的确应该做到这一点。例如,如果情报显示一个主要的对抗国正在进行先发制人的网络打击以削弱英国的自卫能力,那么来自英国潜艇的核打击是唯一可行的选择。《国防评论》说:“不要这样做,我们会加倍努力。”
总结
英国的盟友也许希望能在这项政策公布之前加入其中,其他国家可能已经私下采用了这项政策,但英国是第一个公开发布该政策的国家。施拉德警告说:“真正的危险是,网络空间的核威慑也同样适用于其他核大国,其中一些核大国可能会毫不犹豫实施同样的政策。”
VMware网络安全战略负责人汤姆·凯勒曼(Tom Kellermann)解释说:“将核威慑理论应用于网络空间的挑战是,这将是一个自由开火区,有许多国家和非国家行为者参与其中。只有在可以辨别敌人,并且他们是理性的行动者时核威慑理论才有效,而事实并非如此。”
参考资料
英国国防评论:
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/969402/The_Integrated_Review_of_Security__Defence__Development_and_Foreign_Policy.pdf
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】