各国“未雨绸缪”致网络安全陷入困境安全防御诱发“防御性入侵”

什么是“网络安全困境”？

古希腊历史学家修西底德斯（Thucydides）警告称，误解带来的冲突危险重重。当某个国家自我防御时，即使不对其它国家怀揣敌意，有时似乎也会构成威胁。其它国家察觉到这种威胁后，会采取措施予以响应，由此便会陷入不断升级的危险循环模式。修西底德斯写到，“雅典的崛起导致斯巴达心生畏惧，因此战争不可避免。”

这样的问题被称为“安全困境”。古代各国之间“未雨绸缪”，通过武力、财力相互制衡。我们的时代国与国之间本质上并没有改变，网络科技只不过将兵戎相见换成另一种形式。但是，网络安全带来一个全新挑战，其核心在于“最强”之国之间的关系。各国都在寻求保护国家安全的办法，同时还要向其它国家发出不惧怕攻击的信号。

美国华盛顿威尔逊中心全球研究员本•布坎南在《网络安全困境：国家之间的入侵、信任和恐惧》（The Cybersecurity Dilemma: Hacking, Trust and Fear Between Nations）也支持这一观点，这些国家并不总具有攻击性。相反，他们可能正是网络攻击的受害者，试图通过入侵行为解决自身问题。但被其它国家发现时，极可能不会将这种行为视为防御入侵。这种本来打算平息冲突和紧张局势，而非威胁国际和平而发起的入侵，便是“网络安全困境”。

安全防御诱发“防御性入侵”

2000年，美国计算机网络面临的其中一个最大威胁：他国入侵。NSA想出一个新代号 “拜占庭冥王”（Byzantine Hades）替代之前的TITAN RAIN，指代执行窃取机密、渗透机密信息、并对美国能力和竞争力构成最终威胁的黑客行为。

为了击退和防御该国黑客对美国计算机网络的入侵。“BYZANTINE CANDOR”发起的针对该次“他国入侵”的防御入侵，NSA的威胁行动中心的防御者寻求获取更多信息，他们向特定入侵行动办公室（简称：TAO）的网络专家寻求帮助，以收集这群黑客的“可操作情报”。

保护美国网络安全是一项大规模的秘密行动，单凭一点无法确认美国这次行为的真实性。直到斯诺登泄露了一个常被忽略的文件，这项美国的机密计划才被证实。

美国网络专家介入后迅速获取了该黑客使用的基础设施。一旦取得访问权，美国网络专家就能利用这些重点观察对手的行动。然而，TAO执行得更加彻底，他们掌握该国黑客发起行动的五台计算机。进而入侵了5名黑客，甚至随其操作人员回到虚拟基地，并获得大量对手活动的“优质数据来源。”

NSA分析此次获取的数据具有前瞻防御价值。这些数据包括该国入侵的“未来目标”，其中包括高级白宫官员、国家承包商雇员、美国政府雇员等；此外，还包括中国用来实施行动的源代码和新工具。NSA渗透的计算机还揭露了使用中的漏洞利用。实际上，NSA在BYZANTINE CANDOR这次行动中获得的情报足以指导并提升美国的防御工作。

这起事件涉及网络防御中的重要主题。该事件显示出对手的持续性、防御者的创造力、获取威胁可操作情报的挑战、以及网络架构和防御者（有能力利用这些信息）的必要性。

但是，该事件同时还强调人们经常忽略的重点：并不是每起入侵行动都以进攻为目的。一国对另一国发起入侵确实存在防御的理由。

一国对另一国发起入侵确实存在防御的理由。

增强防御可以采取多种形式：

侵入另一国，了解该国实施网络行动的控制与命令基础设施位置，使该基础设施的收发流量更易被阻止；
收集对手开发的恶意代码信息，让防御者开发定制的感染指标；
确定对手可能进入的方法和潜在目标，允许一国预先准备防御并将风险降到最低；
找到对手将要使用的零日漏洞，为防御者预留时间提醒厂商或保护自身系统；
......

防御性入侵的发展必然是主动入侵

时任美国总统奥巴马谈到这些方法时曾表示：

“缺乏数字通信渗透技术就没能力阻止网络威胁，无论是拦截针对股票交易的恶意软件，还是确保航空交通管制系统不被感染，或确保黑客不会将银行账号洗劫一空”。

NSA总法律顾问办公室（Office of General Counsel）前成员指出，获取数字对防御任务的关键信息—可提前拦截恶意攻击者攻击美国网络的计划。

防御者入侵获取的信息，可便于了解入侵者是否已进入系统内部。美国国家安全委员会（National Security Council, NSC）的网络安全协调员丹尼尔·迈克尔默认，入侵者及防御者响应的动机都需保密，对手知道的越少，入侵成功的机会就越大。

斯诺登泄露的其余文件证实，NSA收集这类数据用来执行秘密行动。这些文件描述了美国为收集情报和更好地保护网络而制定的一系列互相关联的复杂计划，并将其称之为“支持动态防御的外国情报”。收集的信息可以“破坏”NSA在全球核计算机上植入的恶意代码，利用这一点，NSA的其中一个节点可以发挥该信息（“将响应头注入到目标互联网”）的作用。NSA可以注入各种HTTP响应头，包括重置连接、发送恶意代码和重定向互联网流量。

同样，如果NSA提前获取对手的工具和间谍情报技术，就可以开发并制定对策来破坏别人的计划。信号情报机构向部署在NSA保护网络上的自动化系统提供即将发生的威胁信息。这个系统具有大量功能，包括阻止进入流量，向对手发送意外响应，减缓流量，达到欺骗对手让其看起来行动已经完成。这些防御功能经常用于应对大规模攻击。截止2011年，NSA已使用该系统阻止28类来自强劲对手国家和非国家攻击者的攻击。

文件记录了大量防御成功的案例。其中包括NSA网络防御者扼杀了BYZANTINE HADES入侵四大高级美国军事领导人、美国海军作战部长和参谋长联席会议主席的企图，以及成功防御知名黑客组织“匿名者”和其它组织的实例。

各国都在实施间谍行动，而网络行动可以将间谍活动的破坏性迅速升级，甚至难以控制。

也许有人认为这种说法站不住脚。他们一定认为只有最先进的国家才有能力开展这类活动。但是，就美国及其盟国来说，相比其它国家可能仅需要少量的网络渗透便可获取可用的防御情报，这是因为美国具有从核心路由器和互联网交换机被动收集大量情报的能力，而之所以具备这种能力是因为美国与世界上一些最重要的电信提供商有广泛的合作。

例如，加拿大的信号情报机构已经开发了一个包含200多台部署在全球的传感器的系统。加拿大情报机构使用该系统追踪已知威胁，一旦发现未知威胁即在互联网核心进行防御。虽然被动收集需要在其它国家的网络和基础设施内进行主动和更集中的收集，但可以获取对防御任务有用的信息。

从某种意义上讲，网络行动中的防御性入侵与传统逻辑的国际关系和安全困境相去甚远。网络行动中的这支军队可以发现攻击渗透、武装准备，并可在对手取得任何进展时将其挫败，若将其理解为传统的方式，这等同于国家在潜在对手的领土驻守军队。以传统逻辑来说这就是在外国单边驻守部队，是一种侵犯他国主权的侵略行为，即使入侵国声称驻扎部队是为了执行防御任务，也可能使冲突升级。

换个方式理解，防御性网络入侵不是侵略行为，而属于情报范畴。

国家秘密搜集他国能力的信息而进行的这类入侵活动，从某种程度上讲，情报搜集是能够避免正面冲突又在国际政治中长期接受的做法。简单而言，所有国家都在开展间谍活动，这点大家都心知肚明。但网络行动可能将间谍活动快速变升级为更具破坏性的行动，这个时候若情报搜集具有威胁性，或直接带来攻击时，防御性间谍活动会使局势更为紧张甚至引发冲突。