企业动态

    本文5354字阅读约需14分钟

    《美国政府网络归因实力分析报告》基于对互联网大量公开资料的分析，总结美国政府在网络归因领域的主要成果、优势及战略动向等，揭示了美国政府网络归因综合实力和战略动向，为相关部门的网络空间安全建设提供参考。

    本文摘选发布报告第三部分，分析美国政府在网络归因领域的战略动向。

    三、美国政府网络归因战略动向

    美国政府在网络归因领域取得的“丰硕成果”坚定了其持续投入大量资金加快网络归因手段建设的信心，无论是特朗普时代的“美国优先”战略还是拜登时代的“战略竞争中胜出”的战略，巩固网络归因优势地位始终是重要内容，其决心始终是坚定不移的，其行动举措也是层出不穷的。

    （一）发布法律法规政策准则，抢占网络归因话语权

    美国政府历来十分注重网络归因手段建设，不断强化网络归因的政治正确性、法律合法性、规则合理性，谋求在网络归因领域的话语权主导，事实上也是如此，虽然目前全球公认的在网络归因方面的规则标准还没有出台，但在实际开展工作与合作过程中，大部分国家政府和民间机构使用的还是美国在网络归因方面的话语体系。此外，美国政府会根据形势变化情况出台一系列战略、法规、政策，特别是在重大网络攻击事件后，政府为扭转不利局面加紧出台政策法规，加大网络归因方面的投入。比如俄罗斯通过社交媒体影响2016年美国大选的事件、2020年太阳风网络攻击事件以及2021年输油管道Colonial公司受到的勒索软件攻击事件后，美国政府趁势将网络归因提升到国家战略层面。2018年特朗普政府《国家网络战略》关于网络归因的建议：特朗普政府在2018年度的国家网络战略明确提出网络归因作为巩固美国实力保持威慑的一个主要支柱。在“支柱三：以实力维护和平”中提出“归因和威慑网络空间中网络攻击行为”，强调情报部门（IC）将继续引领世界使用全源网络情报来推动恶意软件的识别和归因威胁美国国家利益的网络活动。客观可行情报将在整个美国州政府和主要合作伙伴之间共享，识别敌对的外国国家以及非国家网络计划、意图、能力，研究和开发工作，战术和作战活动，通知整个政府对保护美国在国内外的利益。2020年美国日光浴室（CSC）委员会《分层网络威慑战略》关于网络归因的建议：2020年在美国日光浴室（CSC）委员会发布的建议报告中提出了《分层网络威慑》战略，网络归因是实施威慑战略的重要组成部分，明确提出改进归因分析和归因决策准则的多条建议意见，（1）通过标准化ODNI的归因指南和评估时间表来实现；（2）建立归因分析工作组（不是常设的，而是指定的），该工作组应包括私营部门的分析和数据，以加快联邦政府的反应；（3）通过应用新兴技术和多样化数据源来提高分析能力，以克服不断变化的技术挑战。建议1.4.1“编纂和加强网络威胁情报集成中心”，通过加强评估归属的聚合和消除冲突实体，进一步支持该建议。2021年拜登政府在《临时国家安全战略指南》再次强调了网络归因的重要性必要性：《指南》提到“我们将重申对网络问题国际参与的承诺，与我们的盟友和合作伙伴一起努力维护现有并塑造新的网络空间全球规范。我们将追究网络攻击者的破坏性责任，并且以其他方式阻止恶意网络活动，并通过网络和非网络手段迅速做出反应并。”在法律法规方面，美国颁布或即将颁布一系列促进网络归因的法案。如，《2021年网络事件通知法案》）《2021年网络事件报告法案》、《网络安全信息共享法案》、《2021年制裁和阻止勒索软件法案》、《2022财年国防授权法》、《2021年关键基础设施网络事件报告法案》、《网络感知法案》、《2021年网络外交法案》、《网络攻击响应选项法研究法案》等，其中值得关注的是在“S.2875-2021年网络事件报告法案”中明确规定了网络攻击事件发生后报告政府相关主管部门的时间要求限定为为72小时以内。

    （二）强化国际同盟共享合作，提升网络归因公信力

    美国政府十分注重与五眼联盟、北约、欧盟等传统盟友合作，一方面避免在网络归因领域成为“孤家寡人”，另一方面将联合盟友形成共识建立有利于自身的网络归因公信力。1.通过五眼联盟发布公告。近年来，五眼联盟在网络攻击事件响应方面加强协同和情报共享，特别是在网络归因方面合作更加紧密，联合发布了多份将网络攻击归因于特定国家的网络归因公告，比如，将NotPetya勒索软件的爆发归咎于俄罗斯的军事情报机构GRU，将APT10网络攻击归咎于我国。2.推动北约发布谴责声明。北约一直以来是以军事同盟面目示人，近年来，在美国主导的下通过网络威慑倡议，要求成员国之间共享情报、共同采取行动应对网络威胁，更进一步，包括美国、英国、荷兰、爱沙尼亚和丹麦在内的国家已公开宣布愿意提供主权进攻性网络效应，以威慑、防御和应对各种威胁。2021年，北约成员国还将网络安全问题提上联盟议程，议题包括发布综合网络防御政策，建立一个将于2023年全面运作的军事网络空间运营中心，并确认（在2021年6月布鲁塞尔峰会之后）网络事件可能触发北约的共同防御条款。在网络归因领域，北约2021年发布了引人注目的声明，声明中首次公开谴责某国的网络行为。3.影响欧盟发布共同声明。美国还加强同欧盟在网络空间安全立场上的协调一致，在2021年7月19日北约发布谴责声明的同一天，欧盟也发布了一份共同声明，声明中附和了美国和北约网络归因的结论，声明内容包含“今天，欧盟及其成员国与合作伙伴一起揭露了严重影响我们的经济、安全、民主和整个社会的恶意网络活动。欧盟及其成员国评估这些恶意网络活动是在某国境内进行的。”、“欧盟及其成员国强烈谴责这些恶意网络活动，这些活动违反了联合国所有成员国认可的负责任的国家行为准则。我们继续敦促某国遵守这些规范，不允许其领土被用于恶意网络活动，并采取一切适当措施和合理可行的步骤来检测、调查和处理这种情况。”等内容。

    （三）理顺国内公私协作机制，扩展网络归因资源池

    一直以来，美国政府和民间网络公司在网络归因方面各自发展，实质性合作交流较少，美国国防部一度还认为民间网络安全公司在网络归因方面质量不高且标准不统一。但随着民营网络安全公司在技术方面的进步以及积极参与美国政府重大工程项目建设，政府越来越认识到民间网络安全公司是网络归因领域一只不容忽视的力量。美国政府在网络归因方面逐渐形成政府主导为主，民间私营部门参与，公私密切协同的态势，大力推动“正式的公私合作”、“非正式公私合作”、“私营部门之间的合作”和“政府部门间合作”等各种协作模式的落地实施，不断扩展网络归因资源池，提升网络归因的数量规模和质量标准。1.开始采纳私营部门网络归因成果。在2016年6月，威胁情报公司CrowdStrike将针对民主党全国委员会（DNC）的网络攻击行为归因为与俄罗斯政府密切相关的网络攻击者，并与FBI合作将相关证据线索提交给美国政府。几个月后的10月，也就是美国总统选举前一个月，美国政府（USG）通过国土安全部（DHS）和国家情报局局长（DNI）的联合声明公开了官方的网络归因结果。在相关的国会听证会上，美国政府高级领导人被详细询问了他们为确定归属所采用的方法。对此，前联邦调查局局长詹姆斯·科米（JamesComey）指出，联邦调查局专家分析了CrowdStrike提供的法医证据和其他技术细节。可以看到，以CrowdStrike为代表私营部门网络归因结论开始得到美国政府官方认可。2020年底SolarWinds（太阳风）网络攻击事件被火眼（FireEye）公司首先发现并报告给政府，随后在2021年2月和3月两场美国参议院听证会上，微软公司、网络安全公司FireEye和CrowdStrikeHoldings的高管向国会议员提交了网络归因为俄罗斯黑客的证据，这是首次私营部门在网络归因工作中领先政府部门，事实上，美国政府相关部门并没有掌握相关线索，而在美国政府随后发布的官方网络归因结果也能证实这一点，其网络归因主要采用的是私营部门的分析成果。美国政府已经认识到在网络归因领域私营部门和政府部门各有优势。2.借助私营部门资源共建“预警网络”。在2020年CSC发布的《分层网络威慑战略》中，明确提出了“国家情报局长办公室（ODNI）应通过国土安全部和联邦调查局与私营部门合作，改进归因分析”建议。其中一项具体举措就是建立“联合协作环境”，这是一个基于云的公共环境，联邦政府的非机密和机密网络威胁信息、恶意软件取证、，监控计划中的网络数据尽可能广泛地用于查询和分析。初始阶段将集中于整个联邦政府计划的整合，以及与具有系统重要性的16个关键基础设施部门整合，而后续阶段的重点将是将此环境扩展到更大的关键基础设施用户群，包括ISAC。该计划将实现“政府整体”和公私合作的网络安全承诺，确保每个部门或机构以及私营部门的网络数据、网络威胁情报和恶意软件取证以机器速度进行全面检测和分析。

    3.将私营部门纳入国家网络防御计划。2021年8月，网络安全和基础设施安全局(CISA)宣布成立联合网络防御协作组织(JCDC)，新的机构将领导制定国家网络防御计划，该计划概述了预防和减少网络入侵影响的活动。利用2021年《国防授权法》(NDAA)提供的新权限，JCDC将汇集公共和私营部门实体，以统一深思熟虑的危机行动计划，同时协调这些计划的综合执行。这些计划将通过协调行动来识别、防御、检测和响应针对美国关键基础设施或国家利益的恶意网络活动，从而提高国家的复原力。JCDC的联合网络规划办公室将由来自整个联邦政府的代表组成，包括国土安全部(DHS)、司法部(DOJ)、美国网络司令部(USCYBERCOM)、国家安全局(NSA)、联邦调查局(FBI)和国家情报总监办公室(ODNI)。此外，JCDC将与自愿合作伙伴协商，包括州、地方、部落和地区(SLTT)政府、信息共享和分析组织和中心(ISAO/ISAC)，以及关键信息系统的所有者和运营商，以及其他私人实体。参与JCDC的最初行业合作伙伴包括AmazonWebServices、AT&T、CrowdStrike、FireEyeMandiant、GoogleCloud、Lumen、Microsoft、PaloAltoNetworks和Verizon。

    可以看到，联合防御协作组织的成立，某种意义上给予了私营部门“半官方”的身份地位，激发了私营部门参与网络归因工作的积极性，事实扩展和加强了参与网络归因工作的力量。

    （四）加强新兴技术应用研发，提升网络归因置信度

    美国政府十分注重新兴技术的创新应用，美国国防高级研究计划局(DARPA)负责提出创新性的课题计划进行前瞻性的研究。在网络归因领域同样如此，DARPA研究人员正在识别和解决威胁全球稳定的关键网络漏洞和安全。以往网络空间中的恶意行为者事实上几乎不担心被抓获，在某些情况下甚至不可能将恶意行为归咎于特定个人的网络空间。网络归因困难的原因至少部分源于缺乏当前互联网基础设施中的端到端问责制。为了解决这个问题，DARPA已着手资助网络安全威胁归因的根本转变。于2016年5月12日启动了增强归因（EA）计划。计划的目标是“开发技术以生成有关多个并发独立恶意网络活动的操作和战术相关信息。”,目标不仅是收集和验证这些相关信息，而且还要创造“与许多相关方中的任何一个共享此类信息的方法，而不会危及用于收集的来源和方法。”在EA计划中，DARPA首先在来源、准确率、时间线、规模和共享性等五个维度对比了政府机构、商业公私以及归因增强计划的能力。

    DARPA将EA计划划分为三个阶段。通过在红色空间收集，监控和了解对手网络攻击的行动,预期计划分为三个技术领域(TA)，它们将相互并行工作。它们将跨越三个18个月的阶段，之后该机构将介入以获取高质量的结果，同时不会失去对归因来源的控制。

    TA1：活动跟踪和总结DARPA解释说，“TA1执行者将开发用于网络行为和活动跟踪和汇总的技术”。

    TA2：数据融合和活动预测DARPA指出“TA2执行者将开发用于融合TA生成的数据以及对恶意网络运营商活动进行预测分析的技术。”，为网络领域开发多点融合和跟踪。

    TA3：验证和浓缩TA3将专注于使用更多公开信息来丰富收集的数据。然后事情变得稍微复杂一些，因为政府将为网络威胁创建一个面向公众的档案，而不会透露来源或方法。因此TA1会因数据收集而陷入困境，TA2对这一切进行操作，而TA将其清理干净，以便可以公开发布。EA计划结构和时间表计划持续时间：54个月。•三个为期18个月的计划阶段•所有TA工作并行工作•经常使用各种数据集进行非正式评估•增强真实感/环境•能够在机会出现时在实际条件下进行按需测试，可能在项目早期开始

    2020年底，DARPAEA研究人员使用他们的数据分析来开发及时、准确的威胁有关俄罗斯归因的恶意网络基础设施和相关攻击者角色的信息。EA与FBI亚特兰大和匹兹堡外地办事处的密切合作伙伴分享了这些信息，为2020年1月对与全球破坏性恶意软件相关的六名GRU人员的起诉提供归因证据，详细分析了其在美国和盟军关键基础设施中的恶意软件攻击活动和补救措施。

    美国官方已然将网络归因作为重要战略威慑手段进行建设发展，美国官方主导民间企业参与的网络归因力量体系逐步建立，在巩固军方、政府网络归因能力的同时，不断加强针对民间私营部门关键基础设施领域的网络归因能力建设。可以看到，未来要想谋求网络空间斗争中的战略主动权，网络归因能力建设将是必不可少的关键一环。