近日,美陆战队员沙龙·罗琳斯少校在美海军协会网站上撰文,分析俄乌冲突中,美在乌克兰实施防御性网络作战所得到的经验教训。主要观点如下:
2021年末,美国网络司令部的网络国家任务部队(CNMF)向乌克兰部署了迄今为止规模最大的前沿狩猎行动(HFO)力量。与传统的侦察部队一样,当俄军坦克沿乌克兰边境集结时,美国陆战队、海军和海岸警卫队的网络防御人员和情报分析人员在追踪和深入了解俄罗斯的恶意网络活动。他们与乌克兰高官并肩在乌克兰工作了近70天,协助乌方为多个关键网络提供防御。
前出狩猎小队与来自美国欧洲司令部和美国驻欧特种作战司令部的合作伙伴进行了物理整合,以备不时之需,并在俄罗斯入侵前几天将就地遂行任务转变为远程作战,继续远程支援乌克兰的网络防御。网络国家任务部队指挥官威廉·哈特曼(William Hartman)陆军少将指出:“这类任务对我们两国在网络空间的防御至关重要,尤其是面对俄罗斯的入侵。”
这是美军网络作战力量在俄军地面作战准备期间实施的首次前出狩猎行动,它展示了未来美国如何在冲突前和冲突期间使用防御性网络作战作为持续交锋战略的一部分。从一般性军事和网络的视角看,冲突期间,乌克兰展示了自身的防御能力、韧性和对外关系。
2022年1月中旬,乌克兰经历了第一波网络攻击,这波攻击被归因于俄罗斯,主要包括网站窜改和破坏性恶意软件活动。这些攻击影响了乌克兰政府和当地组织,但都只是袭扰性的,乌克兰在几天时间内就恢复受干扰的系统。整个战争期间,各种形式的恶意软件继续袭扰乌克兰的网络系统,但没有一种会削弱乌克兰的系统或导致系统大面积长期停机。自2014-2015年俄罗斯入侵、导致基辅和邻近地区停电的网络攻击以及2017年导致大范围连锁停电的NotPetya网络攻击以来,乌克兰对其关键系统和网络(信息系统和作战系统)的防御有所改善。
尽管乌克兰保卫其政府和关键基础设施的能力并非无懈可击,但它证明了在冲突前和冲突期间针对对手主动开展网络防御的价值。美国必须继续践行这种“屏蔽”理念,积极测试、改进和防御关键系统免受网络威胁。陆战队和联合网络防护小队(CPT)可以协助防御军种级别的系统和网络、关键系统和基础设施,以及在未来潜在冲突期间美军行动地域的盟友伙伴的网络。虽然进攻性网络作战是战争的一个方面,但本土、军事和盟友伙伴系统的网络防御对国家弹性至关重要,正如乌克兰对俄罗斯的网络防御所展示的。
防御冲突前和冲突期间的网络攻击不再是一个问题;然而,它们的规模和范围会有所不同。在下一次冲突中,美国的地面、空中和海上力量至少将遭受袭扰性网络攻击。
截至2022年4月,微软报告称,俄乌冲突期间有200多起针对乌克兰的网络攻击可溯源至俄罗斯,其中包括40起针对多个组织数百个系统的分布式网络攻击。虽然大多数攻击只是袭扰性的,但攻击的次数非常多,并且一直持续到今天。值得注意的是,乌克兰有能力从多次连续的袭扰性网络攻击中迅速恢复。
正如在动能作战中一样(承受来袭火力并反击),乌克兰能够迅速评估受损系统,并与前出狩猎小队协调,以便更好地了解攻击(系统最初受损情况、整个攻击时间表及归因等),从而使乌克兰能够部署自己的网络力量,更好地防御未来的攻击。与此同时,前出狩猎行动联合网络防护小队能够更好地了解指向俄罗斯的网络攻击,并分享和利用所了解到的情况来防御针对整个西方系统的潜在网络攻击。
这种应对对手网络战的弹性是美军在未来战斗中需要的技能。如果没有快速应对网络攻击并从中恢复的能力,部队和国家将遭受更长时间的瘫痪,这可能会影响军事或民用系统,破坏指控,并影响民众的士气。
前出狩猎行动加强了美国和乌克兰之间牢固、持久的伙伴关系,特别是在网络领域。这种关系在未来冲突中仍然至关重要,无论冲突是否涉及俄罗斯。当国家级联合网络防护小队被部署到盟国开展前出狩猎行动时,该小队将与东道国进行数月的物理整合,与美国使馆人员、其他机构以及盟军各高级军事和政府官员一起工作。美国军官和参谋士官直接与东道国政府和网络安全官员进行谈判和协调,他们在帮助东道国开展网络防御时建立的关系可以发展为其他军事部门的专业合作伙伴关系,从而强化整个战场的情报、信息和态势感知。
通过在乌克兰开展前出狩猎行动,与任务合作伙伴的关系在几个月里得到了大幅发展。联合网络防护小队持续提供的网络防御支援,以及与乌克兰合作伙伴共享各种系统受损指标,有助于他们与前出狩猎小队共享信息,最终有利于整个西方的网络防御。
美国官员指出,“迄今为止,乌克兰在面对俄罗斯网络攻击时的表现比最初预期的要好得多。(部分原因是)美国网络司令部小队提前介入提供协助。”这种合作还加强了国防部的行动,并有助于在网络领域给俄罗斯施加成本。在未来冲突中,美军必须在战术和战役层面引入并利用联合网络防护小队,来实现战略层面的主动,慑止威胁,并在整个辖区塑造战区条件,以便在支援网络作战的同时支援多域作战。
随着网络任务部队在未来几年发展成熟,其支援各军种、美国网络司令部及联合部队的能力也将随之成熟。美国网络司令部司令保罗·中曾根上将解释了防御性网络作战与进攻性网络作战之间的协同关系,以及这如何有助于落实持续交锋战略。他指出:“通过持续存在、持续创新和持续交锋,我们可以施加成本,抵消对手的努力,并改变他们的决策考量”。“在此过程中,我们在网络空间建立起弹性,靠前防御,并反制网络对手的活动”。持续交锋被定义为“需要在网络空间与对手不断互动”,它强调了“速度和灵活性对取得成功的重要性”。“在冲突前使用联合网络防护小队对美国和盟国系统进行持续性网络防御,可以增强任务保障,确保指挥与控制。
此外,不断扩大的合作机会提供了网络空间分层防御。例如,通过与联合演习和多国演习协调,军种级联合网络防护小队可以在美军所依赖的系统上搜寻恶意网络活动,而国家级联合网络防护小队同时在东道国网络上搜寻恶意的网络活动,这两个网络都是根据情报及其对美军和盟国的支持选择的。当多个防御性网络任务被纳入一个辖区时,各军种之间以及东道国、国防部和跨机构利益攸关方可共享对手的网络战术、技术和程序。增加并优先考虑整个部队的防御性网络狩猎任务,将更好地落实持久交锋战略。
对防御性网络作战人员而言,做好网络攻击准备、应对网络攻击并从攻击中恢复的能力至关重要。对友军系统的事件响应了解程度将使作战人员和小队能够在非动能冲突期间进行预测并预做更好的准备。随着防御性网络作战军事职业专业的进一步发展,纳入此类培训至关重要。这将使美国在遭受网络攻击后重新获得主动权。基于乌克兰的经验教训,微软建议各组织采取行动,包括“制定并实施事件应对计划,以防止出现耽误搜寻威胁行为体或使搜寻时间减少等情况。”
