網路攻擊情勢嚴峻
今(2021)年1月,在世界經濟論壇發布的《2021年全球風險報告》第四章[1]提及,網路攻擊呈現日益複雜的趨勢,國家與非國家行為者都可能參與規模更大更危險的網路攻擊,透過無人機或其它技術的針對性攻擊將變得更加普遍。根據報告統計[2],在2020年,遭受最多次網路攻擊的國家是美國,共有156起,英國經歷47起網路攻擊排名第2,中國則遭遇15起位列第8。報告指出,中等國力的國家是更易受到網路攻擊的目標,這類國家缺乏強權的網路防禦資源,且由於技術與軍事能力落後,預期它們會投入大量預算在國防及建立同盟上以進行網路防禦。
網路攻擊行為者之目的多元,有些純粹為了金錢或尋找樂趣,但更多國際級駭客透過網路攻擊引發目標國的動盪不安,而各國也透過強化相關法規及擴大對網路安全領域的投資來應對,例如,法國總統馬克宏(Emmanuel Macron)將網路防禦稱為優先事項[3],並表示法國政府自2017年以來便開始應對相關威脅,包括加強警察與司法單位合作、撥款5億歐元協助企業及公部門強化網路防禦以及贊助相關研究。
然而,上述模式仍使國家處於被動,近來,許多國家透過結盟或提倡主動防禦來防堵駭客威脅。去年以色列與阿拉伯聯合大公國就網路安全議題結盟,兩國不計歷史深仇並共同應對來自伊朗的網路攻擊[4],以色列甚至分享其相關駭客技術研究給阿拉伯聯合大公國,以使盟友在應對伊朗威脅時能先發制人。美國也因屢屢受到來自各方的網路攻擊而發展出主動防禦措施(Active Cyber Defense,ACD)[5],來支持聯邦及地方政府的網路安全。
面對日益嚴峻的網路攻擊情勢,究竟主動防禦的概念為何以及該如何進行才能有效抑制網路攻擊,而該措施與威懾或主動針對敵國發動網路攻擊有何差異,為本文探討重點。
主動防禦之概念與相關措施
主動防禦的概念精髓在於,防禦方必須持續觀察對手的惡意網路行為並分析其發動攻擊之目的,在對方發布網路行動前對該行為進行破壞,洞燭機先瓦解對方的行動。根據美國網路空間日晷委員會(Cyberspace Solarium Commission,CSC)第二工作組研究分析主任Robert Morgus對於美國SolarWinds遭駭事件的分析[6],主動防禦策略若要發揮作用,相關單位必須掌握完善情報,然而,情報的蒐集必定有限,因此,國家必須透過整合網路安全策略,釐清情報蒐集的優先順序,並縮小不同政府部門之間的情報落差。此外,政府還須整合不同部門,將責任分擔給受網路攻擊影響的利害關係人所組成的系統,包括透過法規規範私人企業必須強化內部網路安全工作。
其他相關措施還包括設置獨立單位處理網路攻擊與事件,例如美國總統拜登考慮將目前由國土安全部管轄的網路與基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)設置為獨立機構,並增加預算及人力資源[7],同時對關鍵基礎設施進行投資;亦可運用經濟、科技、法律與外交等多重手段增加敵國惡意網路行為的成本,進而阻止其攻擊行為。例如在歐巴馬時代,美國對中國實施一系列制裁及貿易訴訟,並運用相關外交政策壓制中國,最後在2015年與中國達成協議,此舉明顯平息了中國的敵對行動[8]。
Wyatt Hoffman與Ariel Levite在2017年曾撰文[9]針對主動防禦的優缺點進行比較分析,其論述摘要如下表:
| 優點 | 缺點 |
|
|
主動防禦在於協調各個政府部門及私人企業,共享情報並深化網路防禦措施與意識,若將主動防禦的概念誤植為主動對敵國進行網路攻擊,並預期達到威懾效果,那可能會波及無辜並演變成更大規模的衝突與外交危機。
主動防禦不等於擴張網路權力
主動防禦的目標是確保網路安全,而非擴張網路權力(cyber power)[10]。網路安全指涉的是確保國土安全、國家網路設備及數位服務功能的完善,涉及包含消費者、企業、個資以及國家機密的所有線上保護措施。但網路權力指涉的則是運用網路能力保護國家安全不受任何威脅影響,在此概念下,國家可將自身網路能力投射至任何相關政策目標上,包含攻擊敵國。
擁有網路權力的國家固然可對敵國的基礎設施進行攻擊,打擊網路犯罪、戰爭與不實訊息,但卻無法阻擋敵國持續採取駭侵行動。例如,美國曾對俄國的網路研究機構進行網路攻擊,目的是破壞俄國傳遞與選舉相關不實訊息的能力[11],雖然美國的鷹派網路攻擊策略值得被部署,但通常像俄國這類具有主動進攻能力的國家亦有良好且不易被破壞的網路基礎架構,因此,若美國貿然發動攻擊,容易使俄國進一步採取「以其人之道還治其人之身」的報復行動,其實無助於減少網路攻擊。
結語
主動防禦已經成為網路防禦的重大政策,其概念並非主動攻擊敵國,而是偕同各政府部門進行情報共享,並持續強化既有網路防禦措施。目前,主動對敵國進行網路攻擊並不能被視作「防禦手段」,各國也無相關法規授權部門或企業進行主動防禦。透過妥善的情報蒐集與共享,和他國結盟共同應對威脅國,以及訴諸外交或其它制裁手段增加他國攻擊成本,迫使其面對艱難選擇的後果,才能有效遏制網路攻擊。
[1] World Economic Forum. The Global Risks Report 2021 16th Edition
[2]同註1
[3] Ania Nussbaum. Macron Rushes to Shore Up French Cyber Defenses After Attacks. Bloomberg 2021/02/18
[4] Sean Lyngass. Israel, UAE say they’re allies in cyberspace. They have plenty of tech power to draw upon. Cyberscoop 2020/09/25
[5]NSA. Active Cyber Defense (ACD) 2015/08/4
[6] Robert Morgus. The SolarWinds Breach Is a Failure of U.S. Cyber Strategy. Lawfare 2020/02/18
[7]SAMUEL J. PALMISANO AND KIERSTEN E. TODT. A cybersecurity agenda for the Biden administration. FORTUNE 2020/12/09
[8]Ciaran Martin. Cyber ‘Deterrence’: A Brexit Analogy. LAFARE 2021/01/15
[9] Wyatt Hoffman & Ariel Levite, Private Sector Cyber Defense: Can Active Measures Help Stabilize Cyberspace?, CARNEGIE CYBER POL’Y INITIATIVE (June 14, 2017),
[10]同註8
[11]同註8
