确定美国网络司令部打击勒索软件作用的三大考量因素

最近针对美国的勒索软件攻击引发了关于军方，特别是美国网络司令部是否以及如何应对此类恶意网络活动的问题。为此，美国网络空间日光室委员会成员、网络安全事务专家埃丽卡·博格哈德撰文，为政策制定者提供了路线图，以帮助指导针对这一关键政策挑战的决策。

文章称，问题的关键是如何定义适当的任务以使用军事权限、能力和资源来打击勒索软件团伙，面临的核心挑战是联邦政府角色、职责的定义以及资源和能力的分配并没有完美地映射到威胁行为者的行为和动机；当前勒索软件越来越多地陷入犯罪行为与国家安全行为重叠的模糊关系中，军事网络能力的作用在两者交叉点上最为不确定和模糊；对美国军方参与应对的两种观点提供了重要见解，反对方认为此举可能对军民关系造成的破坏性影响，支持方则认为此举会会解放美国总统的手脚，但双方普遍同意美军在这一领域有一些潜在作用。

在确定美国网络司令部打击勒索软件攻击作用方面，美国政策制定者应考虑以下三项核心因素：一是总体战略整合。在制定在特定条件下使用军事权限和能力来对抗勒索软件的战略时，美国需要考虑到如何将其与整个联邦政府的并行努力整合并消除冲突，以及对私营部门的影响。任何包含军队在打击勒索软件方面发挥作用的战略，必须规定如何在整个联邦政府以及与州和地方当局、私营部门共享信息和情报的流程，明确定义成功的要素并制定衡量结果的方法，阐明操作活动如何促成预期结果的令人信服的逻辑。二是军内战略执行。在执行的打击勒索软件战略方面，美国网络司令部需要解决以下问题：将勒索软件任务整合网络国家任务部队的当前部队结构中；需要确定打击勒索软件活动的目标、更新交战规则并建立目标审查程序；从资源配置的角度确定打击勒索软件任务与现有任务的优先级。三是衍生风险权衡。美国政策制定者必须彻底审查动用军队打击勒索软件所带来的风险，包括：美国可能会无意中开创先例，让对手有正当理由对美国开展军事主导行动；美国对手为关于美国网络力量构成威胁的现有说法找到新例证；美军国外行动被发现引发外交应对挑战；美军和情报体系开展行动时可能触犯国内数据法规；私营部门可能没有动力积极投资于实施强大的网络安全态势并增强其弹性。

文章总结称，鉴于美军可能已经参与打击勒索软件行动，决策者必须有目的地解决军事参与在实践中如何发挥作用的棘手问题，避免重蹈先前政策挑战应对失当的覆辙；在运用军队时应谨慎地将参与范围限制在勒索软件的特定用途上，而不是将军队视为一个用来解决勒索软件带来的所有挑战的方便且功能强大的工具；认识到此类活动可能会开创新的先例，并了解对私营部门和国家间网络关系的短期和长期影响。

美国网络司令部在打击勒索软件方面的作用是什么？

在最近在美国发生的一连串勒索软件攻击，包括在Colonial Pipeline事件中针对关键基础设施的攻击，引发了关于美国网络司令部在应对此类恶意行为方面的作用的问题。问题的关键是如何定义适当的任务（如果有的话），以使用军事权限、能力和资源来打击勒索软件团伙，这些团伙通常是犯罪组织而不是民族国家的对手。这是一个只会增加相关性的问题，而且许多关键问题仍未得到解答。

评论家和专家对这个问题提出了不同的观点。例如，美国安全与技术研究所（IST）最近发布了勒索软件工作组报告，该报告有助于告知拜登政府对勒索软件的处理方法，但对军队则是只言片语。在列出将成为联合勒索软件工作组一部分的利益相关者的上下文中，该报告仅提及美国网络司令部一次，并且仅简要提及军事应对勒索软件的可能性。但其他专家更全面地发表了见解。例如，杰森·希利最近警告不要赋予军队应对网络犯罪的广泛权力，担心军队参与预防网络犯罪对军民关系可能造成的破坏性影响。其他作者则站在另一边；彼得·帕斯库奇和库尔特·桑格认为杰森·希利的做法会束缚总统的手脚，并指出联邦执法部门通常很难立即采取行动打击跨国网络犯罪。

在美国应对与网络空间中犯罪和国家安全行为融合相关的复杂性时，这两种观点都提供了重要的见解。尽管在核心问题上存在分歧，但双方普遍同意美军在这一领域有一些潜在作用。

但要确定该作用的位置并不容易。一个核心挑战是，联邦政府角色、职责的定义以及——重要的是——资源和能力的分配并没有完美地映射到威胁行为者的行为和动机。勒索软件最常与以营利为目的的犯罪组织联系在一起——在这一领域，执法部门具有明确的特权和作用（一个例外是直接影响军事或国防工业基础的网络犯罪）。但是，正如珍尼·全所说，鉴于勒索软件具有潜在的强制力（传统上军队起主导作用的领域），各国可能会开始将勒索软件用于战略目的。

勒索软件越来越多地陷入犯罪行为与国家安全行为重叠的模糊关系中。Colonial Pipeline攻击就是这种情况，该攻击是由俄罗斯犯罪分子实施的，但鉴于攻击目标是关键基础设施，可能会对国家安全产生影响。在网络犯罪和国家安全的交叉点，与政府关系不明的犯罪组织实施勒索软件，目的是在政府不同级别的控制和指导下兼获经济利益和战略动机。正是在这种犯罪与国家安全的交叉点上，军事网络能力的作用最为不确定和模糊。

因此，对于具有重大国家安全后果或与民族国家对手进行的更广泛的战略活动相关但源自美国境外的活动，必须提出一个使用网络司令部来破坏勒索软件操作的令人信服的理由。此外，显然美国网络司令部目前有权在某些情况下与网络犯罪分子交战，这似乎超出了“前出狩猎”和合作行动的范围。其被报道的2020年秋季针对俄罗斯犯罪分子运营的Trickbot僵尸网络的活动证明了这一点。此外，2021年6月，负责网络政策的美国副助理国防部长欧阳沅在参议院武装部队委员会网络安全小组委员会面前作证，肯定了美军在打击勒索软件攻击方面的作用。

也就是说，关键问题仍未得到解答。下面，我们概述了政策制定者应考虑的核心考虑因素。

一、战略整合

目前影响美国的绝大多数勒索软件都超出了国防部的权限范围。因此，在制定在特定条件下使用军事权限和能力来对抗勒索软件的战略时，美国需要考虑到如何将其与整个联邦政府的并行努力整合并消除冲突，以及对私营部门的影响。至少根据已公开的内容，目前尚不清楚美国是否具有这样的综合战略——即使美国网络司令部可能已经在开展打击勒索软件活动。

例如，关于私营部门的一个突出问题是最近有报道称，美国政府正在探索允许私营部门参与“黑客反击”的选项，以应对勒索软件攻击。如果没有关于私营部门应对勒索软件的允许范围和参数的明确指导，或者没有明确的流程来消除私下行动与正在开展的军事或执法行动的冲突，则不协调的行动可能会是重复的（充其量）或适得其反的甚至是危险的（在最坏的情况下）。这只是一个假设的例子，但它说明了与制定连贯的、多利益相关者勒索软件响应相关的一些更广泛的组织性挑战。重要的是要确保不同政府部门和私营部门的反应协调一致并面向共同目标。

任何包含军队在打击勒索软件方面发挥作用的战略，也必须规定如何在整个联邦政府、与州和地方当局（包括州长们经常动员起来应对勒索软件事件的国民警卫队）以及私营部门（以及在什么密级上）共享信息和情报的流程。此流程还必须考虑到与如何在不同利益相关者间适当共享各种类型信息相关的法律考虑。

从战略角度来看，另一个担忧是打击勒索软件战略可能会陷入类似于反恐活动的操作循环——军队在战术层面上成功地破坏了离散行动，甚至解散了一些组织，但仍发现战略成功难以达成。因此，政策制定者必须明确定义成功的要素并制定衡量结果的方法。例如，美国网络空间日光室委员会（CSC）2020年3月的报告建议就美国防部应如何评估其“前沿防御”战略的结果制订衡量标准。类似的方法适用于打击勒索软件战略。

定义成功的一个关键部分还涉及确定一个可辨别的终点。相比之下，美国网络司令部在捍卫选举方面的作用始于一个被称为“俄罗斯小组”的特设跨机构工作组，该小组后来成为永久性机构。选举保护项目很重要，但“持久任务”的持续累积可能性再加上支持任务的组织结构，引发了关于任务蠕变和路径依赖的更广泛的问题——以及决策者如何匹配组织结构和资源以应对新威胁和长期威胁。

此外，打击勒索软件战略应阐明操作活动如何促成预期结果的令人信服的逻辑。具体来说，动用军事资源来瓦解开展勒索软件行动的团体是否意味着作为威慑战略的一部分，由此施加成本旨在改变对手的算计？政策制定者是否应该期望（有时）适用于民族国家对手的威慑机制在应用于从事犯罪活动的代理团体时也会成功？

同样，美国政府也面临越来越大的压力，要求对其进攻性网络行动更加公开，并对网络空间采取“宣示性政策”以提高威慑战略的可信度。美国是否应该对打击勒索软件活动采取类似的方法——作为一种发送信号手段公开承担责任？是否存在美国应向东道国政府发出警告的条件，以提供机会采取行动解决在其管辖范围内活动的勒索软件组织？这些都是困难的战略问题——而且远非唯一的问题。但是，在美国完全致力于操作活动前，决策者必须权衡它们。

二、美国网络司令部内的实施

在网络司令部如何实施军方执行的打击勒索软件战略方面，还有一些重要的考量因素。

首先，尚不清楚打击勒索软件任务将如何整合到美国网络司令部的作战部门网络国家任务部队（CNMF）的当前部队结构中。

有几个潜在的模型。一种可能是在CNMF内成立一支新的、独立的打击勒索软件特遣部队，负责执行一项常设活动计划。另一种选择是将打击勒索软件行动纳入当前CNMF特遣部队实施的现有目标中。最后，除了CNMF，另一种选择是建立一个专门的联合特遣部队，类似于联合特遣部队阿瑞斯（据报道，该联合特遣部队正在从反恐任务转移到更多地关注大国竞争）。这些模型中的每一个都有不同的好处，因此选择特定的组织结构很重要。例如，像联合特遣部队阿瑞斯一样，专门针对勒索软件的联合特遣队可能比CNMF特遣部队拥有更多的高级领导（即在将军/旗官级别），同时在CNMF内建立打击勒索软件特遣部队可以与其他CNMF任务实现更大程度的同步。

其次，需要解决几个目标选择问题。一个问题是打击勒索软件活动是否应该针对特定的、已知的犯罪组织。这是一个很难回答的问题，因为勒索软件组织经常以新的形式解散和重组。另一个问题是确定现有交战规则需要更新的程度，以解决诸如指挥控制或限制使用武力等问题，以及建立目标选择审查程序，涵盖诸如可能成为目标的对象、确定此类破坏性行动的任何附带影响等问题，这可能会提高情报阈值，以确保作战活动范围适当并消除冲突。

最后，从资源配置的角度来看，所有这一切都不可避免地引发了相关问题，即打击勒索软件任务与现有任务相比的优先级如何——坦率地说，当前必须付出哪些努力来弥补。网络任务部队（CMF）已经在使用与其威胁规模和任务范围不匹配的资源和能力。这就是为什么网络空间日光室委员会（CSC）建议作为四年一次网络审查的一部分开展一次部队结构评估，以及美国国会将其修订入2021财年国防授权法案的原因。在开展此项评估时，美国防部应考虑新任务领域（例如打击勒索软件）对军事网络部队以及为这些活动提供关键支持的相关情报机构的资源影响。

三、风险和权衡

最后，政策制定者必须彻底审查动用军队打击勒索软件所带来的风险。一个风险是，在界定军队在打击勒索软件方面的作用时，美国可能会无意中开创先例，让对手有正当理由对美国开展军事主导的行动——全球勒索软件中不可忽视的一部分来自美国。相关地，允许在该领域发挥更大和更具侵略性的军事作用可能有助于确认美国对手发布的关于美国网络力量构成威胁的现有说法。例如，当俄罗斯试图通过联合国推动其网络犯罪公约时，可以利用这种说法为自己谋取利益，理由是美国对其主权网络的入侵。

政策制定者还应考虑各国政府在其网络中发现美军时会如何应对。在这种背景下，一轨半或二轨非正式外交对话以及直接的私下外交沟通（例如美国和俄罗斯间正在进行的关于网络问题的专家磋商），对于澄清各自在可接受行为上的立场、传达回应和理解意图变得更加重要。还有一些棘手的国内问题需要解决。值得注意的是，军方和情报体系受到限制他们接触美国人数据的法规的约束。在开展打击勒索软件行动时，可能不可避免地会接触到被盗美国人数据。因此，必须确保监督和协议到位以保护这些数据并确保遵守现有法规和政策，例如《第12333号行政命令》和《美国信号情报指令18》，其中包括定义美国个人数据的情报收集、保留和传播的指导方针和程序。

最后，私营部门还存在潜在的道德风险问题。合乎逻辑的结论是，预计在勒索软件攻击后会进行军事（或执法）干预，公司可能不会被激励积极投资于实施强大的网络安全态势并增强其弹性。在这方面，政府实体和私营部门之间清晰透明的沟通也是建立相互期望的必要条件。

四、结论

鉴于美军可能已经参与打击勒索软件行动，决策者必须有目的地解决军事参与在实践中如何发挥作用的棘手问题。未能考虑关键问题可能会重蹈为应对先前政策挑战（如恐怖主义）而犯下的类似错误的风险，例如如何将军事努力与其他政府行动相结合、如何组织网络部队执行打击勒索软件任务，以及与使用军事权限和资源来应对勒索软件相关的权衡和挑战。并且，在使用军队时，政策制定者应谨慎地将参与范围限制在勒索软件的特定用途上，这将证明使用军事权限和资源是合理的，而不是将军队视为一个用来解决勒索软件带来的所有挑战的方便（且功能强大）的工具。最后，认识到此类活动可能会定义新的先例，政策制定者应准备好了解对私营部门和国家间网络关系的短期和长期影响。

作者简介

埃丽卡·博格哈德博士

卡内基国际和平基金会技术和国际事务项目高级研究员，美国网络空间日光室委员会高级主管。曾担任大西洋理事会斯考克罗夫特战略与安全中心新美国参与倡议的常驻高级研究员、西点军校网络研究所助理教授、外交关系委员会国际事务研究员。

作者简介

劳伦·扎比雷克

哈佛大学肯尼迪学院贝尔弗中心网络项目执行董事。曾担任美国空军情报官、国家地理空间情报局（NGA）平民情报分析员。

本文来自网络空间安全军民融合创新中心。