如何阻止朝鲜的网络攻击

在网络空间威胁日益增长的情况下，韩国总统尹锡悦有可能加深与美国的网络合作。与被批评对平壤态度软弱的前任不同，尹锡悦明确表示，他的政府将对朝鲜的侵犯行为采取强硬立场，包括在网络空间的侵犯行为。

政府已将网络安全确定为最紧迫的威胁之一，并将其指定为一项关键的国家任务。为此，他一再承诺加强与华盛顿在网络安全方面的合作，他就职后一周发表的联合声明就证明了这一点，其中“网络”一词出现了十次。

在那份声明中，华盛顿和首尔同意“扩大合作，应对来自朝鲜的一系列网络威胁，包括但不限于国家支持的网络攻击。”该声明甚至包括一整段关于网络政策具体重点领域的内容:网络威慑、保护关键基础设施、打击网络犯罪和相关洗钱活动等等。

最近，双方在华盛顿举行了首次网络工作小组会议，讨论朝鲜的网络威胁，并在联盟层面制定应对这些威胁的政策选择。尽管最近取得了这些进展，但韩国和美国在有效遏制朝鲜网络威胁方面仍未取得实质性进展。网络威慑是通过存在可信的反击威胁来防止恶意网络活动的做法。

为了成功的威慑，必须满足几个条件:

1)低水平的侵略者动机；

2)明确谁将受到威慑和威慑国家的反制；

3)攻击者高度相信防御者有实施威胁的能力和意愿。

然而，目前的韩美网络战略未能解决任何这些因素，让朝鲜继续其网络行动，强化其对网络行动是低成本高回报企业的看法。影响朝鲜政权实施网络攻击的成本收益分析的关键因素包括朝鲜摇摇欲坠的经济以及美国和韩国缺乏可信的报复措施。

因此，美国和韩国当前的网络战略需要调整，在提高防御网络能力的同时纳入惩罚元素。

网络作战:低成本、高回报

众所周知，朝鲜利用网络行动来实现各种战略目标，包括惩罚与政权发生冲突的批评者、情报收集和创收。

近年来，网络攻击越来越侧重于创收，主要是为了维持该政权及其核计划，因为其经济因长期粮食短缺和联合国主导的制裁等内外因素而持续萎缩。

新冠肺炎的爆发和随后的边境关闭加剧了朝鲜的经济形势；去年，其经济以创纪录的4.5%的速度收缩。这些经济状况刺激了朝鲜政权继续其网络操作以获取经济利益。

仅在2021年，朝鲜被认为窃取了近4亿美元的加密货币，与一年前相比增长了40%。鉴于经济萎靡不振，朝鲜可能会继续其网络行动，包括加密货币盗窃、银行抢劫、勒索和敲诈，以及对加密货币交易所的攻击。

朝鲜实施网络攻击的动机也非常高，因为平壤认为这是低风险的，这在很大程度上是因为它过去一直能够逃脱适当的惩罚。韩国和美国没有让朝鲜为自己的行为负责，而是以被动措施回应，往往没有在联盟层面做出一致的回应。

比如，在至少自2009年以来针对美国和韩国政府机构、媒体、金融基础设施和国防承包商的一系列网络攻击中，该联盟既没有在紧随其后的情况下发表联合声明谴责朝鲜，也没有联合采取可能阻止该政权继续发动攻击的报复行动。

相反，该联盟的反应是发表一份措辞模糊的联合声明，比如该联盟“将继续相互磋商，以应对这些威胁(来自朝鲜的网络威胁)”，这没有什么信号价值。

该联盟在应对朝鲜的网络攻击时也缺乏协调，主要是因为两国对网络威慑的方法不同。例如，韩国的主要网络战略一直是纯粹的防御性战略，侧重于提高防御性网络能力。

根据尹政府发布的“110项关键国家任务”，政府将通过“通过研发推进黑客检测、干扰和跟踪系统”，来“加强其网络威慑能力”。同样，文在寅政府发布的2019年国家网络安全战略指出，“网络威慑战略”旨在“发展预防能力，以收集、管理和消除网络中的漏洞”。

根据两届不同政府的威慑战略，韩国投入巨资加强早期预警和检测能力，要求政府定期进行模拟网络危机演习，并将对国家安全至关重要的设施和公司的内部网与互联网分开。

另一方面，美国采取了一条不同的轨迹，引入了一个需要更加积极主动和“持续参与”的战略概念。新的“向前防御”网络战略旨在通过“尽可能向前防御恶意网络空间活动”和“对抗对手破坏关键政府和军事职能的企图”，从源头上“破坏或阻止恶意网络活动”。

目前还不清楚这一战略是否意味着美国寻求在网络空间实现威慑，包括通过惩罚。过去的案例表明，美国可能不会通过惩罚来寻求威慑，正如一系列针对朝鲜的网络攻击所表明的那样，在这些攻击中，美国被怀疑是肇事者，但从未承认参与其中。

无论美国是否是这些攻击的幕后黑手，目的是“威慑”来自朝鲜的未来威胁，华盛顿都明确表示，它寻求对网络威胁实现某种程度的威慑。

例如，2020年网络空间日光浴室委员会最终报告引入了“网络分层威慑”的概念，这一概念将增强的防御能力和“更清晰的信号战略与(美国)合作伙伴和盟友的集体行动相结合。”

尽管引入了这一概念，但令人惊讶的是，韩国和美国尚未达成任何一致的战略框架，规定联盟将如何共同应对朝鲜的网络行动，从而向朝鲜发出明确信号，表明其在网络空间的行为将受到联盟严厉和一致的回应。

否认的局限性

韩国主要以否定的方式追求威慑，即注重提高防御网络能力。在2019年至2022年期间，韩国政府在网络防御方面花费了大约10亿美元，特别是在建设数据保护基础设施方面。

这种防御策略的理由是，如果网络攻击者认为他们成功的机会较低，他们就不太可能实施攻击。然而，单独采取防御方法在防止朝鲜开展网络行动方面成效有限；国家支持的朝鲜黑客持续成功的网络攻击清楚地表明了这种局限性。这是因为拒绝策略本身并不能解决攻击者的行为和动机。

在当前的结构中，即使朝鲜被发现试图攻击能源公司，它得到的只是韩国政府的公开指责，而没有任何报复性回应。在任务成功之前，朝鲜几乎没有(如果有的话)停止网络行动的动机，因为它的行动不会受到惩罚。

朝鲜也有实施网络行动的强烈动机，因为它可以从针对拥有高度互联网连接和数字依赖型经济的防御者的网络行动中获益匪浅。对于互联网普及率高的先进民主国家来说，为所有能够应对不断演变的进攻性网络威胁的脆弱部门开发、维护和加强网络防御系统极其困难。

此外，经常成为网络攻击目标的政府和公有企业往往缺乏应对这些攻击所需的速度和敏捷性。此外，韩国的大部分机构，包括银行、媒体、医院和国防承包商，都属于私人领域，因此不受政府控制，这使得监督和无缝检测变得尤为困难。

另一方面，朝鲜只有不到1%的人口可以访问互联网，这意味着它不需要在国防上投资，可以将大部分资源用于发展进攻能力。鉴于这种激励结构，单纯的拒绝策略不太可能影响朝鲜实施网络行动的预期成本和收益。为了补充这一战略，韩国需要一种机制向朝鲜发出可信的信号，表明其侵略行为将遭到严厉和一致的回应。

意识到过去网络战略的局限性，韩国政府似乎正在采取更积极的措施来加强韩国的网络能力。最近，韩国的网络专家首次参加了网络旗帜22，这是美国网络司令部的年度演习，提供针对恶意网络行为者活动的现实训练。

政府还宣布了培养“10万名网络战士”的计划，这些战士可以“在大国之间激烈的网络战中保护韩国的技术和网络安全。”该计划细节的宣布标志着从总统文在寅的方法转向发展网络部队。

虽然文在寅也表示，他的政府将“扩大网络力量”，至少在理论上是如此，但他的政府没有采取任何重大行动来实现这一目标，担心出于国内政治原因而发展自己的网络力量。

政府指责其网络司令部通过发布有利于当时的总统候选人朴槿惠的评论来干涉总统选举。文在寅甚至取消了司令部开展的“网络心理战”，以对抗朝鲜的网上错误信息活动。

与他的前任不同，尹既没有对网络司令部的个人怨恨，也没有将网络部门政治化的兴趣。因此，在尹的领导下，网络司令部可能会在打击朝鲜网络威胁方面发挥更大的作用，投入更多的财力和人力资源。

然而，鉴于公开信息，韩国愿意采取何种行动范围来遏制朝鲜不断发展的网络行动仍不明朗。明显缺乏的是韩国和美国网络威慑战略的一致性，而这是通过集体行动有效应对朝鲜政权动机所必需的。

两国目前各自为政的威慑框架：一个侧重于简单的否认，另一个缺乏集体行动的明确信号机制——不足以改变朝鲜对发动网络行动的认知成本。

北约不应发表含糊的外交声明，不可信地传达其坚决应对朝鲜网络侵略的决心，而应传达其反击平壤网络侵略的意图和承诺，以从一开始就阻止行动的开展。

联合网络威慑战略

在开发联合网络威慑框架的过程中，两个盟国必须就几个关键要素达成一致。首先，联盟寻求阻止什么类型的网络行动和什么级别的活动？回答这个问题对于制定适当的应对方案和可信地向对手传达“红线”至关重要。与常规威慑一样，界定低门槛网络攻击和设计相称的应对措施可能特别具有挑战性。

该联盟可以首先尝试阻止最危险类型的网络攻击。这种攻击包括对关键基础设施的破坏，包括但不限于美韩联合军事资产、发电和配电设施以及核电站。当然，联盟需要就“关键基础设施”的构成达成一致。有了这一基本协议，盟国应该考虑修改共同防御条约或延伸威慑框架，明确将网络威胁纳入“武装攻击”，这将正式承认联盟准备采取联合行动应对网络威胁。

第二，如果这条“红线”被越过，相应的反应会是什么？联盟会进行网络回应还是使用非网络报复？在对朝鲜进行报复性回应的情况下，可以认为朝鲜极其有限的互联网接入可能会限制针对朝鲜的进攻性网络行动的有效性。然而，过去的案例表明，对朝鲜服务器的攻击至少会给金正恩带来严重的麻烦。

例如，一名美国黑客曾经破坏了朝鲜的整个互联网连接。尽管进攻性网络攻击的威慑效果应该进一步评估，但该联盟的进攻能力仍然可以作为网络威慑的有用工具，增加朝鲜对两国可以报复的信心。除了网络响应之外，联盟还应该考虑跨域响应。

在这种情况下，面临的挑战将是明确确定网络攻击需要达到什么样的门槛，才能得到具体的非网络回应，并在反击后管理升级的风险。然而，升级的风险可以通过事先与对手清楚地交流阈值和相应的响应来减轻。有了这一战略框架，北约可以联合发表一份外交声明，表明其兑现威胁的意图。这并不是说拒绝战略是一个彻底的失败，联盟应该放弃提高其防御网络能力。

然而，目前的拒绝战略本身并没有改变朝鲜政权实施网络行动的动机。因此，该联盟应该实施一项联合网络威慑战略，包括惩罚与现有的网络防御重点相结合。除了规划战略性网络防御框架，韩国和美国还必须继续努力，通过演习、培训、研讨会和信息共享来加强防御网络攻击的技术能力。

有人可能会说，由于归属困难，网络威慑是不可能的。正如一些学者认为的那样，朝鲜躲避侦查的先进技术可能会让目标国难以及早发现和确定目标。然而，有证据表明，归属问题可以得到缓解。

例如，研究发现，如果能够作出某些改进，如减少误报或以不检测取代误识别，即使在归属不完善的情况下，威慑也是可能的。此外，联合国安理会朝鲜制裁委员会的一名匿名成员指出，归因技术的最新发展使得归因不像以前那样具有挑战性。

总之，像韩国所做的那样，只关注拒绝战略对于阻止朝鲜的网络侵略是无效的，而美国的网络战略缺乏一个明确而可信的信号机制来说明它将如何与盟友和合作伙伴一起采取集体行动来应对网络行动。

为了弥补这一差距，该联盟应该制定一项联合网络威慑战略——包括适当的惩罚措施——明确说明它寻求威慑的活动的界限及其相应的反应。

与此同时，两国应与其他全球和地区伙伴合作，继续加强网络弹性合作。

原文始发于微信公众号（网络研究院）：如何阻止朝鲜的网络攻击