所谓一千个观众心里有一千个哈姆雷特，同样一千个人心理有一千个网络战。但随着全球地缘政治的恶化和攻击性网络攻击的增加，这不仅仅是一个学术问题。

普遍的观点是，网络战是网络领域的战争。这只是部分正确。将战争和网络战视为两个独立的实体（尽管有重叠的边缘）会更有成效。

默克保险的裁决说明了这一点。对于政府和军队以外的大多数人来说，NotPetya 针对乌克兰的攻击是明显的网络战行为。它是侵略性的，造成了损害，是俄罗斯机构（格鲁乌）实施的，是对乌克兰不宣而战的一部分。如果这是乌克兰境内的战争行为，那么这肯定也是乌克兰以外的战争行为吗？

答案是不。从技术上讲， NotPetya从来都不是网络战行为。对这一点和网络战定义的误解给保险业造成了 14 亿美元的损失。本文的目的是试图阐明普通人对网络战争和网络安全的可行理解。

什么是战争？

战争通常被定义为宣布战争状态后两国之间的动态军事行动。这不是一个普遍的观点。战争的目的是让一方对另一方施加霸权 — — 这可以通过武装冲突以外的方式实现。它可以通过经济手段、包括虚假信息在内的心理战或任何其他实现政权更迭的非军事手段同样有效地实现。

通用汽车全球网络安全副总裁兼 CISA 网络安全咨询委员会 (CSAC) 成员 Kevin Tierney 持有这一更广泛的观点。“如果两个国家为某事发生争斗，并不总是通过武力手段。有时它会涉及经济混乱，”他告诉《安全周刊》。

“如果你扰乱目标国家的大部分操作系统，扰乱金融系统，让一个国家对其信息失去信任，丢失政府数据，停止运输或破坏能源或水供应，你可以赢得一场战争，而无需杀死每个国家其他。”

冷战是苏联和西方国家之间一场不宣而战的战争，主要是非动态的（在世界各地局部爆发）。西方在这场战争中通过经济手段而不是武力取得了胜利——苏联不复存在。

但无论你如何定义战争，物理领域和网络领域之间都存在根本区别。物理战争很大程度上限制在交战国的国界内。网络战争不受国界限制，并且更有可能迅速蔓延至全球。

很大程度上出于这个原因，网络战通常被武断地描述为与更广泛的战争概念不同的东西。网络战的看待和定义与非网络战不同。

什么是网络战？

大多数国家认为，对外国国家针对其关键行业的网络攻击的正确反应可能包括采取积极行动。因此，网络活动有可能意外传播并扩大为全球军事冲突。为了限制这种潜力，网络战的定义必须而且确实设定得非常高。

大多数定义最终源自《塔林手册》，该手册由位于爱沙尼亚塔林的北约合作网络防御卓越中心的国际专家制定。从这项工作来看，网络战仅限于导致或预计导致死亡或破坏的网络活动。

任何低于此的行为通常被认为是网络间谍活动，而不是网络战争——而塔林特别排除了网络间谍活动。这最终导致了一种常见的网络战二元观点，仅基于造成的死亡或损害——特别是当这种情况发生在关键基础设施上时。

Contrast Security 网络战略高级副总裁 Tom Kellermann 持这种观点。“网络战是指一个民族国家对关键基础设施发起破坏性网络攻击。”几乎所有其他他都将其描述为网络间谍活动。

Mandiant 情报分析副总裁 John Hultquist 对此表示同意。“经济压制不是战争，”他说。他不同意将冷战称为真正的战争，并将该术语描述为一种隐喻。“战争发生的那一刻就是使用暴力或暴力威胁的时候。我认为这是一个关键因素。只有当人们开始死亡时，你才真正跨越了这条界限。” 这意味着任何未达到死亡（或至少是导致死亡或破坏的期望和意图）的行为在最坏的情况下都只能被归类为网络间谍活动，而不是网络战争的一部分。

将网络间谍活动排除在网络战之外的理由很简单。这是在网络领域进行的间谍活动。间谍活动一直是日常生活的一部分，从个人到公司再到政府。如果间谍活动是一种战争行为，那么世界自古以来就一直在与自己交战。现代世界唯一的区别是网络间谍比以往任何时候都更容易、更可扩展、更容易被否认。

这里的危险在于真正的网络间谍活动和实际的网络战争之间的区别可能是来自 C2 服务器随时发出的简单指令，或者是攻击者的错误，或者是他们软件中的错误。这将另外两个术语纳入分类：期望和意图，这两个术语从根本上来说都是主观解释，很容易被攻击者否认。

普京曾以否认政府参与黑客行为而闻名，他表示，这可能是爱国的俄罗斯公民“正如他们所认为的那样，为打击那些说俄罗斯坏话的人的正当斗争做出了贡献”。简而言之，这不是俄罗斯国家，它没有造成死亡或破坏，也不能被视为网络战行为。

否认很重要。在西方民主国家，合法性由法院定义。仅仅知道一些事情是不够的——它必须能够按照民事法庭的更高标准进行证明。情报机构可能知道某些事情是真实的，但无法公开其知识的来源。

Helder Figueira 是 Incrypteon 的创始人，在成为指挥南非陆军密码分析部门的电子战信号军官之前，曾学习并短暂从事过法律工作。“网络战是数字领域的军事行动，”他说。“但是主权国家发起的网络攻击很难证明或识别。使身份识别进一步复杂化的是，此类活动通常外包给独立承包商，这导致这些活动的发生率不断增加，因为没有实际的外交影响。”

他为未来增加了进一步的复杂性。“现在想象一下人工智能攻击者对目标发动‘网络战’。” 对于分包的人工智能攻击者，没有法律补救措施。

Coalfire 的 FedRAMP 咨询服务负责人斯蒂芬妮·卡特 (Stephanie Carter) 博士评论道：“参议院军事委员会发布了最新的正式版本，指出‘确定什么构成网络空间内外的战争行为，总统将根据具体情况和具体事实制定。”

她继续说道，“现在，我们要听从总统的摆布来宣布什么是网络战的一部分，什么不是。这一决定将在很大程度上受到政治权力和国防的影响……目标应该是定义网络战，以便只有清晰的界限，而不是‘清晰如泥’的解释。”

诺特佩蒂亚

NotPetya 的常识性观点是，这是俄罗斯 2017 年针对乌克兰发动的网络战行为。自 2014 年吞并克里米亚以来，两国之间一直处于未宣战的战争状态。此次攻击是由俄罗斯国家机构（俄罗斯国家机构）发起的。GRU），并造成了损害。

将任何附带损害（例如对美国制药巨头默克公司的损害）视为网络战行为的一部分也是同样的常识。然而，2023年5月1日，美国法院宣布NotPetya攻击不能被归类为网络战行为。除其他论点外，裁决指出，“虽然攻击造成了财产损失，但没有证据表明 NotPetya 恶意软件造成人身伤害或死亡……NotPetya 攻击与军事行动或目标没有充分联系，因为它是非军事网络攻击针对会计软件提供商。”

SentinelOne 首席威胁研究员兼约翰·霍普金斯大学 SAIS 战略研究兼职教授 Juan Andres Guerrero-Saade 解释了将网络攻击描述为网络战行为的一些复杂性。首先，能否在法庭上（情报机构仅知道的范围之外）证明它是由（在本例中）格鲁乌提供的？“到底是谁干的；他们坐的地方；他们穿着什么制服。谁下令做什么？这在多大程度上是有预谋的行动，而不是精心策划的结果，将其从简单的网络攻击变成了潜在的战争行为？”

这就是期望和意图变得重要的地方。NotPetya 武器很难被称为传统的战争武器——它本质上是勒索软件。攻击者可以简单地声称这是犯罪勒索软件出了问题——当然不是战争行为。“在故意破坏关键基础设施的情况下，我真的很想指出Industroyer等恶意软件是一个非常明显的案例，”Guerrero-Saade 继续说道。“Industroyer 拥有嵌入代码的专用工具，专门设计用于与基础设施交互，从而对其造成损坏。”

如果第三方（美国）很难证明 NotPetya 是乌克兰境内的战争行为，那么就不可能证明在乌克兰境外造成了附带损害（例如对默克和许多其他跨国公司造成的损害）针对美国或其他国家的网络战行为。Kiowa Security 创始人 Robin Long 评论道：“我不确定在无法访问做出使用 NotPetya 决定的会议记录或记录的情况下，如何证明意图造成附带损害。”

基本问题是，任何网络攻击的大部分工件主要都是双重目的工具，既用于“友好”目的，也用于邪恶目的。“许多被认为是网络侦察阶段的事情[因此距离造成损害很近]目前每天都在通过广告跟踪网络、谷歌对我们的系统进行——普通的事情， ”格雷罗-萨德补充道。

但这里有一个例子，说明网络战的解释性定义存在根本问题。网络战争擦拭器可以通过解密被破坏的勒索软件来传递，并且作为战争行为是不可见的。任何损害都可以被认为是为了收取金钱的目的而造成的意外损害，而犯罪行为则可以归咎于犯罪分子。

这不仅仅是理论上的可能性。“演员们，”霍特奎斯特说。“很早以前就知道了。他们在 NotPetya 之前就这么做了。他们对此进行了一年的实验。自从入侵乌克兰以来，他们已经做过很多很多次了。如果您想隐藏自己在看似犯罪的行动背后，这是一个很棒的工具。我会更进一步，”他继续说道。“我确信这已经发生了，真正的动机只是简单地归因于经济动机。”

殖民管道事件证明了这些模糊的界限。它对关键基础设施造成了损害，但不属于网络战行为。“如果你看看殖民地管道，”霍特奎斯特评论道，“美国的关键基础设施遭受了巨大的破坏。但其目的并不是破坏基础设施，而是为了赚钱。因此，尽管它遵循的是战时国家行为者所期望的相同蓝图，但它只是为了赚钱而设计的。”

现在将此推理应用于俄罗斯干预 2016 年美国大选。对许多人来说，这似乎是一次策划政权更迭的尝试——从全球自由主义到本地的“美国优先”平台（以及从那里到削弱的北约和更成功的对乌克兰战争）。虽然尝试政权更迭似乎是明显的战争行为，但当你无法在法庭上证明肇事者、没有造成任何物质损害、也没有人死亡时，你如何证明这一点呢？

那么，网络战的定义是什么？

官方定义很明确：它必须导致人身伤害和/或生命损失。网络间谍活动被排除在外。意图主要是辩护人的价值判断，是论证的一部分。它是一个民族国家针对另一个民族国家所犯下的罪行。仅仅知道某项行动是网络战行为还不够——它必须能够向西方民主法院证明。

这个半正式定义的困难并不全是坏事，因为它允许政府做出灵活的反应。政府不需要询问民事法庭，“这是我们可以回应的战争行为吗？” 从政治上来说，政府可以简单地说，这太过分了——我们做出回应。

国际危险在于，英国早在2018 年就明确表示，它认为实际的网络战攻击可以合法地引发立即且未经宣布的动态反应；由于这是对国际法的解释，其任何盟友都可以采取类似的立场。出于这个最终原因，网络战的定义被刻意定得很高。

默克公司的裁决明确表明，网络战的政治/军事定义并不是普通人对网络战的理解。对网络战的正确反应需要基于民族国家或国家相关攻击的明显影响，而不是政府对网络战的定义。

有关系吗？

作为明确的网络战行为的网络行为很容易要求或升级为军事动态报复。由于我们已经讨论过的原因，最终决定最终由总统做出——既然如此，我们需要问的最后一个问题是网络战争和网络间谍活动之间的这种区别是否与企业网络防御者有任何实际相关性。毕竟，防守者必须能够抵御任何人、出于任何目的的所有攻击。

正如对于网络战的构成及其与一般战争的关系有多种观点一样，这个问题也有多种答案。

“这是一个风险方程式，”Epiphany Systems 首席安全和信任官 Malcolm Harkins 说。“风险是威胁、脆弱性和后果的函数。我没有能力控制威胁行为者或威胁代理——这是一个不可控的变量。作为一名首席信息安全官，我管理组织安全的唯一能力就是管理我的可利用性。这是我唯一能控制的事情。其他一切都只是这样。运行安全性就是管理可利用性。如果我过度关注肇事者的本质，我就是在浪费时间，因为我没有能力影响演员。”

霍尔奎斯特有不同的看法。“这绝对重要。如果您不关心攻击者是谁，您就无法进行风险评估。如果两年前您在乌克兰并负责保护 IT 基础设施的安全，并且您认为战争是否迫在眉睫并不重要，那么您就会失败。如果你不考虑对手是谁，你就无法开始保护你的系统。”

他继续说，“我们有时忘记问，谁是坏人，他们有什么能力——他们什么时候会攻击，什么时候不会攻击？我是否面临这些人的危险？想象一下，现在是第二次世界大战前夕，您负责制定军队的所有采购决策。你想知道敌人已经发展出了什么能力，但有人对你说：“你不需要知道；你可以知道”。你可以根据你认为最好的方式做出决定。”

第三种可能更具政治性的观点来自格雷罗-萨德。“无论是作为守法国家的公民，还是作为试图找出正确防御措施的人们，这都应该是一个非常真实、细致的担忧。” 如果总统最终负责在 CISO 保卫其网络之外采取正确措施，那么我们需要了解以我们名义做出的这些决定背后的论据。

原文始发于微信公众号（祺印说信安）：美国人眼里的网络战是什么样？