网络情报公司的威胁报告如何系统性地低估了对公民社会的威胁

【摘要】公众和学术界对网络冲突的认识很大程度上依赖于来自商业威胁报告的数据。我们有理由担心，这些数据歪曲了对网络威胁活动的看法。商业网络安全公司只关注威胁范围中的一部分，而且他们只公开报告一部分。对知名受害者的高端威胁是商业报道的重点，而对缺乏支付高端网络防御资源的民间社会组织的威胁往往被忽视或完全被归入一类。这种选择偏见不仅阻碍了网络安全方面的学术研究，也对民主产生了令人担忧的后果。我们提出和分析一个原始的数据集可用的公共报告由私营部门和独立研究中心。我们还提出了三个案例研究，追踪以公民社会为目标的网络行动的报告模式。我们的研究结果证实了对公民社会威胁的忽视，支持了一个假设，即企业的商业利益将在报告中产生系统性偏差，其功能与广告和情报一样。其结果是一个删减的网络冲突样本，它没有充分代表针对公民社会的目标，扭曲了学术辩论和公共政策

【关键词】  网络安全;公共物品;公民社会;威胁情报;网络冲突;市场失败者

2018年10月1日，公民实验室的一份报告显示，沙特阿拉伯著名异见人士奥马尔·阿卜杜勒阿齐兹的手机感染了复杂的间谍软件(Marczak et al. 2015)。研究人员高度确信，他的手机被与沙特阿拉伯政府有关的运营商侵入;他们还认定该间谍软件是以色列供应商NSO集团制造的“Pegasus”套件。阿卜杜勒阿齐兹是一名加拿大大学生，经营着一个颇受欢迎的YouTube频道，发布批评沙特政权的讽刺视频。一天后，另一位知名异见人士、《华盛顿邮报》(Washington Post)记者贾马尔·卡舒吉(Jamal Khashoggi)被诱骗到沙特驻土耳其伊斯坦布尔领事馆，在那里被谋杀并肢解。此后不久，有消息透露，阿卜杜勒阿齐兹和卡舒吉曾在一个反对沙特王储的社交媒体上合作，他们主要通过加密的、据称是私人的WhatsApp对话进行交流，但公民实验室发现，这段对话被沙特情报机构远程监控。尽管谋杀卡舒吉的具体决定背后的原因尚不清楚，但许多人将其与这次行动中发现的监视联系起来。

这起案件对有关网络安全的几个流行假设提出了质疑。首先，流行的叙事强调了对关键基础设施、知识产权和国家机密的威胁。然而，在这次事件中，沙特阿拉伯利用了一个复杂的剥削平台，把目标对准了一个经营喜剧频道的孤独评论家。第二，人们普遍认为网络空间有利于弱小的参与者，而不是强大的参与者，但这里的不对称性是反向的NSO集团自称是一家“网络战”公司，市值10亿美元，专门将其技术出售给政府、执法部门、军方和情报机构，然而沙特政权却利用其军事级别的能力入侵了异见人士的iPhone。第三，安全公司和政府机构通常被认为是网络安全方面的专家，但这种威胁是由公民社会自己识别和披露的。公民实验室是一所大型研究型大学的一个小单位，对目标数字威胁进行跨学科研究，它检测到阿卜杜勒阿齐兹面临的威胁只是因为它在研究更广泛的模式。NSO集团煽动的侵犯人权行为。

虽然有关网络安全的学术和政策讨论集中在高调参与者面临的高端威胁上，但我们有理由相信，有针对性地利用公民社会是网络革命的一个基本特征。俄罗斯对2016年美国总统大选的干预戏剧性地凸显了公民社会的脆弱性和网络安全辩论的缺陷，正是因为受害者是一个民主超级大国。更典型的是，公民社会在沉默中受苦。如何解释感知和实践之间的差距?我们对网络冲突的了解大多来自网络安全公司的公开报告提供的数据，但在这些报告中，像奥马尔·阿卜杜勒阿齐兹这样的公民社会目标往往只得到过眼。我们将商业威胁报告视为威胁情报服务私人供应商针对特定数字威胁的公开报告。这些报告主要是营销工具，旨在增加这些供应商提供的付费产品的收入，即私人情报报告和网络防御服务。重要的是，推动公开报道的动机往往会在冲突范围的高端创造一个有偏见的事件样本，并/或针对能够负担得起商业网络防御的富有参与者。然而，对那些负担不起费用的公民社会组织的威胁往往没有被报道，而他们的网络也没有得到保护。这对民主的健康发展和网络安全研究都是不利的。因此，我们认为，商业威胁报告提供了一个扭曲威胁认知的网络冲突的删节样本。这种报道有系统性的偏见，但这种偏见还没有被系统地检查。

商业报告中的威胁膨胀是一个公认的问题，但在有关网络冲突的文献中，报告中的选择偏差尚未得到充分解决。重要的是，因为商业威胁报告提供了迄今为止最大的、通常也是唯一的网络冲突数据来源，这种偏见很可能影响决策者和研究人员的看法。我们用2009-2018年共有700份关于定向剥削的公开报告的原始数据集来测试这一理论。我们收集的报告来自两类来源:第一种是商业威胁情报供应，第二种是独立研究中心。我们还研究了数字权利倡导组织AccessNow的热线数据，这些数据反映了公民社会本身报告的数字威胁。我们发现，商业威胁报告中讨论公民社会的比例很低，而真正关注的是备受关注的受害者和威胁行动者。报告和归因模式的地理分布与假设的选择偏差相一致。为了进一步探究其合理性，我们选择了三个公民社会剥削的案例，一个来自俄罗斯，另两个来自中国，进行结构化的集中比较。法医数据有力地证实了我们的理论，因为即使是最不可能发生的病例也显示出明显的选择性报告。最后，我们讨论了数字时代对学术和民主的影响。问题是:我们知道什么?早期的网络安全研究认为，由于数据匮乏，未来的网络战争主要依靠猜测。在1993年提出假设:“信息革命意味着网络战争的兴起，在这场战争中，大众和移动性都不会决定结果”。在这种情况下，信息战胜了大规模，地理是次要的，因为冲突以前所未有的速度“在网络空间”发生，权力向较小的参与者扩散，导致不对称威胁的上升。这种网络战争场景成为网络安全讨论中的传统智慧，并持续了近20年。因此，林恩三世在2010年提出“网络战是非对称的.. ..”一打下定决心的计算机程序员可以，如果他们发现一个漏洞，利用，威胁美国。类似地，约瑟夫·奈断言“低进入门槛有助于网络领域的权力扩散”。这种看法导致了对关键基础设施的威胁的关注，并假设后者中的漏洞“为非国家行为者提供了不对称的优势”。然而，破坏性网络战争的威胁已经造成即使是最好的例外(Stuxnet)也违反了关于网络战的传统假设，从而证明了规则。

然而，大约在同一时间，公民实验室(Citizen Lab)的研究人员发现，针对西藏流亡政府的黑客行动是中国针对103个国家的政府机构和公民社会的全球间谍活动的一部分，证明了收集网络冲突的经验数据是可能的。这份题为“幽灵网”的报告改变了网络安全格局，因为私人供应商开始以“Shady RAT”和“Aurora”等名称发布报告，详细描述在野外发现的网络行动。同年，Stuxnet恶意软件首次提供了网络行动造成物理损害的证据。重要的是，这一行动的大部分经验证据来自商业威胁报告。这种可以在供应商网站上免费获得的公开报告数量迅速增加，为学者和决策者提供了丰富的新数据来源。

在这些数据的基础上，一些学者对网络战争的既定智慧提出了挑战。2012年，托马斯·里德认为，“世界从未经历过网络战……相反，在过去的十年里，越来越多复杂的网络破坏、间谍活动和颠覆活动。。乔恩·林赛的Stuxnet的研究,主要依靠商业威胁的报告数据,强调“所需的技术和组织上的水平发挥网络战能力之外的通常是一个孤独的黑客,一小群业余爱好者,甚至有组织的犯罪团伙”。类似地，埃里克·加茨克总结道:“到目前为止，通过互联网实现政治冲突转变的最引人注目的场景……涉及使用互联网进行间谍活动”。自那以后，越来越多的学者强调了网络行动作为战争、胁迫和破坏手段的有限效力。简而言之，暴力或人身破坏行为涉及的行动挑战不容小视，只有强大的行动者才有可能克服这些挑战，也不太可能感兴趣，因为有其他更可靠的方式产生胁迫性伤害。相比之下，数字间谍以相对低的风险提供了显著的收益。与此同时，商业威胁报告的数量呈指数级增长，学术界越来越依赖这些报告提供的丰富数据。例如林赛的中国网络间谍调查，托马斯·里德和本·布坎南的归因分析，布坎南的2017年的书《网络安全困境》，以及本·詹森、瑞恩·马内斯和布兰登·瓦莱里亚诺的俄罗斯案例研究。公开数据的日益普及显然是一种积极的发展。

然而，商业参与者采用了公民实验室开创的方法，而不是报道的实质内容。商业威胁报告主要集中于网络犯罪、经济间谍活动和对关键基础设施的破坏。由于这些报告构成了有关网络行动的最大数据来源，而且往往是唯一的数据来源，可以预期，决策者和学者的看法将反映出威胁报告中明显的模式。因此,JD工作表明,由于缺乏替代来源的数据,“决策者、军事专家和学者必须严重依赖于这个新来源范围理解的发展网络域”。因此,“越来越多的重大政策问题。被潜在的商业情报报告深刻影响”。因此，报告的内容和不报告的内容对学术界和政策具有重大影响。

通过泄露信息和社交媒体影响竞选对2016年美国总统选举的干预打破了现行的威胁模式。正如Jayamaha和Matisek所说，“没有人预料到‘颠覆工具’会被如此利用，通过利用公民社会组织来制造社会内部紧张。随后的调查——包括特别检察官罗伯特·穆勒三世的调查——揭露了一场利用虚假信息影响选民意见并助长分裂的大规模影响力运动它对选举结果的实际影响仍在激烈辩论中，但其重要性是明确的，并反映在将这次行动视为“战争行为”的威胁观念中。这场针对个人和公民社会的俄罗斯影响力运动让大多数学者和政策制定者措手不及;它不符合流行的以破坏关键基础设施和大规模数字间谍活动为重点的威胁模型。

学者和政策制定者的共同惊讶表明，商业威胁报告提供了一幅不完整的网络冲突画面。商业威胁报告是提供主流威胁模型的关键数据来源。值得注意的是,Jayamaha形成鲜明对比,Matisek声称意外,一位学者早在2003年就警告说,“压力来自安全和商业部门的监管和控制互联网开始改变其基本材料建筑的方式不仅会削弱全球公民的活动网络,还包括开放的全球通信环境的长期前景”。其他人已经注意到网络冲突对公民社会构成的威胁，但在学术界它仍然是一个边缘话题。与此同时，独立研究中心和非营利组织已经记录了十多年来针对公民社会的数字威胁的扩散然而，独立研究中心的资源只有商业供应商的一小部分，这限制了它们大规模调查和报告此类威胁的能力。

威胁情报已经成为一个数十亿美元的产业，因此供应商有资源报告许多不同的威胁类型。然而，由于潜在的商业动机，商业威胁报告不太可能提供网络冲突的代表性样本。现有的研究已经解决了当前归因过程的缺点和商业报告中威胁通货膨胀的趋势，以增加安全产品的销售。由于商业报道通常是网络冲突数据的主要来源，这种威胁通货膨胀可能形成了对“网络末日”和网络恐怖主义的夸大恐惧，扭曲了当前的辩论和政策制定。然而，报告中存在的这些问题是根深蒂固的，不同公司的报告存在系统性偏差，影响报告的威胁类型，以及未报告的威胁类型，尚未得到充分探讨。如果对威胁报告背后的动机进行更仔细的研究，我们就会发现，不仅是威胁通胀，而且系统地低估了特定威胁类型——特别是对公民社会的威胁。由于缺乏其他数据来源，以及对公民社会本身造成的可怕后果，这个问题尤其严重。

本期编辑：SXS

如有侵权，请联系管理员删除

通过“情报学院”知识星球可以阅读该资料的全部内容👇

本文始发于微信公众号（情报分析师）：网络情报公司的威胁报告如何系统性地低估了对公民社会的威胁