loading...
美國網路安全和基礎設施安全局(以下簡稱網安局)成立於2018年11月,其前身是國土安全部的一個部門,網安局目前仍隸屬於國土安全部,但是具有獨立運作的權力。
網安局的職責是幫助美國政府、企業及民眾遏制洩密和防止洩密,該機構不停的識別網路威脅,並與駭客攻擊的受害者溝通。
陸軍出身的傳奇女局長
伊斯特利(Jen Easterly)2021年起擔任網安局局長,她是一位充滿傳奇色彩的女性。即將年滿56歲的伊斯特利,其父母都曾在雷根政府工作過。1986年高中畢業後,伊斯特利進入美國著名的「西點軍校」。她後來成為牛津大學的羅德學者(Rhodes Scholar),之後又在軍隊服役了20年。
伊斯特利曾經是軍銜至美國陸軍四星上將、前中央情報局(CIA)局長的裴卓斯(David Petraeus)的助手。美國的網路媒體「火線中國」( Wire China)報導,伊斯特利將裴卓斯將軍視為導師。伊斯特利還在萊斯(Condoleezza Rice)任職國家安全顧問期間,擔任過行政助理。
2007年,伊斯特利隨著國家安全局(NSA)一起被部署到伊拉克的巴格達。當時她的任務是向戰場發射先進的監視系統來監視叛亂分子。
她說,自己當時的座右銘是「像狗一樣工作,像和尚一樣生活」。這種具有高科技挑戰的工作,讓她理解「科技的力量及威脅製造者如何利用科技」。
隨後,伊斯特利協助建立了美國網路司令部,這是國防部下屬的11個作戰司令部之一,負責保護美國的軍事通訊網路。伊斯特利從美國陸軍退役時,獲得了兩枚銅星勳章。
伊斯特利於2019年加入「網路溫室委員會」(Cyberspace Solarium Commission,簡稱CSC),並於2021年成為網安局局長。
CSC這個諮詢機構的成立,旨在幫助網安局塑型和成長,並賦予網安局更多授權和權力。該委員會對網安局的建議包括加強公私合作和制定回應駭客事件的計畫。
伊斯特利本來是以專家的身分加入CSC。CSC的聯合創始人蒙哥馬利(Mark Montgomery),目前在保衛民主基金會(Foundation for Defense of Democracies)任職,他非常讚賞伊斯特利的工作表現。
蒙哥馬利對「火線中國」說:「當你建立一個新機構時,你必須要做的就是強力進入政府的基礎設施中,而她正在努力做到這一點。她試圖成為網路安全界的知名領導者,當危機發生時,他們就會來找你。」
伊斯特利能夠在推廣網安局的演講中,一邊說話,一邊解著魔術方塊,在幾句話之間,把色塊恢復整齊排列的魔術方塊呈現在觀眾前。這種高度運算能力,就是伊斯特利想讓人們看到的網安局形象:這是一個可以解決複雜問題的地方。
身為聯邦官員,伊斯特利的穿著也很特立獨行,她常穿著皮夾克、飾有龍紋的邋遢牛仔褲,及長過小腿的牛仔靴。
印第安納大學網路法學者魯賓(Asaf Lubin)非常欣賞伊斯特利的形象與傳奇經歷。他對「火線中國」說:「她為網安局帶來了豐富的經驗。這反映了網安局處於多方利益相關機構中的核心作用,而她正是這個機構的化身。」
「火線中國」報導,伊斯特利肯定知道她的這種「美學」,很符合網路安全這個族群——一群具有反文化精神的鍵盤戰士。
中共是最大網路安全威脅
一些網路安全專家認為,目前美中之間的網路戰,是上個世紀美蘇核軍備競賽後,發生在網路領域的同一類型軍備競賽,作為世界頭號網路強國的美國,仍然需要在網路戰上對中共起到威懾作用。
目前網安局的年度預算已達30億美元,並僱用了超過1,750名員工。網安局將俄羅斯、伊朗、北韓和共產中國稱為網路攻擊的「常見嫌犯」,其中,中共的駭客活動占用了最多網安局資源。
在中共黨魁習近平的領導下,共產中國的技術能力隨著其軍事野心的發展而不斷膨脹。中國有700萬個軟體開發商,數量是全球第一;也有華為、騰訊和百度等科技巨頭。近年來,中國的大學也開始提供與美國大學相仿的網路安全學位。
今年1月31日,伊斯特利在美國眾議院「美國與中國共產黨戰略競爭特設委員會」作證時表示,由於北京不斷增強網路實力,美國面臨著前所未有的危險。
她說:「近年來,我們看到中國(共)針對美國關鍵基礎設施的攻擊,發生了令人深感擔憂的變化。在這個世界上,跨越半個地球的重大危機很可能是以運輸管線中斷、電信中斷、供水設施汙染及交通癱瘓的模式出現,從而危及美國人的生命。」
伊斯特利補充:「中國(共)是我最關心的威脅,也是網安局最優先考慮的威脅。」她告訴「火線中國」,美國的對手「繼續在網路上投入更多資源」。
曾為聯邦機構提供諮詢服務的資深網路安全專家福爾諾(Richard Forno)將網安局比喻為「網路版的聯邦緊急管理局」(FEMA)。
中共駭客肆無忌憚蒐集情報
今年2月,四川成都網路安全公司「安洵訊息」(i-Soon)的大量電子郵件外洩,外界得以了解中共的國家安全機構如何利用私人公司進行情報蒐集行動。
網路威脅研究員、熟悉中國網路安全生態的專家丹諾夫斯基(Mei Danowski)說:「我們到處都看到了線索,但這讓我們也了解了整個情況。」
英國情報機構「軍情六處」前主管、研究中共間諜活動的專家英克斯特(Nigel Inkster)表示,中共的進攻性網路活動規模「遠超我們所見過的」。
他說:「(中共)如此急迫的蒐集有關對手和批評者的情報,沒有任何限制;在蒐集情報方面似乎沒有任何政治限制。中國(共)似乎不再在乎手指伸進錢櫃,並當場被抓的後果。」
在政治、商業、貿易等領域,警告中共威脅的聲音也一直存在。有評論者認為,美國已陷入「新的紅色恐慌」。而伊斯特利無疑正在盡一己之力來敲響警鐘。
網安局自己也被駭客入侵
然而,美國在面對中共駭客攻擊方面仍不堪重負,有人質疑網安局是否能勝任反擊的任務。今年2月,網安局自己也成為了駭客入侵的受害者。
美國資訊科技與創新基金會(ITIF)副總裁卡斯楚(Daniel Castro)質疑:「如果你把網安局與美國聯邦航空總署(FAA)拿來比較,如果每個月有如此多的飛機墜毀,你會說事情出了嚴重問題。這類駭客攻擊幾乎已經成為常態。」
伏特颶風:網攻事件分水嶺
美國民間企業控制著大部分公共領域,包括電網、石油管道、港口、網路搜尋引擎和社群媒體平台,所有這些節點都非常容易被駭客攻擊。
去年名為「伏特颶風」(Volt Typhoon)的中共間諜活動突顯了這個漏洞,該駭客活動侵入了數十個美國關鍵基礎設施,引起了華府的極大警覺。在華府,人們有一種美國正遭受網路圍攻的感覺,「伏特颶風」事件使這種恐慌達到新的水準。
2023年5月,微軟宣布檢測到「伏特颶風」入侵了美國的基礎設施,包括對關島的水處理廠。微軟檢測確定「伏特颶風」入侵的目的是「在未來的危機期間擾亂美國和亞洲地區之間的關鍵通訊基礎設施」。
由美國、英國、加拿大、澳洲、紐西蘭組成的情報分享機構「五眼聯盟」,很快就發現了更多美國基礎設施遭入侵的事件。
微軟首先將這次駭客行動歸咎於中共。美國司法部今年1月底發布的公告中也明確指出,「伏特颶風」透過使用感染了「KV殭屍網路」(KV
Botnet)惡意軟體的私人SOHO路由器來掩蓋其中國來源。聯邦調查局(FBI)、美國國家安全局和網安局已聯手打掉了「伏特颶風」。
華府對「伏特颶風」事件感到既震驚又困惑,美國人發現這個比竊取個人資訊更惡劣的目的:入侵美國民用基礎設施,似乎是為戰爭做準備。「伏特颶風」已成為網路入侵的分水嶺。
今年2月就職的美國國家安全局暨網戰司令部司令霍夫(Timothy Haugh),在4月的一次安全會議上說:「你們在『伏特颶風』中看到的例子就是,中國(共)如何建立通道布置威脅。而美國方面沒有一個有效的情報理由,從網路安全角度去檢查一個水處理廠。」
專家:網路戰也要威懾策略
為了防止駭客入侵事件,伊斯特利嘗試著迫使民間企業與網安局共同行動,她將大部分責任交給企業,並鼓勵製造商生產更安全的產品。
網安局的「安全設計」計畫是伊斯特利的對策之一,迫使公司設計和製造「可大幅減少漏洞數量」的產品。
伊斯特利說:「我們領先威脅製造者的唯一方法是技術製造商在設計、測試、製造和交付技術時,優先考慮安全性。中國(共)的網路駭客行為者非常老練。但現實是,他們使用了非常簡單的方法闖入我們的關鍵基礎設施。在很多方面,我們都讓他們的入侵變得更容易。」
谷歌、思科和微軟等70家公司最近簽署「安全設計」承諾,他們承諾在一年內,在產品中採用多重身分驗證,及其他以安全為重點的目標,但是該承諾並沒有法律約束力。
這讓許多網路專家雖然在原則上同意伊斯特利的「安全設計」,但對其推廣則抱著懷疑的態度。
英克斯特說:「把這一切做好需要時間和大量資金。很難看出如何讓美國科技業像他們應該做的那樣,認真對待『安全設計』,因為到目前為止,他們還沒有動力去關注這一點。」
前FBI官員、網路安全專家科齊(Adam Kozy)補充:「『安全設計』在網路安全領域並不存在。我們所知道的網路只是不同類型的框架、軟體和硬體集合在一起拼湊而成。」
冷戰威懾策略的延伸
對於一些網路安全專家來說,更現實的策略是簡單的威懾策略。
專注於網路安全的律師烏爾貝利斯(Alexander
Urbelis)說:「冷戰期間,我們的核武庫對其他核武國家起到了威懾作用。在網路戰方面,我們正處於同一類型的軍備競賽中,其重點是『滲透和維持滲透對手基礎設施的持久性』,即如果我可以關掉你的燈,你也可以關掉我的燈,我們就不會關掉彼此的燈。」
可以肯定的是,美國仍然是世界頭號網路強國,而美國及其盟國正在以牙還牙,對中共做出中共對其他國家所做的同樣事情。
中共還沒被威懾到
威懾策略需要確信你的對手是否會報復,紅線和軍備競賽升級的節點在哪裡。但是一些網路專家懷疑北京是否被威懾住了。華府智庫戰略暨國際研究中心(CSIS)戰略科技計畫主任路易斯(James Andrew Lewis)警告,北京正在把美國的紅線推得越來越遠。
他說:「他們(中共)並沒有那麼害怕。他們正在為襲擊進行偵察。這表明他們並沒有真正被威懾嚇到。」
伊斯特利似乎也同意這種觀點,她最近向國會請求提供1.5億美元的資金,部分是為了擴大網安局的「狩獵」團隊。該團隊在美國關鍵基礎設施發現了97種不同的中共駭客滲透情況。
她對國會說:「我們已經在多個領域根除並驅逐了這些中國(共)網路入侵者,但我們相信這只是冰山一角。」
網路安全需要公私協力
伊斯特利曾經在銀行巨頭摩根士丹利的網路安全部門工作四年,這個經歷讓她了解「大公司如何思考其技術生態系統、與主要金融機構合作及與美國政府的互動」。
伊斯特利認為,目前這種公私對接及合作遠遠不夠,處理好公私合作關係是伊斯特利在網安局的重要工作內容之一。
觀察家表示,伊斯特利成立了「聯合網路防禦協作組織」(Joint Cyber Defense Collaborative),這是一個由公司和政府代表組成的機構,旨在快速應對網路事件,其成員有亞馬遜雲端運算服務(AWS)、微軟、Verizon和谷歌等公司。
伊斯特利成還立了「網路安全審查委員會」(Cyber
Safety Review Board),這是一個由15名來自公、私部門(包括谷歌和Gryphon
X)的網路安全專家組成的諮詢機構。該委員會的宗旨是從嚴重的網路攻擊事件中吸取經驗教訓。網安局也向企業提供免費的安全服務,例如檢視安全漏洞。
2021年底和2022年,名為Lapsus$的駭客組織破壞了全球各地的公司,網安局與微軟等受害者合作,記錄了他們回應駭客事件的程序和解救措施。此類經驗彙整協助網安局制定供企業使用的一般駭客防禦指南。
網安局與企業的拉鋸戰
網安局與企業也有著持續的拉鋸戰,因為網安局依賴企業報告網路攻擊事件,並與企業分享網安局運作的資訊,但這也突顯公共部門對私人企業的新依賴。
有些公司選擇不願意與網安局分享資訊,他們可能擔心有一天會被聯邦監管機構用來對付自己。伊斯特利承認,這是一個棘手的問題,不過2022年生效的《關鍵基礎設施網路事件報告法案》可以保護公司免除這類疑慮。◇
