網絡戰競賽 美CISA如何對抗中共黑客帝國
【大紀元2024年05月29日訊】(大紀元記者程雯綜合報導)「近年來,我們看到中國(中共)針對美國關鍵基礎設施的攻擊發生了令人深感擔憂的變化。」美國網絡安全和基礎設施安全局(CISA)局長在一次國會聽證會上這麼說。
2018年才成立的CISA一直肩負著幫助美國政府、企業、公眾遏制洩密和防止洩密的任務,它就像一個數字化的清算所,不停地識別網絡威脅,並與遭到黑客攻擊的受害者進行溝通。
而自2021年起擔任CISA局長的珍‧伊斯特利(Jen Easterly)更是一位充滿傳奇色彩的女性,她認為共產中國是當今最大的黑客帝國,她向美國的國會議員們警告說:「中國是我最關心的威脅,也是該機構最優先考慮的威脅。」
一些網絡安全專家也認為,目前美中之間的網絡戰是繼上世紀冷戰期間美蘇核軍備競賽後發生在網絡領域的同一類型的軍備競賽,作為世界頭號網絡強國的美國也仍然需要在網絡戰上對中共起到威懾作用。
那麼,CISA是如何對抗中共黑客帝國的呢?伊斯特利又有什麼樣的領導力?本文來概括地看一下。
CISA在一系列中共黑客攻擊後成立
自從現代社會進入網絡和數字化時代以來,一些有遠見的美國人,例如羅德島州的前國會議員吉姆‧蘭之萬(Jim Langevin)等人就一直主張要建立聯邦網絡安全機構。
伊斯特利表示,2008年俄羅斯黑客滲透到美國軍事網絡時,這給華府敲響了「真正的警鐘」。從那時起,一些跨部門的網絡安全機構——包括聯邦調查局(FBI)的網絡部門、國防部的網絡司令部和中央情報局(CIA)的行動支援部門——如雨後春筍般湧現出來,以保護新的網絡戰的數字前線。
而CISA的設立則直接是對一系列的中共黑客攻擊事件的響應。
2015年7月,中共黑客從美國人事管理局竊取了2,200萬美國人的安全檔案。
除了網絡間諜活動之外,中共還對美國公司如核電廠製造商西屋公司(Westinghouse)和太陽能電池製造商太陽能世界(SolarWorld)等進行了黑客攻擊,以竊取智慧產權。
這種企業竊盜行為長期以來一直讓華府感到不安。2015年9月,習近平訪問了白宮,時任美國總統奧巴馬(Barack Obama)在玫瑰園與習近平並肩發表講話時,用微妙的語言向習近平發出了警告。
奧巴馬說:「我們共同確認了一項原則,即政府不會針對公司進行網絡間諜活動以獲取商業利益。我對習主席說的話以及我想對美國人民說的話是:『言出必行嗎?』我們將仔細觀察並評估這一領域是否取得了進展。」
在奧巴馬和習近平的美中高峰會後,中共的網絡黑客行動短暫平靜了一段時間,隨後,中共又開始並加大了黑客攻擊力度。
2017年,美國最大的消費者信用報告機構艾可飛(Equifax)遭遇大規模資料洩露,最終調查結果指向那起黑客攻擊來自中共軍方人員。
艾可飛是美國三大信貸機構中歷史最悠久的,該公司成立於1899年,已收集和保存有全球超過8億消費者和超過8,800萬家企業的信息。
2018年初,中共黑客又滲透了一家美國海軍承包商的計算機系統,竊取了美軍敏感的水下作戰計劃。
接著,更複雜的中共黑客攻擊接踵而至,層出不窮。這顯示出,中共在網絡空間的能力已經接近美國。
CISA於2018年11月成立,其前身是國家保護和計劃局(NPPD),2007年作為國土安全部內的一個部門成立。如今,CISA仍隸屬國土安全部,但是具有獨立運作的權力。
2019年,CISA成立後不久,網絡專家組建了一個名為「網絡空間日光浴室委員會」(Cyberspace Solarium Commission)的政府間諮詢機構,以幫助CISA塑型和成長,並賦予CISA更廣泛的授權和權力。該委員會對CISA的建議包括加強公私合作和制定網絡事件響應計劃。
伊斯特利當時作為一名專家加入了該委員會,她表示該委員會的建議和諮詢對CISA的成型非常重要。
日光浴室委員會的聯合創始人馬克‧蒙哥馬利(Mark Montgomery),目前在保衛民主基金會(Foundation for Defense of Democracies)任職,他對現任CISA局長伊斯特利所做的讓人們更多了解CISA這個新機構的能力和影響力的工作非常滿意。
蒙哥馬利對數字週刊《火線中國》(The Wire China)說:「當你建立一個新機構時,你必須要做的就是強力進入政府的基礎設施中,而她正在努力做到這一點。這是關於要作為(網絡安全)有知名度的領導者的身分出現,這樣當危機發生時,他們就會來找你。」
伊斯特利:一位經歷傳奇且特立獨行的女性科技奇才
即將年滿56歲的伊斯特利來自於馬里蘭州的波托馬克(Potomac),緊鄰華盛頓DC,她的父母都曾在里根政府工作過。1986年高中畢業後,伊斯特利選擇就讀著名的美國軍事學院「西點軍校」,這讓所有人都感到驚訝。她後來成為牛津大學的羅德學者(Rhodes Scholar),之後又在軍隊服役了20年。
2001年的「9·11」恐怖襲擊事件後,伊斯特利成為大衛‧彼得雷烏斯(David Petraeus)的助手。彼得雷烏斯在2003年3月作為第101空降師師長率領部隊最先加入伊拉克戰爭,並在2007年成為駐伊拉克多國部隊司令。
後來,彼得雷烏斯軍銜升至美國陸軍四星上將,還先後擔任過美軍中央司令部總司令(2008—2010),以及美國和北約駐阿富汗部隊的司令(2010—2011)。退役後,彼得雷烏斯將軍還擔任過CIA局長(2011—2012)。
《火線中國》報導說,伊斯特利將彼得雷烏斯將軍視為導師。
伊斯特利還為康多莉扎‧賴斯(Condoleezza Rice)任職國家安全顧問期間擔任過行政助理。賴斯在小布什總統的第一個任期(2001—2005)擔任國家安全顧問,並在小布什的第二個總統任期(2005—2009)成為國務卿。
2007年,伊斯特利隨著國家安全局(NSA)一起被部署到伊拉克的巴格達。她說,她當時的座右銘是「像狗一樣工作,像和尚一樣生活」。在伊拉克,她的任務是向戰場發射一種先進的監視系統來監視叛亂分子。她說,這種具有高科技挑戰的工作經驗塑造了她對「科技的力量以及實施威脅者如何利用科技」的理解。
隨後,伊斯特利協助建立了美國網絡司令部,這是國防部下屬的11個作戰司令部之一,負責保護美國的軍事通訊網絡。最後從美國陸軍退役時,她獲得了兩枚銅星勳章。
退役後,伊斯特利於2011年至2013年在阿富汗的喀布爾擔任NSA的反恐副主任。在奧巴馬第二個總統任期(2013—2017)內,她擔任了總統特別助理和國家安全委員會的反恐高級主任。
伊斯特利於2019年加入「網絡空間日光浴室委員會」,並於2021年成為CISA的局長。
印第安納大學網絡法學者阿薩夫‧魯賓(Asaf Lubin)非常欣賞伊斯特利的傳奇經歷為CISA帶來豐富的經驗,他對《火線中國》說:「她為CISA帶來了廣泛的經驗。這反映了CISA作為多利益相關方機構的核心作用的方式,而她正是這一機構的化身。」
這位前軍事和情報官員也是一位技術奇才,在推廣CISA的許多公開演講中,伊斯特利經常在台上一邊說著話一邊解魔方。說話間,她甚至可以把一個顏色混亂的魔方放到背後,兩手在背後轉了幾下後,再把魔方拿回到觀眾面前時已經完全是各面顏色復原的了。她的這種高運算腦力實在讓人望塵莫及,這也展示了她想向公眾推廣的CISA的形象——這是一個可以解決複雜問題的地方。
另外,作為聯邦官員,伊斯特利的著裝也很特立獨行,她經常穿著皮夾克、飾有龍紋的邋遢牛仔褲,以及長過小腿的牛仔靴。
《火線中國》雜誌表示,伊斯特利肯定會知道她的這種「美學」很符合網絡安全這個群體——他們是一群具有反文化精神的鍵盤戰士。
CISA以共產中國為首要黑客帝國和網絡威脅
自伊斯特利於2021年成為局長以來,CISA的年度預算已達30億美元,並僱用了超過1,750名員工。
通常,CISA將俄羅斯、伊朗、朝鮮和共產中國稱為網絡攻擊的「常見嫌疑犯」。雖然每個「嫌疑犯」的野心和能力都受到CISA的關注,但是占用最多頻寬的是共產中國及其快速發展的黑客能力。
在習近平的領導下,共產中國的技術能力隨著其軍事野心的發展而不斷膨脹。中國擁有全世界最多的軟件開發商——700萬個;擁有全世界最大的科技巨頭──如華為、騰訊和百度──它們都是中國公司。近年來,中國的大學也開始提供似乎模仿美國大學的網絡安全學位。
今年1月底,伊斯特利在美國國會的「中國問題特別委員會」作證時明確表示,由於北京不斷增強的網絡空間實力,美國正面臨前所未有的危險。
她說:「近年來,我們看到中國(中共)針對美國關鍵基礎設施的攻擊發生了令人深感擔憂的變化。在這個世界上,跨越半個地球的重大危機很可能會透過管道中斷、電信中斷、供水設施污染以及交通方式癱瘓,來危及國內美國人的生命。」
伊斯特利還警告說:「中國(中共)是我最關心的威脅,也是該機構最優先考慮的威脅。」
曾為聯邦機構提供諮詢服務的資深網絡安全專家理查德‧福爾諾(Richard Forno)將CISA比作是「網絡版的聯邦緊急管理局」(FEMA)。
然而,按照伊斯特利的說法,災難是永無止境的。她對《火線中國》說:「威脅環境變得更加複雜、更加動態。我們的同行競爭對手,我們的國家對手,繼續在網絡上投入更多資源。任何人都不應低估我們正在做的事情的變革性。」
中共黑客攻擊沒有底線、遠超想像
今年2月,中共的國家安全機關利用私人公司進行情報行動的惡劣程度被揭露出來。總部位於四川成都的網絡安全公司「安洵信息」(i-Soon)的大量電子郵件被洩露,這些電子郵件以私密但通常是平凡的細節展示了以利潤為導向的私人公司如何成為中共的僱傭軍參與國家行為的黑客活動。
網絡威脅研究員、熟悉中國網絡安全生態系統的專家梅‧丹諾夫斯基(Mei Danowski)說:「我們到處都看到了線索,但這讓我們也了解了整個情況。」
英國情報機構「軍情六處」的前行動主管、中國間諜活動專家奈傑爾‧英克斯特(Nigel Inkster)表示,中國的進攻性網絡活動的規模「遠超我們所見過的」。他說:「(中共)如此急迫地收集有關潛在對手和批評者的情報,沒有任何限制,在收集情報方面似乎沒有任何政治限制。中國(中共)似乎不再在乎手指伸進錢櫃當場被抓的後果。」
在美國的其它領域——政治、商業、貿易——關於中共威脅的聲音也存在。有評論者聲稱美國已陷入一個「新的紅色恐慌」。許多專家也認為,這裡的警報是完全合理的。而伊斯特利無疑正在盡她自己的一份力量來敲響警鐘。
儘管如此,整個國家在面對中共黑客攻擊方面仍不堪重負,有些人質疑CISA是否能勝任反擊的任務。今年2月份,CISA自己甚至也成為了黑客入侵的受害者。
美國聯合健康集團(United HealthGroup)「通知我的水廠」的副總裁丹尼爾‧卡斯特羅(Daniel Castro)說:「如果你將CISA與FAA(美國聯邦航空管理局)進行比較,如果每個月都有如此多的飛機墜毀,你會說事情出了嚴重問題。這類黑客攻擊幾乎已經成為常態。」
CISA需要私營部門的配合以反擊和防止黑客攻擊
儘管伊斯特利的公共服務生涯十分輝煌,但她堅稱,是她在私營部門為摩根士丹利運營網絡安全的經歷,為她進入CISA做好了最好的準備。她表示,在這家銀行業巨頭的四年多時間裡,她開始了解「大公司如何考慮其技術生態系統、與主要金融機構合作以及與美國政府的互動」。
據伊斯特利估計,這種公私接口和合作的表現很差。她說:「我認為政府沒有能力與私營部門進行有效的合作和共享,而這是我(重返政府工作)的主要動力之一。」
處理好這種公私合作關係是伊斯特利目前在CISA工作的一個重要部分。觀察家表示,伊斯特利已經在取得進展。一個進展是成立了聯合網絡防禦協作組織(Joint Cyber Defense Collaborative),這是一個由公司和政府代表組成的機構,旨在快速應對網絡事件,其成員有亞馬遜網絡服務、微軟、Verizon和谷歌等公司。
另一個成功是伊斯特利成立了一個網絡安全審查委員會(Cyber Safety Review Board),這是一個由來自私營和公共部門——其中包括谷歌和Gryphon X——的15名網絡安全領導者組成的諮詢機構,該委員會試圖從嚴重的網絡攻擊事件中吸取經驗教訓。CISA也向私營企業提供免費的安全服務,例如漏洞掃描。
2021年底和2022年,當名為Lapsus$的勒索軟件黑客組織對全球各地的公司造成嚴重破壞時,CISA與一些受害者(包括微軟、Verizon、CrowdStrike 和Kroll Inc.)合作,記錄了他們對黑客事件的回應程序和解救措施。此類經驗匯總幫助CISA制定了供私營公司將來使用的一般防禦黑客指南。
CISA與私營部門也存在持續的拉鋸戰,因為CISA依賴私營公司報告網絡攻擊事件並與公司分享一些有關CISA運營的資訊,但這也凸顯公共部門對私人企業的新依賴,不僅是為了反擊,也是為了積極預防和阻止此類黑客攻擊。
有些公司選擇不願意參與,他們可能擔心他們與CISA分享的資訊有一天會被聯邦監管機構用來對付他們。伊斯特利承認,這是一個棘手的問題,不過2022年生效的《關鍵基礎設施網絡事件報告法案》可以保護公司免受這種情況的影響。
美國私營部門控制著大部分公共領域,包括電網、石油管道、港口、網絡搜尋引擎和社交媒體平台。所有這些節點都非常容易被黑客攻擊——去年一場名為「伏特颶風」(Volt Typhoon)的中共間諜活動突顯了這一漏洞,該黑客活動侵入了數十個美國關鍵基礎設施組織,引起了華府的極大警覺。
中共的大規模黑客間諜活動像是在為戰爭做準備
事實上,在華府,人們有一種美國正遭受網絡圍攻的感覺。就在去年,中共黑客「伏特颱風」使這種恐慌達到了新的水平。
2023年5月,微軟宣布檢測到「伏特颶風」對美國基礎設施的黑客入侵,包括對關島的水處理廠。微軟檢測確定「伏特颶風」入侵的目的是「在未來的危機期間擾亂美國和亞洲地區之間的關鍵通訊基礎設施」。「五眼聯盟」(澳洲、加拿大、新西蘭、英國和美國之間的情報共享協議)很快就發現了更多涉及「伏特颱風」的美國大陸基礎設施遭入侵事件。
微軟首先將這次黑客行動歸咎於共產中國。美國司法部今年1月底發布的公告中也明確指出,「伏特颶風」透過使用感染了「KV殭屍網絡」(KV Botnet)惡意軟體的私人SOHO路由器來掩蓋其中國來源。FBI、NSA和CISA已聯手打掉了「伏特颶風」。
華府對「伏特颶風」事件感到既震驚又困惑。因為通常,網絡黑客行動的目的是竊取資訊——例如,中共早前對美國人事管理局的黑客攻擊導致近2,200萬美國人的記錄洩露,但是「伏特颱風」代表了一種不同的、更惡毒的企圖——其對美國民用基礎設施的入侵似乎是為戰爭所做的明確準備。
美國NSA局長蒂莫西‧豪(Timothy Haugh)在今年4月份的一次安全會議上說:「你們在『伏特颱風』中看到的例子就是,中國(中共)如何建立通道以將事物置於其威脅之下。而美國方面,則沒有一個有效的情報理由從網絡安全角度去檢查一個水處理廠。」
「伏特颱風」已成為網絡入侵的一個分水嶺。
日光浴室委員會的聯合創始人蒙哥馬利說:「對手每天、每小時、每五分鐘都在押注(美國的)公共和私營部門不會齊心協力。無論是透過勒索軟件的犯罪分子,還是像『伏特颶風』這樣的國家黑客,他們都是在拿走我們的午餐錢。」
網絡安全專家:網絡戰中也要對中共形成威懾策略
為了防止黑客入侵事件,伊斯特利嘗試著迫使私營部門與CISA共同行動,她將大部分責任交給私營公司,並鼓勵製造商生產更安全的產品。CISA的「安全設計」活動是伊斯特利的主要對策之一,迫使公司設計和製造「可大幅減少缺陷數量」的產品。
伊斯特利說:「我們領先於威脅實施者的唯一方法是技術製造商在設計、測試、製造和交付技術時優先考慮安全性。中國(中共)的網絡黑客行為者非常老練。但現實是,他們使用了非常簡單的方法來闖入我們的關鍵基礎設施。在很多方面,我們都讓他們(入侵我們時)變得更容易。」
包括谷歌、思科和微軟等科技巨頭在內的約70家公司最近簽署了「安全設計」承諾,他們承諾在一年內在其產品中增加多因素身分驗證的使用,以及其它以安全為重點的目標,但是該承諾並沒有任何法律約束力。
這讓許多網絡專家雖然在原則上同意伊斯特利的「設計安全」,但對其實際推廣則持懷疑態度。
英國前軍情六處官員英克斯特說:「把這一切做好需要時間和大量資金。很難看出如何讓美國科技行業像他們應該做的那樣認真對待『設計安全』,因為到目前為止,他們還沒有動力去關注這一點。」
前FBI官員、關注中國的網絡安全專家亞當‧科齊(Adam Kozy)補充說:「『設計安全』在網絡安全領域並不存在。我們所知道的互聯網只是不同類型的框架、軟件和硬件集成在一起拼湊而成。」
對於一些網絡安全專家來說,更現實的策略是一種簡單的威懾策略。
專注於網絡安全的律師亞歷山大‧烏爾貝利斯(Alexander Urbelis)說:「冷戰期間,我們的核武庫對其它有核武庫的國家起到了威懾作用。在網絡戰方面,我們正處於同一類型的軍備競賽中,其重點是滲透和維持滲透對手基礎設施的持久性。如果我可以關掉你的燈,你也可以關掉我的燈,我們就不會關掉彼此的燈。」
專家指出,可以肯定地認為,美國仍然是世界頭號網絡強國,而美國及其盟國正在對共產中國做出與中共對其它國家做出的同樣的事情。
威懾策略需要確信你的對手是否會報復,紅線和軍備競賽升級的節點在哪裡。但是一些網絡專家懷疑北京是否被威懾住了。戰略與國際研究中心(CSIS)高級副總裁詹姆斯‧安德魯‧劉易斯(James Andrew Lewis)警告說,北京正在把美國的紅線推得越來越遠。
他說:「他們(中共)並沒有那麼害怕。他們正在為襲擊進行偵察。這表明他們並沒有真正被威懾嚇到。」
伊斯特利似乎也同意這種觀點,她最近還向國會眾議院撥款委員會請求提供1.5億美元的進一步資金,部分是為了擴大她的CISA「狩獵」團隊,該團隊在美國關鍵基礎設施領域發現了97種不同的中共黑客滲透情況。
她對撥款委員會說:「我們已經在多個領域根除並驅逐了這些中國(中共)網絡入侵者,但我們相信這只是冰山一角。」
責任編輯:任子君
沒有留言:
張貼留言