為了提高我們自身以及民用網絡系統的韌存性,軍方應與民間企業聯手,通過長期合作,減少易被敵對網絡攻擊利用的漏洞。想排除所有漏洞固然不可能,但畢竟可以減少潛在對手攻擊的目標選擇,從而有助于加強美國安全。我們有充分的理由相信,安全軟件和硬件研制所遇到的困難,在根源上主要是體制和文化上的障礙,而不是技術性障礙。我們的許多較陳舊的代碼庫是建立在過去的時代,當時根本不可能想象到眼下出現的這些安全挑戰;傳統的軟件開發慣例,更多著眼于控制成本和如期完成任務,而不是強調關注安全。起初,國防部雖然撥款資助方法研究,以證明開始于1960年代的程序的正確性,但其之所為對美國防務部門或民營界開發自身系統的方式幾乎沒有影響,部分是因為這種研究需要幾十年時間才會出成果。研究人員原來希望開發某種技術,能夠適用于用現有編程語言編寫的軟件,卻發現,要想證明用FORTRAN這類語言編寫的即使是最一般程序的正確性,也難如登天。事實表明,要想編制出能證明正確的軟件程序,將需要以另一種模式進行編程和硬件工程。學術研究人員在1970年代著手開發這種技術,幾十年來雖在理論和實施上緩慢演進,卻仍未達到可實用的程度。并且,一直到最近之前,我們很少需要安全系統和安全軟件。雖然軍方為了某些應用而尋求這些技術,但民間不情愿為看似完全多余的功能付出額外的成本。既然防務市場基本排外,既然成本控制問題無所不在,廣大民營界自然缺少熱情來生產價格可負擔的安全系統和軟件,或是開發這種生產所需的人力資源和技術。幸運的是,有充分理由相信這些障礙可以被克服。
由于意識到當前的方法不能充分滿足美軍的未來需要,國防高級研究計劃局在2012啟動了一個項目,旨在依據像定理證明這種形式化方法來開拓性地創造硬件和軟件的安全結合。這個項目被稱為“高可靠性網絡軍事系統,”其目的是“開創構建高可靠性物理網絡系統的技術,高可靠性的定義是指功能上正確且能滿足合適的安全與安保性能。”作為示范,該局研發了一個遙控四軸無人飛行器,其安全程度如此之高,以至于組成“紅隊”的黑客耗費了六周時間研究完整的源代碼之后,也未能找到任何漏洞。這個絕技顯示,充分安全的軟硬件不一定是白日夢想,但是需要沿循另一個非常不同于常規的開發過程。要想使這種技術得到普遍采用,即使僅出于防務目的,也將需要建立一整套全新的系統開發文化,包括用截然不同的思維方式培訓大批程序員和工程師。這個轉變過程將艱難而昂貴,但是可能是保護美國資產免遭日益復雜的網絡攻擊的唯一途徑。
民營界現在也越來越注重運用正規方法減少網絡漏洞風險。技術產業面臨著針對商業利益的網絡攻擊所引發的嚴峻經濟賠償責任,投入了越來越多的資源,從質量上改善軟件工程技術,從而大大減少了這種漏洞的發生率。比如,莫茲拉基金會(Mozilla Foundation)就積極開發出了Rust,這個系統編程語言的目的是把程序員從經常給軟件帶來嚴重安全漏洞的人工記憶管理中解脫出來。另一種有前途的方法是使用像 Haskell這種功能性編程語言,其特點在于迫使軟件按照嚴格的數學形式編寫,而保障建立起確保正確行為的非常規程序。這類功能性編程雖然與大多數程序員熟悉的命令式編程非常不同,但吸引了安全研究人員越來越多的關注,因為它編排的軟件可望大幅度減少安全漏洞數量國土安全部正在進行一些項目,旨在鼓勵更加安全的軟件開發做法,而國防部——憑借其廣泛的購買力——可以幫助加速這些技術的開發和采用,并更換漏洞頻現的陳舊代碼。
硬件的弱點和漏洞常常是由類似的遺留問題和工程疏忽所導致,其之彌補有時更具挑戰性。美國的民用網絡基礎設施,是在目前這類司空見慣的安全威脅出現之前,從最原始的設計技術上逐步發展起來的。幾十年之后的今天,基礎網絡中遺留下來的陳舊技術,成為敵人注目和利用的各種漏洞,美國的許多系統可能因此被攻陷。要過渡到本質上更安全的技術,其過程不僅漫長而且具有高度擾亂性,可能需要從根本上重新構建互聯網的技術基礎概念,但從長遠看,也許是保護美國利益的必要之舉。因此,國防部應該資助這些努力,開發出本質上更加安全的網絡硬件供自己使用,并且鼓勵民營界做出類似的努力,不僅保護支持軍事行動的民用系統,從根本上說,也是保護整個美國。
為了阻止潛在對手輕易進入關鍵性系統,美國可以布設假情報和噪音迷霧,來掩蔽有關已知或可疑漏洞的準確信息。對那些特別被關注的系統,如軍事指揮控制系統和民用電網,不妨制造大量模仿其網空印跡的誘餌陣,雖說不見得總是有效,但亦無壞處。這些偽裝系統,如果設計巧妙,可以做到非常逼真,足可迷惑潛在網絡攻擊者,使他們以為已經潛入了目標——同時為這些對手灌輸精心準備的假信息,或者誘騙他們遠離真實漏洞,或者縱容他們犯錯而暴露自己的身份和意圖。黑客面對眾多誘餌陣,就不得不費力辨別真假,從而大大增加他們為發動復雜網絡攻擊所必需執行的技術偵察的難度。美國還可以通過采取技術措施,提高“真實”攻擊表面的變化速率,是以加強此策略的效果。若用這種方式隱蔽所有系統,耗資將過于龐大,也會排擠掉合法的網絡流量;但是,防務界可與民營界建立伙伴關系,共同建造必要的技術基礎,因為民營界也有昂貴資產需要保護。
最后,鑒于潛在對手越來越多地使用信息技術,美國應該發展網空進攻能力,來配合其他領域的軍事行動,并找到和彌補美國的漏洞。在未來的沖突中,我方如果能夠利用敵人的網絡漏洞來破壞其設施,就可以在戰勝敵人的同時有效減少生命和財產損失。進一步,如果不具備與潛在對手相當的最先進網空進攻能力,那么挑戰我們自己系統的紅隊也就無法將自身質量提升到可接受的水平。雖然美國應發展網攻能力,但不可以威懾為核心目的來發展。因為網絡空間的特定性質,對危機的升級控制構成一些無法逾越的障礙。如果沒有可靠的模型來評估不同國家的網空進攻能力和互相之間的相對實力,如果無法預測網絡攻擊的效果,那么威懾穩定的概念在網空就沒有意義。
作者:愛德華·蓋斯特博士 / 斯坦福大學國際安全與合作中心麥克阿瑟基金核安全研究員(Edward Geist, PhD,MacArthur Nuclear Security Fellow)來源:《空天力量雜志》2016年夏季刊
轉載請注明:北緯40° » 如何構建網絡時代的威懾穩定?
