資訊界是一個易攻難守,還是易守難攻的領域?
軍事界一開始把數位空間當成等同於陸、海、空、太空領域來思考時,想到的都是「生化人」或機器人大軍。這種機器跟現在的無人機有個差異:它們除了投射力量以外,還可以控制領土,是進攻領地的工具。
但後來,我們發現位元與原子是完全不同的東西,數位世界沒有任何穩固的牆壁。自從像Napster這種P2P平台開始流傳盜版音樂之後,資安和智慧財產權兩個概念就一直糾纏在一起。
根據這種角度,資訊之所以有價值,是因為它與「現實世界」之間具有某些連結。但網路最近傳輸的東西除了資料以外,也開始包括價值,資訊的內在特徵已經變得與外部連結一樣重要。下載程式可能無須成本,但如果你下載的是未受信任的程式,而且在執行前沒有花大錢進行驗證,可能會引來災禍。
雖然官僚的思維總是慢科技專家好幾步,但隨著資安概念不斷推移,美國的資安戰略也跟著改變,基本上已經轉為在攻擊與防禦之間做平衡。其中最重要的是,美國目前認為要能有效維護資安,就得和盟友與合作夥伴共同協調努力。
網路已經不是上一代的模樣
關鍵線索是來自「嚇阻」(Deterrence)一詞的使用頻率。2018年「嚇阻」才出現在美國網路戰略之中,助理國務卿福特(Christopher Ashley Ford)在2020年的演講中表示,「有一段時間,美國似乎希望只要跟中俄等國的惡意網路行為者好好溝通,就能說服他們減少惡行。」
「但如今我們吸取了教訓,更明確地將嚇阻列為資安外交手段之一。過去幾年的發展清楚證實,光是制定出一套框架來規範國家的資訊行為必須負起哪些責任,不足以阻止國家繼續違規。我們必須讓大家知道違規將付出哪些代價。」
今年3月,期待已久的《國家網路安全戰略書》(National Cybersecurity Strategy)更新了美國原則,但是「嚇阻」一詞又再次消失。
這樣的翻轉,與幾項彼此關聯的變化有關。資安界守護資訊的方式已經改為縱深防禦(Defense in Depth),因為沒有任何方法可以完全保證與網路連結的資產安全。與此同時,過去5年的地緣政治變化,已經讓非技術性的嚇阻變得更加不管用,尤其更難應對俄羅斯與中國的作為。美國在最新版的《戰略書》中,將這兩國列為跟北韓、伊朗等級,是最重要的威脅。
另外,由於駭客手法更加老練,區塊鏈生態系更加成熟,這段時間的勒索軟體攻擊也有所增加。因此新版《戰略書》更重視金融面的防禦,包括防制洗錢與反恐,同時特別關注非法加密貨幣交易。必須守住整體資安環境,才能擴大落實既有數位資產監理,真正控制相關犯罪。
