美國網絡安全預算的真相:攻守失衡
責編:gltian |2020-06-18 10:14:45美國聯邦委員會曾在今年3月份的一份報告種指出:“美國正面臨災難性網絡攻擊”,美國在網絡環境中運作需要一定水平的數據安全性、彈性和可信賴性,而美國政府和行政部門目前的安全防御都達不到這一水平。而且,在美國政府內部以及公共部門和私營部門之間,敏捷性、技術專長和統一性方面的不足正在加劇。
聯邦委員會還針對美國面臨的七大威脅提出三層縱深防御架構(下圖):
上述三層防御分別是:規范行為、關鍵保障(包括選舉、關鍵基礎設施和經濟穩定)和增加網絡安全核心競爭力投資。通常,人們認為這釋放出一個信號,那就是聯邦政府和關鍵基礎設施及其管理部門獲得的網絡安全防御預算會得到增加。但事實上,美國的網絡安全相關預算的“大頭”流向了軍方。
聯邦網絡安全預算背后的真相
哥倫比亞大學國際與公共事務學院高級研究學者兼教授杰森·希利(Jason Healey)近日撰文詳細分析了美國聯邦網絡安全預算(詳細預算屬于保密信息,希利的信息來自白宮發布的2020財政年度總統網絡安全預算),并得出了一個重要結論:
美國政府始終強調要優先考慮防御,但實際上卻是優先考慮攻擊,表面上網絡安全預算逐年增長,但政府和民用領域的防御性網安預算被軍方吞噬,屬于“軍進民退”,重攻輕守。
希利首先肯定了2020年的網絡安全預算確實實現了增長,比2019財年的估算高出約5%。但是,聯邦政府在民政部門(如國土安全部,州財政部和司法部)上的網絡安全支出被軍方的支出“碾壓”:
? 國防部與網絡相關的預算比所有民政部門(包括國土安全部,財政部和能源部)的總預算高出近25%,這些部門不僅必須捍衛自己的關鍵系統,而且還需要與關鍵基礎架構合作以提供幫助保障能源,金融,運輸和衛生部門(96億美元,而78億美元)。
? 僅用于支持美國網絡司令部總部的預算部分(不包括總部外部設施的運營團隊)的資金(5.32億美元),比美國國務院所有與網絡相關的預算資金(4億美元)高出33%。
? 僅國防部增加的預算資金(9億美元)就比國土安全總預算(6.94億美元)還要高30%,后者用于改善聯邦網絡的安全性。
? 國防部的預算(37億美元)是負責網絡安全的網絡安全和基礎設施安全局(CISA)的預算(14.7億美元)的2.5倍。實際上,國防部的網絡作戰資金比CISA,FBI和司法部國家安全部門的預算總和(22.1億美元)還要高出很多。
? 國防部的網絡作戰資金是國土安全部防御作戰部門——國家網絡安全和通信集成中心(NCCIC)的近10倍(37億美元對3.714億美元)。
? 美國政府用于網絡部門的軍事建設的預算與整個國土安全部的預算一樣(各為19億美元)。
希利指出,金錢不會撒謊,白宮的國家網絡戰略強調必須保護美國人民,但真金白銀的預算卻并未遵循這些價值觀。預算數字清楚地表明,國防部才是政府的頭號“吞金獸”。當然,與進攻相關的確切資金數額依然屬于保密信息。
網絡安全“軍進民退”?
美國網絡安全預算的“重中之重”,這些年如何從“關鍵基礎設施”暗渡陳倉到了軍方的破壞性攻擊?
過去20多年四任美國總統最常掛在嘴邊的就是:“關鍵基礎設施”是網絡安全政策的優先事項。
美國網絡戰略的第一份總統文件是克林頓總統1998年簽署的PDD-63,聲稱“將采取一切必要措施,迅速消除對美國關鍵基礎設施(尤其是網絡系統)的物理和網絡攻擊的任何重大漏洞。” 布什總統在2003年提出的“ 確保網絡空間安全的國家戰略 ”的目標是“保護關鍵基礎設施的信息系統的運行免受破壞性破壞,從而幫助保護美國的人民,經濟和國家安全。” 國防部在這兩個文件中甚至幾乎都沒有被提及。奧巴馬總統繼續以防御為重心,但確實提出了更多積極防御的主題,例如2015年在斯坦福大學的演講中,奧巴馬強調“我們必須建立更強大的防御力,并破壞更多的進攻 ”但是,他僅僅只是捎帶提及軍隊。
特朗普政府繼續這一趨勢,至少在公眾意見中強調防御。副總統邁克·彭斯(Mike Pence)宣布:“美國人民要求并應得到最強有力的防御。而我們(美國政府)將把它交給他們。” 他的言論批評了先前的政府“讓美國人民在網絡防御方面大放異彩”,這表明改善網絡防御的工作再次受到重視。同樣,特朗普在其《國家網絡戰略》(https://www.whitehouse.gov/wp-content/uploads/2018/09/National-Cyber-Strategy.pdf)的開篇強調,他的優先重點是“保護美國的國家安全和促進美國人民的繁榮”,并且“確保網絡空間的安全對這兩項工作都是至關重要的。”
但是希利指出,今天的政府已經改變了“防御”的含義。如果說奧巴馬只是提及破壞性攻擊,那么特朗普時期攻擊成了主導策略。特朗普的國家網絡戰略還承諾,如有必要,“懲罰那些出于惡意目的而使用網絡工具的人”,并以“通過力量實現和平”作為整個支柱,而以前的政策幾乎完全沒有這些概念。
大規模的《全面國家網絡安全計劃》始于喬治·W·布什政府后期,但一直延續到奧巴馬總統任職,本來屬于全面防御的國家計劃,但是在分配的36億美元中,只有10%分配給了國土安全部。其余的大多數都給了軍隊,特別是國家安全局(NSA),以鼓勵采取軍事化的沉重打擊手段。根據PW Singer和Allan Friedman的說法,“ 2014年的預算計劃顯示,美國空軍在網絡犯罪研究上的支出是網絡防御的2.4倍”,而在2012年,“五角大樓的支出是國土安全部的大約八倍,甚至不包括國家安全局的機密預算(根據斯諾登泄密事件,大約為105億美元)。”
攻擊性防御正在主導美國網絡安全策略,馬克·米爾利(Mark Milley)將軍在擔任參謀長聯席會議新主席的就職演講種強調了這一重點:“我們必須具備那些進攻能力……如果(對手)知道我們擁有令人難以置信的進攻能力,就能夠阻止他們對我們進行攻擊。”
更大的背景趨勢是,引用羅莎·布魯克斯(Rosa Brooks)的話:一切變成了戰爭,軍事變成了一切。通過軍事化的國家安全鏡頭,美國正在面臨各種各樣的挑戰,而國防部才是美國最受信任的機構之一。
希利認為,雖然攻擊性防御是一個有前景的概念,但無法發展成一種策略,也不能取代防御性措施。無論是行政部門還是立法部門,都必須努力通過大量增加的聯邦政府、關鍵基礎設施、信息共享和其他防御性優先事項的資金來平衡防御力。
攻守失衡
在最新的報告中,聯邦網絡委員會指出,在國土安全預算內,只有15%“致力于支持私營部門的計劃”,總體只占國防部資金的1%。
希利指出,支持私營部門的安全預算必須增加許多倍,才能夠提供大規模低成本的,必要的創新性防御。資金的主要政治目標應該是:掃蕩僵尸網絡;設立新的組織以直接進行安全響應和協作,而不僅僅是共享信息;以及無數其他重要的民用網絡安全保障任務。美國的國防防御戰略的重點應該是那些敏捷而危險的非國家組織和個人,并提供相應的資金。
希利認為美國網絡空間戰略思想存在嚴重誤判,認為美國的舉動是有益和穩定的,而我們的對手則是危險的軍事升級。事實上WannaCry和NotPetya之類的狂暴而魯莽的攻擊,正是美國“精確打擊“的副作用。我們必須認識到,對手的行動和觀點其實是對美國行動的回應,例如Stuxnet和斯諾登曝光的行動,以及俄羅斯總統普京認為巴拿馬文件是針對他的美國秘密行動。
希爾最后指出,“可怕的進攻與虛弱的防守相結合”會帶來巨大的風險。當對手們意識到美國的強大攻擊力和虛弱防御力,那么更可能采取先發制人的策略。如果美國政府真的認為國防是重中之重,并且反對將網絡空間軍事化,那么合理的做法應該是大幅增加民用網絡防御預算,支持而非背離自己主導的價值觀。
參考資料:
2020財政年度總統網絡安全預算:
https://www.whitehouse.gov/wp-content/uploads/2019/03/ap_24_cyber_security-fy2020.pdf
美國國家網絡戰略:
https://www.whitehouse.gov/wp-content/uploads/2018/09/National-Cyber-Strategy.pdf