在網(wǎng)絡(luò)領(lǐng)域進(jìn)行武器轉(zhuǎn)讓的動(dòng)機(jī)和機(jī)遇是什么?盡管學(xué)術(shù)界未能系統(tǒng)地回答這一問題，但有一個(gè)明確的解釋對(duì)理解網(wǎng)絡(luò)司令部和情報(bào)聯(lián)盟的運(yùn)行、北約在21世紀(jì)的運(yùn)作和網(wǎng)絡(luò)軍備控制的可行性至關(guān)重要。首先，本文通過提出一個(gè)新的概念框架——“人-攻擊-工具-基礎(chǔ)設(shè)施-組織”（PETIO）——來理解進(jìn)攻性網(wǎng)絡(luò)能力的要素。其次，本文解釋了在PETIO框架的不同要素下，網(wǎng)絡(luò)武器轉(zhuǎn)讓的動(dòng)機(jī)為何會(huì)產(chǎn)生差異。雖然“攻擊”和“工具”可以被輕易復(fù)制，但它們的短暫性和操作跟蹤的潛力意味著幾乎沒有動(dòng)力能實(shí)際轉(zhuǎn)讓這些資產(chǎn)。國家間轉(zhuǎn)讓的動(dòng)力是促進(jìn)他國發(fā)展自己的進(jìn)攻能力，即通過提供專業(yè)知識(shí)、基礎(chǔ)設(shè)施和組織能力來適應(yīng)和創(chuàng)新，因?yàn)檫@并不會(huì)降低本國網(wǎng)絡(luò)武器庫的效率。最后，本文認(rèn)為與網(wǎng)絡(luò)間諜合作相比，國家間進(jìn)行武器轉(zhuǎn)讓的網(wǎng)絡(luò)效應(yīng)較弱，技術(shù)與工具的歸屬問題使國際網(wǎng)絡(luò)武器的轉(zhuǎn)讓過程更為復(fù)雜。

時(shí)至今日，大部分國家的網(wǎng)絡(luò)司令部仍處在發(fā)展初期。隨著各國致力于加強(qiáng)網(wǎng)絡(luò)作戰(zhàn)能力建設(shè)，它們尋求在這個(gè)新的戰(zhàn)爭領(lǐng)域中分擔(dān)責(zé)任并開展合作。相關(guān)研究已探討了國家如何利用代理人來開展網(wǎng)絡(luò)行動(dòng)、如何將開源工具應(yīng)用到具體操作中、如何在灰色市場(chǎng)上提供客戶服務(wù)，以及情報(bào)機(jī)構(gòu)之間的聯(lián)系等，但明顯忽視了對(duì)網(wǎng)絡(luò)武器轉(zhuǎn)讓的理論研究。同時(shí)，從事傳統(tǒng)武器轉(zhuǎn)讓研究的學(xué)者也未關(guān)注到網(wǎng)絡(luò)領(lǐng)域的特殊性。

本文主要探討國家進(jìn)行網(wǎng)絡(luò)武器轉(zhuǎn)讓的動(dòng)機(jī)，這不僅有利于理解各國如何提高軍事網(wǎng)絡(luò)能力和北約在網(wǎng)絡(luò)領(lǐng)域中的作用，更有助于評(píng)估情報(bào)聯(lián)盟行動(dòng)和施行網(wǎng)絡(luò)軍控措施的可行性。在概念上，本文提出的PETIO框架有助于理解網(wǎng)絡(luò)武器轉(zhuǎn)讓涉及的要素。在理論上，本文提出的觀點(diǎn)主要有：一是在PETIO框架的不同要素下，國家進(jìn)行武器轉(zhuǎn)讓的動(dòng)機(jī)存在差異。只有兩種情況下的武器轉(zhuǎn)讓才會(huì)惠及所有國家，即各國就資產(chǎn)共享部署的時(shí)間、目標(biāo)和比例達(dá)成一致，或一項(xiàng)資產(chǎn)對(duì)武器供應(yīng)國沒有操作價(jià)值，但可以被武器接收國有效地部署。國家間武器轉(zhuǎn)讓最理想的動(dòng)力是通過提供專業(yè)知識(shí)和基礎(chǔ)設(shè)施，來促進(jìn)他國發(fā)展自己的能力。二是與網(wǎng)絡(luò)間諜能力相比，武器轉(zhuǎn)讓的網(wǎng)絡(luò)效應(yīng)較弱。這是網(wǎng)絡(luò)效應(yīng)操作的弊端、情報(bào)聯(lián)盟對(duì)更多情報(bào)收集方式的排斥、武器供應(yīng)國可以依托武器接收國的情報(bào)活動(dòng)等多重作用導(dǎo)致的。三是網(wǎng)絡(luò)空間中的歸因動(dòng)態(tài)為網(wǎng)絡(luò)武器轉(zhuǎn)讓增加了更多復(fù)雜性。如果一個(gè)國家決定分享其部分能力或提供關(guān)于操作方式的見解，這可能會(huì)增加被另一個(gè)國家使用后產(chǎn)生錯(cuò)誤歸因的可能性。

進(jìn)攻性網(wǎng)絡(luò)能力指的是行為體開展網(wǎng)絡(luò)行動(dòng)的能力，網(wǎng)絡(luò)行動(dòng)是一組將技術(shù)、技能和組織流程結(jié)合在一起，涉及目標(biāo)捕獲、有效載荷和交付等的相互關(guān)聯(lián)的活動(dòng)。要理解國家提高進(jìn)攻性網(wǎng)絡(luò)能力的要求，特別是一國的網(wǎng)絡(luò)指揮和情報(bào)機(jī)構(gòu)如何在網(wǎng)絡(luò)空間中有效運(yùn)作，就必須對(duì)國家網(wǎng)絡(luò)能力的概念進(jìn)行深度剖析。

其一，人（People）在國家網(wǎng)絡(luò)能力建設(shè)中的作用至關(guān)重要。國家既需要精通網(wǎng)絡(luò)技術(shù)的人員，如漏洞分析師、開發(fā)人員、操作人員、測(cè)試人員和系統(tǒng)管理員等，也需要戰(zhàn)略思想家和戰(zhàn)略設(shè)計(jì)師管理人力資源、聯(lián)絡(luò)國內(nèi)國際機(jī)構(gòu)、與媒體溝通，更需要法律專家參與培訓(xùn)、咨詢和監(jiān)督等。

表1 人力資源功能描述

其二，為了建立網(wǎng)絡(luò)能力，領(lǐng)導(dǎo)人必須考慮如何攻擊（Exploit）計(jì)算機(jī)系統(tǒng)中的漏洞來獲取、升級(jí)和保持訪問權(quán)限，這包括已修補(bǔ)的N日攻擊、未修補(bǔ)的N日攻擊和零日攻擊。其中，已修補(bǔ)的N日攻擊是針對(duì)已打過補(bǔ)丁的已知漏洞發(fā)起的攻擊；未修補(bǔ)的N日攻擊是針對(duì)未打過補(bǔ)丁的已知漏洞發(fā)起的攻擊；零日攻擊是針對(duì)未知漏洞發(fā)起的攻擊。

其三，工具箱（Toolbox）是指一組用于創(chuàng)建、調(diào)試、維護(hù)或以其他方式支持其他程序或應(yīng)用程序的計(jì)算機(jī)程序，其中最受關(guān)注的遠(yuǎn)程訪問木馬（RATs）是一種對(duì)目標(biāo)計(jì)算機(jī)和網(wǎng)絡(luò)進(jìn)行管理控制的后臺(tái)程序。為了使投資回報(bào)最大化，國家被激勵(lì)去提供運(yùn)作成功所需的最低限度的能力，這意味著它們更傾向于使用已知的漏洞和工具。進(jìn)攻型網(wǎng)絡(luò)組織也需要攻擊工具來達(dá)到一定的效果或目的，這些工具的載荷差別很大，既可能是容易分發(fā)的輕量級(jí)文件，也可能有效載荷達(dá)到幾兆字節(jié)。為網(wǎng)絡(luò)司令部或情報(bào)機(jī)構(gòu)建立一個(gè)工具庫是困難且效率低下的。盡管為確保在需要時(shí)能迅速部署，早期的開發(fā)和儲(chǔ)備是必要的，但工具往往必須針對(duì)特定目標(biāo)和預(yù)期效果，特別是在行為體希望保證隱蔽性和穩(wěn)定性的前提下，因此及時(shí)開發(fā)通常是必要的。此外，可使用的目標(biāo)功能越多，自身消耗的成本越少。攻擊者可能會(huì)使用一些外來工具進(jìn)入目標(biāo)網(wǎng)絡(luò)，并通過其現(xiàn)有的基礎(chǔ)設(shè)施來獲得進(jìn)一步的網(wǎng)絡(luò)訪問。

其四，國家和組織都需要利用基礎(chǔ)設(shè)施（Infrastructure）來有效地開展網(wǎng)絡(luò)行動(dòng)。廣義上來說，基礎(chǔ)設(shè)施是實(shí)施進(jìn)攻性網(wǎng)絡(luò)行動(dòng)的過程、結(jié)構(gòu)和所需設(shè)施，并可被劃分為控制型基礎(chǔ)設(shè)施與預(yù)備型基礎(chǔ)設(shè)施。前者是指直接用于運(yùn)行操作的過程，包括釣魚網(wǎng)站的域名、泄露的電子郵件地址、被濫用的技術(shù)等；后者是指準(zhǔn)備實(shí)施進(jìn)攻性網(wǎng)絡(luò)行動(dòng)的過程，這意味著國家需要明確進(jìn)攻目標(biāo)，尋找可以被當(dāng)作目標(biāo)的網(wǎng)絡(luò)、節(jié)點(diǎn)、路由器或服務(wù)器，以及建立測(cè)試環(huán)境來對(duì)行動(dòng)進(jìn)行模擬評(píng)估等。

其五，組織（Organization）特征和過程會(huì)嚴(yán)重影響國家在網(wǎng)絡(luò)領(lǐng)域的治理效果，因?yàn)檫@涉及有效的組織一體化、情報(bào)和軍事活動(dòng)的協(xié)調(diào)。活動(dòng)的緊密協(xié)調(diào)有利于促進(jìn)知識(shí)轉(zhuǎn)化、代碼和其他操作設(shè)施的再利用、借鑒過往經(jīng)驗(yàn)與行動(dòng)，以及為專業(yè)化提供資源等，也可能強(qiáng)化網(wǎng)絡(luò)安全困境、增加暴露風(fēng)險(xiǎn)、使歸因更容易等。對(duì)于建立標(biāo)準(zhǔn)操作程序和保持個(gè)人靈活性之間的矛盾，國家既需要保證行動(dòng)的穩(wěn)定性和可預(yù)測(cè)性，也需要為操作者營造靈活創(chuàng)新的環(huán)境。

只有在非常特殊的情況下，國家才有動(dòng)力轉(zhuǎn)讓操作、維護(hù)或復(fù)制大多數(shù)網(wǎng)絡(luò)的能力。相反，如果存在任何促進(jìn)網(wǎng)絡(luò)武器轉(zhuǎn)讓的動(dòng)機(jī)，那將是允許其他國家適應(yīng)和創(chuàng)新。

從本質(zhì)上來說，“攻擊”和“工具”是非常短暫的，這意味著它們?cè)诰W(wǎng)絡(luò)行動(dòng)中被有效使用的潛力非常依賴時(shí)間。在所有條件相同的情況下，與間諜行動(dòng)相比，在操作中具有強(qiáng)破壞性的攻擊更容易被發(fā)現(xiàn)。同樣，當(dāng)一種工具被用于對(duì)付更高級(jí)的防御者時(shí)，它也更有可能被發(fā)現(xiàn)。因此，“攻擊”和“工具”的短暫性使它們成為相近似的、互相構(gòu)成競(jìng)爭關(guān)系的產(chǎn)品。例如，多數(shù)情況下，一個(gè)國家的常規(guī)軍事力量對(duì)他國相同的軍事力量部署會(huì)產(chǎn)生較大影響。

“攻擊”和“工具”也有可能帶來兩大影響：一方面，在遭受攻擊后，維護(hù)人員有更多鞏固防御的機(jī)會(huì)。這意味著只有兩種情況下的武器轉(zhuǎn)讓才會(huì)惠及所有國家——各國就資產(chǎn)共享部署的時(shí)間、目標(biāo)和比例達(dá)成一致，或一項(xiàng)資產(chǎn)對(duì)武器供應(yīng)國沒有操作價(jià)值，但可以被武器接收國有效地部署。另一方面，在相關(guān)國家使用這些資產(chǎn)攻擊目標(biāo)時(shí)，伙伴國知悉的可能性會(huì)提高。

此外，在轉(zhuǎn)讓“攻擊”和“工具”的過程中，武器接收國仍然需要提高自身的“消化能力”，即通過組建運(yùn)作團(tuán)隊(duì)、加強(qiáng)基礎(chǔ)設(shè)施建設(shè)和建立組織機(jī)構(gòu)來整合各種網(wǎng)絡(luò)能力。

國家間轉(zhuǎn)讓的動(dòng)力是促進(jìn)他國發(fā)展自身進(jìn)攻能力，即通過提供專業(yè)知識(shí)、基礎(chǔ)設(shè)施和組織能力來適應(yīng)和創(chuàng)新，因?yàn)檫@并不會(huì)降低轉(zhuǎn)讓國網(wǎng)絡(luò)武器庫的效率。

一個(gè)網(wǎng)絡(luò)強(qiáng)國只會(huì)對(duì)一群精心挑選的伙伴國進(jìn)行武器轉(zhuǎn)讓，也就是說，國家只相信這些在歷史上與本國聯(lián)系密切的伙伴國不會(huì)利用網(wǎng)絡(luò)能力來對(duì)付自己。這一理念可以解釋北約內(nèi)部的武器轉(zhuǎn)讓動(dòng)態(tài)，如自2012年以來，北約合作網(wǎng)絡(luò)防御卓越中心（CCDCOE）都會(huì)舉行年度“鎖定盾牌”（Locked Shields）演習(xí)，以增強(qiáng)北約國家在實(shí)時(shí)網(wǎng)絡(luò)攻擊下防御國家信息技術(shù)系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施的能力；十字劍（Crossed Swords）演習(xí)也旨在鍛煉各國在網(wǎng)絡(luò)防御場(chǎng)景下的戰(zhàn)術(shù)執(zhí)行能力。

但涉及到具體行動(dòng)部署時(shí)，北約也十分強(qiáng)調(diào)“主權(quán)網(wǎng)絡(luò)效應(yīng)”。成員國自愿向北約網(wǎng)絡(luò)作戰(zhàn)中心（CYOC）提供主權(quán)網(wǎng)絡(luò)效應(yīng)，既不會(huì)損害各國的網(wǎng)絡(luò)能力，也有利于北約克服國家間武器轉(zhuǎn)讓的障礙，保證各國在聯(lián)盟框架下開展聯(lián)合網(wǎng)絡(luò)行動(dòng)。

出售間諜和監(jiān)視工具的動(dòng)機(jī)相較于轉(zhuǎn)讓網(wǎng)絡(luò)武器的動(dòng)機(jī)要強(qiáng)烈得多，原因是首先，間諜行動(dòng)更不易被發(fā)現(xiàn)，因此用于操作的“攻擊”和“工具箱”將有更長的壽命。其次是緊密的情報(bào)聯(lián)盟也有必要消除沖突：為了延長情報(bào)搜集和秘密行動(dòng)的時(shí)間，盟友們希望避免追逐相同目標(biāo)、搜集相同情報(bào)和互相牽絆。實(shí)現(xiàn)跨地域和跨部門的情報(bào)平臺(tái)共享，是克服這種潛在危險(xiǎn)的有效途徑。最后，無論是直接提供還是通過私人團(tuán)體直接監(jiān)控設(shè)備，各國都可以從中搜集到可用的情報(bào)。

根據(jù)赫伯特·林（Herbert Lin）的觀點(diǎn)，網(wǎng)絡(luò)歸因至少有三層含義：（1）將惡意網(wǎng)絡(luò)活動(dòng)歸因于一臺(tái)或多臺(tái)機(jī)器；（2）將惡意網(wǎng)絡(luò)活動(dòng)歸因于特定行為體；（3）將惡意網(wǎng)絡(luò)活動(dòng)歸因于最終負(fù)責(zé)的對(duì)手。攻擊者和防御者的行動(dòng)可以極大地影響這三個(gè)層次的歸因動(dòng)態(tài)。攻擊者可以在高度匿名和貌似可信的推諉下進(jìn)行操作，同時(shí)，攻擊者可以轉(zhuǎn)移防御者的注意力，這導(dǎo)致很難實(shí)現(xiàn)準(zhǔn)確的網(wǎng)絡(luò)歸因。

事實(shí)也表明，各國都在結(jié)構(gòu)層面上參與了“假旗行動(dòng)”，如美國中央情報(bào)局下的UMBRAGE部門在入侵電子設(shè)備和系統(tǒng)時(shí)故意留下其他黑客組織的“痕跡”；2014年至2015年，一個(gè)名為“網(wǎng)絡(luò)哈里發(fā)”的黑客組織控制了美國多個(gè)社交媒體賬戶，但最后調(diào)查指出，俄羅斯軍事情報(bào)機(jī)構(gòu)26165部隊(duì)才是行動(dòng)的“罪魁禍?zhǔn)住?；俄羅斯74455部隊(duì)也被指證在平昌冬奧會(huì)期間冒充朝鮮“拉扎勒斯”集團(tuán)發(fā)動(dòng)了網(wǎng)絡(luò)攻擊。

這些動(dòng)態(tài)可能會(huì)使國家間網(wǎng)絡(luò)武器轉(zhuǎn)讓的動(dòng)力機(jī)制更加復(fù)雜。如果一個(gè)國家決定分享基礎(chǔ)設(shè)施、惡意代碼樣本，以及對(duì)操作方式的理解，這可能會(huì)提高被錯(cuò)誤歸因的可能性。因此，這就削弱了共享（定制）工具或控制基礎(chǔ)設(shè)施的動(dòng)力。

然而，也應(yīng)注意到，盟國在戰(zhàn)術(shù)、技術(shù)和行動(dòng)程序上的相似性可能會(huì)使受害國更難知道誰應(yīng)該對(duì)攻擊負(fù)責(zé)，這相應(yīng)增加了受害國決定反擊的復(fù)雜性和潛在成本。

一個(gè)值得研究的場(chǎng)景是兩個(gè)或多個(gè)國家決定分享他們的開發(fā)成果，而不是一個(gè)國家將開發(fā)成果出售或贈(zèng)送給另一個(gè)國家。這種情況雖然無法消除短暫性的問題，但可能會(huì)帶來一些特定好處。此外，也需要研究更短暫的武器轉(zhuǎn)讓形式，而不只是將其作為正式行動(dòng)計(jì)劃的一部分。例如，網(wǎng)絡(luò)技術(shù)人員會(huì)通過參加黑客大會(huì)（DEFCON）、柏林OffensiveCon國際安全會(huì)議、滲透安全會(huì)議（Infiltrate Security Conference）等，就前沿技術(shù)開發(fā)、反向工程和漏洞發(fā)現(xiàn)等展開討論和分享。這種知識(shí)轉(zhuǎn)移也可能在更小規(guī)模的酒會(huì)或聚餐中進(jìn)行。

網(wǎng)絡(luò)武器轉(zhuǎn)讓

Cyber Arms Transfer

進(jìn)攻性網(wǎng)絡(luò)能力

Offensive Cyber Capability

零日漏洞攻擊

Zero-day Exploits

主權(quán)網(wǎng)絡(luò)效應(yīng)

Sovereign Cyber Effects

網(wǎng)絡(luò)歸因

Cyber Attribution

網(wǎng)絡(luò)間諜活動(dòng)

Cyber Espionage Operations

審核 | 趙怡雯 劉睿潔

排版 | 蘇伊文