周雨欣 卢明欣 杨海平
(南京大学信息管理学院 南京 210000)
网络安全的本质是攻防对抗,然而传统的网络安全防护体系普遍存在“后知后防”的弱点,攻击方只要找到一个弱点就可以渗透系统,而防御方则需要考虑其组织安全态势中所有潜在的弱点,后者在网络安全“速度之争”中处于天然的劣势。威胁情报的提出弥补了这一不足。“知彼知己,百战不殆”揭示了情报的本质,威胁情报通过对敌手攻击意图和手法等信息进行搜集、加工、分析、共享和分发,填补了网络安全外防与内控的空白,促使信息安全管理范式由被动防御转向主动防御[1]。随着勒索病毒、APT攻击等破坏活动频发,网络空间内基于传统地缘政治的大国博弈进入白热化阶段,威胁情报逐渐上升为国家安全层面的战略情报。
威胁情报的诞生丰富了国家安全情报在知识、活动、组织维度的理论与实践,促进了公私合作模式(Public-Private Partnership,PPP)在情报界的发展。我国《国家情报法》第12条规定 ,“国家情报工作机构可以按照国家有关规定,与有关个人和组织建立合作关系,委托开展相关工作”。然而,威胁情报是情报学的新兴领域,关于建立什么样的公私合作伙伴关系,如何建立公私合作伙伴关系,仍然有待探索。美国作为网络技术的起源地和情报领域的先驱,从20世纪90年代起就开始重视威胁情报领域中的公私合作模式的应用,并形成了较为完善的制度保障体系和产业链,对于促进我国威胁情报体系的建设,探索网络空间新型治理模式具有借鉴意义。
基于此,本文将对美国威胁情报公私合作的产生原因、发展历程、制度保障、实践经验以及存在的问题进行分析,并为我国威胁情报公私合作实践提出建议。
美国“战略情报之父”谢尔曼·肯特认为情报是知识、是组织、是活动[2],威胁情报的诞生丰富了情报在知识、活动、组织维度的理论与实践,为美国情报界公私合作模式的发展提供了新的契机。
随着网络空间成为继陆、海、空、天之后的第五疆域,美国对网络威胁的认知不断深化。一方面,网络与美国政治、经济、军事和文化领域深度耦合,牵一发而动全局。“棱镜门”“剑桥分析事件”表明网络监控和网络渗透不仅严重侵犯公民个人隐私,还能操纵选举、侵蚀政治安全和国家安全。另一方面,信息通信技术广泛应用于关键基础设施、重要信息网络和消费设备,对网络的高度依赖导致了美国网络安全的脆弱性。APT攻击、勒索病毒、零日攻击和复合攻击等新型网络威胁具有多矢量、多阶段的特性,使传统防火墙、入侵检测等防护手段捉襟见肘[3]。2020年,黑客利用太阳风公司(SolarWinds)的网管软件漏洞攻陷了多个美国联邦机构、关键基础设施运营商以及企业网络,超过1.8万个组织的网络中被发现存在恶意代码,堪称“有史以来规模最大、最复杂的攻击”[4]。美国90%以上的基础设施掌握在私营部门手中,保护基础设施安全既是私营部门维持正常运营的必然需求,也是政府维护国家安全与繁荣的职责所在。网络威胁的全面性驱使公私部门整合资源、形成合力、协同防御,共同目标为公私合作奠定了价值基础。
Gartner公司认为“威胁情报是一种基于证据的知识,包括背景、机制、指标、影响和可操作的建议,旨在为决策者提供资产所面临的已知或未知的攻击威胁以便响应和应对威胁”[5]。威胁情报和传统国家安全情报都具有激烈的对抗性,在网络战中发挥着“耳目、尖兵、参谋”的作用。所谓“耳目”是指实时的威胁情报可以帮助侦察和及时告知威胁,最大限度地缩短攻击者的“自由攻击时间”,从而实现网络威胁的早期检测、情报预警和应急响应[6]。 威胁狩猎体现了情报的“尖兵”作用,自2018年以来,美国在多地开展“前置狩猎”行动,主动持续地搜寻网络威胁以探明攻击者意图和手法并在攻击发生前予以阻止。“参谋”是指威胁情报能够帮助管理者快速掌握当前安全态势并进一步识别未意识到的风险,支持组织运营决策。
然而,传统国家安全情报的作用机理在于通过隐蔽行动等手段扩大与敌方的信息不对称获得优势,因此其价值建立在隐秘性之上。威胁情报则是一种以防御为主要目标的反情报,它的目的是缩小与敌方的信息不对称以获得威胁响应的时间资源,因而需要在利益攸关者之间最大程度地共享以建立网络安全态势感知,即“以空间换时间”[7]。威胁情报共享有利于增强威胁的可见性、缩短威胁响应时间和构建完整的攻击链。早在20世纪90年代,美国就开始重视公私部门间的网络安全信息共享,并逐步建立起一套较为完善的威胁情报共享机制。公私合作是威胁情报共享的重要途径,也是美国历届政府政策与法律的焦点议题。
2000年美军颁布的《联合作战情报支援条令》提出“联合作战情报周期”理论,将情报视为由情报搜集、处理与加工、分析与生产、分发与整合、评估和反馈6个阶段构成的循环往复的活动[8]。威胁情报同样具有完整的生命周期,那么,就情报的生产与供给而言,政府和市场谁来决定资源配置?
公共物品,又称公共产品,根据萨缪尔森的定义,是指在消费过程中具备非排他性和非竞争性的物品[9]。非排他性是指公共产品一旦生产出来就不能排斥该社会任何人消费该种产品;非竞争性是指增加一个消费者不会减少任何一个人对该产品的消费数量和质量。在自发决策和分散的市场机制中,具有正外部性的公共产品将产生“搭便车”问题,进而导致市场失灵、供给不足,因此,国防、法律等纯公共产品一般由政府来供给,公共产品的供给也是政府存在合法性的基础。但现实中纯公共产品很少,大多是介于纯公共产品和私人产品之间的准公共产品,准公共产品只具备纯公共产品的某一特征,可以由非政府主体提供。
根据公共物品理论,传统国家安全情报是服务于国家安全的纯公共安全产品,公众是间接受益者,但威胁情报是一种不纯粹的公共安全产品。首先,威胁情报可以被视为一种网络安全信息资源,信息的共享性以及消费无损耗性使之具备非排他性和非竞争性[10],威胁情报共享所产生的“群体免疫”效应增加了“搭便车”的机会,因此从信息的角度来说,威胁情报是具备正外部性的公共产品。但是,相比一般的交付性情报,威胁情报要求场景化、定制化、服务化以切实解决网络安全问题。威胁情报的产品或服务的消费所花费的成本可排除某些人的消费或受益,也就是说,它可以通过技术手段实现“排它”从而转变为“准公共产品”,这为威胁情报产品和服务的市场化奠定了理论基础。其次,从社会公平的角度来说,威胁情报作为挟制网络威胁的重要资源,其生产与供给关系到公共安全与社会利益。Stiglitz和Wallsten的研究发现,在技术创新背景下的公私合作伙伴关系中,利润最大化的公司在技术研发上的投资低于社会最优水平[11]。私营部门的逐利性决定了其在公共安全产品供给方面的局限性,因此,威胁情报的公私混合供给模式是一种权衡效率和公平的安排。
随着网络威胁的持续扩散,公众和企业成为威胁情报的直接消费者,以往由美国政府垄断的威胁情报逐渐下放至私营部门[12],形成公私混合供给模式,如图1所示。一方面,美国依托网络安全部门和情报机构生产威胁情报,通过网络安全与基础设施安全局(CISA)向恰当的私营部门分发情报并提供相应的业务指导;另一方面,对威胁情报厂商来说,与政府共享威胁情报,可能导致该情报与其竞争对手共享,因此他们的商业模式依赖于获取、持有和出售情报,而不是共享情报[13]。美国政府通过政府采购、情报外包、风险投资等形式推动威胁情报产业化,建立威胁情报生态系统。公私部门混合供给模式不仅减轻了政府的财政压力,还增加了情报需求和情报供给的耦合度,更好地满足了情报用户多样化的产品需求。
图1 美国威胁情报公私部门混合供给模式
公共安全产品供给模式变化的背后是国家安全治理需求的变化。“9·11”事件后,恐怖主义、跨国犯罪等非传统安全威胁扩大了情报界的工作范围和人才需求,政府情报机构逐渐难以满足持续变化的国家安全治理需求;与此同时,私营部门的人力、技术和管理优势在情报领域日益凸显。贝尔科维奇和古德曼指出,“私营部门往往比政府情报机构更先进,不仅在情报产品开发和情报服务方面做得更好,还能将其快速传递给用户。在某些情况下,私营部门能分析出更好的情报信息”[14]。以“私有化”为特征的新公共管理浪潮下,美国公共服务市场化改革蓬勃兴起并逐渐蔓延至情报界,情报外包是委托私有化的一个例子[15]。
虽然美国民营化理论大师萨瓦斯认为公私合作制与私有化的概念基本是相同的,都是市场机制参与公共服务的过程,但传统的情报外包更多的是政府情报职能“转移”给私营部门,而不是“合作”。一个典型的例子是2006年《美国情报界五年战略人力资本计划》曾提及情报界发现自己在与承包商“竞争”自己的员工,一些情报承包商为了完成政府外包的情报工作雇佣了政府情报人员,这些由政府支付审查成本和培训费用的员工,却被以更高的成本“租”给情报界。 Wettenhall将公私合作伙伴关系分为两类,一类是以协商一致决定为特征的横向、非等级的共同决策,另一类则是有一方处于控制角色的层级组织关系[16]。情报外包显然是一种具备层级关系的委托-代理关系,如图2所示,将政府情报机构视为委托方,其目标为公共利益;情报承包商为代理方,其目标为利润。尽管委托人具有监督代理人执行情报任务的职能,但委托人并不是总是知道代理人在做什么,如果公共利益和追求利润的目标冲突,代理人则有可能从一定程度的自由裁量权中受益,损害公共利益从而获取利润。斯诺登事件为美国情报界敲响了警钟,情报外包在帮助政府解决情报工作效率低下、官僚主义等问题的同时,也引起了公众对政府监管缺位、推诿责任的质疑。
图2 情报外包“委托-代理关系”模型
Wettenhall认为真正的“伙伴关系”属于第一类,本文主要探讨的也是这一类公私合作伙伴关系。公私合作模式可以被视为对私有化的反思,它要求政府更多地参与到合作项目之中,合作双方建立目标一致的伙伴关系、收益共享、风险同担,此外,公私合作模式还突出“治理”的功能,强调多元主体的合作与协调[17]。传统国家安全情报呈现以政府为中心的治理框架,而网络空间的无边界性和网络安全的脆弱性促使各个社会主体参与网络安全治理,形成多元共治的格局。威胁情报搜集和共享的过程中还涉及到知识产权、个人隐私等问题,多利益攸关模式促使社会力量参与国家治理,体现了科学、民主的决策模式。
公私合作模式具有复杂性和多样性,在不同的历史背景和政策环境下具有不同的内涵、目标和表现形式,美国威胁情报公私合作模式的发展历程可以划分为三个阶段:
在关键基础设施大规模私有化的背景下,公私合作模式成为美国保护网络安全的重要手段。1998年克林顿签署第63号总统指令(PPD-63),要求推动公共部门和私营部门信息共享以降低关键基础设施的脆弱性,鼓励建立由关键基础设施的所有者和运营者基于成员关系形成的非营利性信息共享与分析中心(ISAC),其任务是收集、分析和传递网络攻击与预警信息。但在美国遭受“9.11”恐怖袭击前,只有金融服务、通信和供应链管理部门等少数关键基础设施部门创建了ISAC。并且这一时期公私合作更多地是作为一种约定俗成的惯例出现,没有形成一种固定化的制度[18]。
“9.11”事件后,美国由克林顿政府的“发展优先”战略向小布什政府“安全优先”战略转变[19],“反恐”的迫切需求使公私合作模式成为保障美国网络安全的最主要甚至唯一可行的模式。小布什政府先后颁布了《爱国者法案》《网络空间安全国家战略》《国家网络安全综合计划》等文件对公私合作模式做了进一步说明,要求增强公私部门在网络安全应急响应和信息共享方面的合作,并确立由国土安全部负责协调公私合作相关事项。
从克林顿到小布什时期,美国形成了以保护关键基础设施为主要目标,以网络攻击预警和事件信息共享为主要形式的公私合作模式。但过于依赖私营部门自律,缺乏完善的法律和政策保障体系,导致私营部门参与信息共享的意愿不强。
奥巴马上台后宣布放弃“全球反恐战争”,彼时,网络空间的政治效能日益凸显,网络空间被视为“战略性国家资产”,以民族国家为主体的网络攻击活动逐渐引起重视。网络攻击的团体化、复杂化驱使威胁信息转化为具有更高价值的威胁情报为决策服务,2012年《大数据研究和发展倡议》正式提出“威胁情报”这一概念。2015年2月,奥巴马要求国家情报总监设立网络威胁情报整合中心(CTIIC),旨在以“整个政府”的力量应对网络威胁。随后,奥巴马签署《改善私营领域网络安全信息共享行政令》,要求推进更广泛、更深入的公私合作和信息共享,新建信息共享和分析组织(ISAO),允许不符合已建立的行业的组织加入,由此扩充原有的共享模式。同年,《2015网络安全信息共享法》确立了网络安全信息共享的主体、范围、程序、组织机构、责任豁免和隐私保护等内容,首次明确威胁情报共享的范围包括网络威胁指标和防御性措施两大类[20]。
奥巴马时期,恐怖主义的阴霾逐渐消散,政府的工作重心重新转移到经济复苏和美国领导地位重塑上。基于此,美国充分发挥政府的主导作用,完善机构设置和法律政策,自上而下地推动建立威胁情报共享机制,公共部门和私营部门从简单的网络安全事件信息共享过渡到威胁情报共享。奥巴马政府鼓励网络安全产品和服务的市场化和创新化发展,威胁情报最早应用于军事和反恐领域,2005年后逐渐扩展到商业领域,但早期的威胁情报主要局限于病毒防御机制,即向用户推送病毒特征信息[21]。2013年以后,融合大数据技术的威胁情报成为美国网络安全行业迅速崛起的新兴领域,并逐步实现市场化、产业化和服务化,FireEye、CrowdStrike等威胁情报厂商蓬勃兴起。
特朗普执政后,网络空间内基于传统地缘政治的大国博弈加剧。2019年,国家情报总监办公室发布的《国家情报战略》(第4版)正式将“网络威胁情报”列为美国情报界的四大专题目标之首。2020年美国网络空间日光浴委员会(CSC) 发布的《分层网络威慑战略》明确提出要建立“联合协作环境”,推进威胁情报的整合与共享、加强网络归因与威胁反制能力、重塑网络生态系统。2021年,CISA成立“联合网络防御协作组织”(JCDC),倡导政府和企业共同制定全面的网络防御计划与联合演习方案,将公私合作转化为公私运营协同。这一时期,公私合作正在从威胁情报共享转变为可付诸于行动的情报赋能,私营部门在美国网络安全态势感知、应急响应和网络归因中发挥着越来越重要的作用。
“合作”是基于制度基础上的信任关系, 制度有助于规范、协调合作双方的行为。当前,美国威胁情报公私合作实践已经取得了一定成果,主要体现在组织体系建设、新型合作模式的探索、风险分担机制和威胁情报赋能方面。
美国威胁情报公私合作模式的参与主体包括情报界、司法部、国土安全部和国防部等联邦政府机构以及各州、地方政府,也包括威胁情报厂商、关键基础设施运营者和非营利性组织等非政府实体,因此,如何统筹管理、协调多方关系是威胁情报组织体系建设的重点。
当前,美国依托国家情报总监办公室(ODNI)下属的网络威胁情报整合中心(CTIIC)进行跨部门协调管理,原有网络安全机构体系负责具体运作实施,如图3所示。在国内威胁情报工作中,国土安全部(DHS)下属的网络安全与基础设施安全局(CISA)负责跨区域协调和管理网络威胁事件,保护关键基础设施和联邦政府网络安全。CISA设立了CISA 中心(CISA central)与MS-ISAC、ISACs、ISAOs以及其他利益攸关者保持密切联系,协调网络安全态势感知和对国家网络事件的响应;司法部(DoJ)下属的联邦调查局(FBI)负责网络犯罪的网络取证、调查、分析,对网络安全事件提供支持。国防部(DoD)下属的网络司令部(US CYBERCOM)主要负责搜集国外威胁情报,准备和实施军事网络空间作战行动。ODNI统领16个分散在各个部门的情报机构,直接受到美国总统的指挥、管理与控制,其下属的CTIIC负责对联邦政府威胁情报进行整合、全源分析和共享,支持、协调、监督FBI、CISA、US CYBERCOM等部门的威胁情报行动。CTIIC横向协调与管理的职能有助于打破情报壁垒,促进各部门情报共享与联合行动,正如麦克里斯特尔所说的“用网络来打败网络”。准确的来说,CTIIC是一个整合中心而不是运营中心,不具备情报行动的功能,这样设计的目的一是通过分权形成权力制衡,二是尽量保持情报分析客观性,避免情报政治化。但在实际履职中,不具备实际的人事任免权和非直线的指挥关系一定程度上限制了它的管理效力[22]。
图3 美国威胁情报共享机制
与政府采购、情报外包的临时性和短期性不同,“合作”要求双方一开始就建立一个沟通渠道,持续性地互动并建立一种长期的伙伴关系,收益共享、风险共担,最重要的是,公共部门在吸收私营部门的优势的同时需要保有对私营部门政策的控制权[17]。
3.2.1情报共享与公共服务
情报共享是美国威胁情报公私合作模式中最重要、参与主体最广泛的形式。
为鼓励私营部门自愿参与信息共享,奥巴马时期,国土安全部推行了网络信息共享与合作计划(CISCP)、增强网络安全服务(ECS) 计划等项目,将非机密的威胁信息几乎实时披露给共享主体,生产准确、相关、及时且可操作的威胁情报,并为私营部门提供免费的商业威胁情报访问权限和网络安全服务[23],但搭便车效应和缺乏激励使得私营部门合作动力不强。特朗普政府着手解决美国联邦政府网络安全“多头管理”的问题,强化国土安全部在威胁情报共享方面的领导权,关键基础设施运营者只有增强与国土安全部合作才能获得政府提供的威胁情报和业务指导,以垄断并且有选择地提供公共服务的方式迫使私营部门更主动地配合该部门[24]。公私部门威胁情报共享筑成美国应对网络威胁的第一道防线,也为情报赋能奠定了基础。
3.2.2政府风险投资
以In-Q-Tel为代表的政府风险投资模式是美国情报机构利用市场手段获取技术、保持技术领先地位的一种创新机制。In-Q-Tel公司是典型的“混合组织”,具备“公”“私”双重属性[25]。
“公”体现在In-Q-Tel的投资目标不是财务收益而是满足中情局(CIA)情报技术需求。In-Q-Tel的投资资金和日常管理费用均由CIA提供,公司内设立In-Q-Tel 界面管理中心(QIC)与CIA对接,QIC负责将CIA的涉密需求转化为不涉密的“问题清单”传达至In-Q-Tel。In-Q-Tel则以非营利性天使投资的形式向具有潜在情报价值的初创企业提供早期资金支持,尤其是数据分析和信息安全领域。这些公司完成技术孵化并转入市场运作后,通过In-Q-Tel将新兴技术转让至CIA,公私部门共享知识产权,亦或允许政府情报机构成为私营部门所搜集的海量情报的用户。著名威胁情报厂商FireEye成立之初曾因金融危机陷入低迷,CIA提出如果FireEye能检测出电子邮件中的恶意软件则有意成为他们的客户,此后In-Q-Tel买入FireEye的技术解决方案[26]。目前FireEye已经成为美国政府的重要威胁数据来源和技术供应商,有效提高了政府检测、抵御网络威胁的能力。
“私”体现在In-Q-Tel完全以私人公司身份从事市场活动,公司内部的日常经营管理完全独立,不受繁琐的联邦采办法案的限制,高度的自主性促进了情报界与技术市场间的信息交流,缩短了先进技术的研发和采购周期。相较于成品采购、情报高级研究计划局(IARPA)的外包式技术获取方式,In-Q-Tel避免对市场进行直接干预,而是通过风险投资活动来识别有情报价值的初创企业,并对其决策和生产、经营施加影响来帮助CIA获取所需技术[27]。In-Q-Tel还尤为关注情报界和商业两用的技术,带动私人风险投资家与政府联合投资,从而降低研发风险、缩减技术获取成本。在政治权力、资本权力和技术权力既交相融合又有所竞合的国家安全治理态势中[28],以In-Q-Tel为代表的公私合作模式已然成为美国政府撬动资本与技术为政治权力和国家安全服务的重要途径。
在情报外包和政府采购中,公私部门所追求的是各自风险的最小化,因此存在着道德风险和逆向选择的问题,不利于形成合作关系。构建合理的风险分担机制是建立公私合作伙伴关系的必要条件。
3.3.1风险识别
本文结合文献调研和美国出台的相关政策文件总结出威胁情报公私合作模式中的潜在风险,见表1。
表1 威胁情报公私合作模式的潜在风险
3.3.2风险分担机制
在公私合作的过程中,私营部门对风险更加敏感和脆弱,因此构建合理的风险分担机制需要政府具备整体性思维,尽可能大地承担自己有优势方面的伴生风险[32]。公共部门的优势主要体现在政策法规的制定、强大的财政支持和维护公共利益等方面。
在政策法规方面,美国历届政府都倡导自愿合作原则,《2015网络安全信息共享法案》规定不参加自愿共享行为的实体不承担任何法律责任,不强制私营部门收到政府分发的威胁情报后采取行动,并对参与共享的主体设置了反垄断、知识产权和公众披露豁免条款,维护了私营部门的正当权利。
在财政支持方面,美国将政府采购和项目承包作为激励,引导私营部门积极与政府合作。例如《联邦采办条例国防部补充条例》规定国防采购项目竞争失败的承包商有权利获得项目或资金的补偿,以“竞争补偿”的形式降低私营部门参与技术研发的风险。为防控技术外溢,美国政府限制FireEye等威胁情报厂商向其他国家提供网络安全核心技术,作为补偿,美国政府与军方大规模部署了FireEye的反APT产品[26],以政府采购的方式弥补其海外收益。
公私合作的最终目标是维护公共利益和国家安全,但安全与隐私往往不可兼得。“9.11”事件后,美国以反恐为由大规模地部署监听项目,“棱镜门”的曝光引起美国民众对政府的强烈不满,这种不满可以通过民众的“选民”和“消费者”身份对公私合作实施产生影响,因此公私合作模式是多方博弈下的治理过程。政府在公私合作的过程中负有监督的义务,既是对私营部门的监督也是对政府内部的监督。为降低泄密风险,CISA通过交通灯协议 (TLP)确保与适当的受众共享敏感信息,并且要求加入CISCP的私营企业签订《合作研究与开发协议》,只有经过安全审查的公司人员才有权访问监测系统,查看机密威胁信息。美国国会具有立法权和代表选民的任务,在情报监督中发挥着核心作用。《2015网络安全信息共享法案》要求联邦机构定期向国会联合提交威胁情报共享实施的详细报告,包括威胁情报使用、传输的适当性,以及对隐私保护问题的政策、程序、指南的充分性[20]。但该法案先搜集再移除的思路引起美国民权组织的强烈抗议,2016年国土安全部开发了自动化指标共享(AIS)计划,实现自动化威胁情报共享的同时用技术手段删除数据中的个人信息。
当前,美国威胁情报公私合作模式正在从威胁情报共享转向威胁情报赋能,提升了美国的网络安全态势感知、应急响应和网络归因能力。
3.4.1建立网络安全态势感知
国家网络空间安全保护系统(National Cybersecurity Protection System ,NCPS)是美国国土安全部下属的计算机应急准备小组(US-CERT)开发的网络安全自动监测和防护项目,又名“爱因斯坦计划”。该项目的实施分为三个阶段,E1,E2,E3分别部署于2003年,2009年和2013年。E1和E2本质都是入侵检测系统,不能主动防御,目前该项目已经进入E3加速阶段,威胁情报是其中一项关键技术,通过AIS,该系统能够实现自动收集、关联、分析和共享联邦政府网络安全信息,具有入侵检测、入侵防御、安全检测和信息共享四大功能。威胁情报的共享联结了美国政府、军事和民用网络,有利于构建全面、动态、互动和实时的网络安全态势感知。
3.4.2构建公私部门应急响应体系
基于国家网络空间安全保护系统,CISA central与MS-ISAC、ISACs、ISAOs等组织密切配合,建立7* 24 小时的威胁情报预警和事件报告能力。2021年CISA发布《网络安全事件和漏洞响应手册》为联邦民事行政部门(FCEB)机构和私营部门提供了规划和开展网络安全事件和漏洞响应活动的详细操作程序。为检验和提升公私部门的协同能力,CISA每两年举行一次的网络风暴演习,模拟发现与响应国家关键基础设施的重大网络事件。CISA还是网络安全的重要“宣传口”,不仅举行网络安全意识研讨会向公众提供应急响应指导,还向政府雇员、承包商和关键基础设施合作伙伴免费开放网络安全应急响应培训,并开展网络靶场模拟实验加强练习调查和事件响应技能。
3.4.3协同网络归因,促进网络威慑
网络归因又称网络攻击溯源,一般是指找到攻击源头,确认责任归属的过程。实践中,攻击者通常会通过伪造IP地址、改写或清除日志痕迹等方式隐藏身份,因此网络归因是一项技术难题。在政治归因中,网络攻击的攻击者和特定国家之间联系往往难以确定,使责任归属不清晰,例如,俄罗斯声称2007年爱沙尼亚的分布式拒绝服务攻击是由爱国黑客发起的,不代表俄罗斯政府行为。在归因实践中,美国威胁情报厂商大规模部署的传感器所产生的威胁情报为归因提供了数据支撑和分析框架,情报分析人员可以根据TTP(Tactics、Techniques、Procedures)档案进行攻击溯源、构建证据链并生成归因报告。2018年美国司法部诉俄罗斯GRU黑客案中,CrowdStrike协助FBI通过服务器镜像等方式完成了证据固化和证据链分析,为官方调查提供了关键性材料。“太阳风”事件中,FireEye更是先于政府发现俄罗斯黑客网络攻击的线索。政府情报机构则在洞察敌方的政治动机和识别潜在的假旗行动等方面具有独特的优势[30]。“太阳风”事件后,美国公私部门协同将攻击源头归因于俄罗斯,司法部以官方网络归因结果为关键证据进行起诉,此后,拜登在多个场合公开向俄罗斯施压,促进网络空间威慑。
看似完善的制度的背后,“太阳风”事件彻底击碎了美国政府对网络安全机制的自信,暴露出其在公私协同能力方面的漏洞,拜登提出“美国新政府会把网络安全议题作为重中之重,进一步加强与私营部门的伙伴关系”[33]。
作为对“太阳风”事件的回应,2021年5月拜登签署《关于加强国家网络安全的行政命令》,要求消除公私部门之间威胁情报共享的障碍。该行政命令指出现有合同条款中存在限制技术供应商和应急响应执行部门威胁情报信息共享的条款,例如,联邦政府的承包商必须联系合同授权方才能获取信息,严重影响了调查的速度。然而合同障碍只是操作层面的原因,美国公私部门威胁情报面临的最大挑战是缺乏结构和激励,目前美国大多的公私合作是基于私人关系推动的,并且很大程度上是临时的点对点的关系,公私部门间缺乏便捷、透明的沟通渠道,私营部门不知道向谁寻求信息或合作,即使找到特定部门机构并与之合作,签署网络威胁信息共享协议的文书工作也可能使之望而却步[34]。此外,技术也是影响情报共享的重要因素,据美国私营部门反应,从AIS中获得的威胁信息包含了大量难以处理的情报噪音,减弱了情报预警的效果,而在联邦机构中,威胁数据的过度分类和政府软件系统之间的集成问题是威胁共享工作的主要障碍[35]。
公私合作既是融合的过程也是博弈的过程,政治权力和资本权力天平的失衡将导致情报政治化或过度私有化。一方面,情报工作应秉持公正客观的原则,即“所见即所言”,然而,一些威胁情报供应商为了获得政府支持,蓄意迎合政府的政治目的,频繁报道国家层面的大型网络攻击,尤其是敌对国家的恶意网络活动,却对与普通消费者更相关的和本国的网络攻击活动缄口不言[36],损害了情报的客观性和独立性。另一方面,斯诺登事件揭露了美国情报外包产业的乱象,首先,过度私有化和不完善的问责体系导致私营部门违规行为时有发生,侵犯了公民的隐私权。其次,军工复合体和旋转门机制加剧了公私“合谋”的现象,情报外包中以保密为由产生的大量不受国会监督的“黑色预算”成为了滋生寻租与腐败行为的温床。最后,外包的效率是立竿见影的,政府情报机构间的竞争促使一些情报机构滥用外包来提高政绩,将越来越多核心情报工作交由私营部门承担,而美国政府自身的情报能力却提升缓慢[37],陷入依赖性外包的恶性循环中。
受美国政治制度和政党制度的影响,“旋转门”已经成为美国政商关系中默认协调机制。尽管“旋转门”机制一定程度上促进了公共部门和私营部门间的人才流动,但也埋下情报泄露的隐患。2021年9月14日,三名前NSA情报人员因离职后在未经美国政府批准的情况下蓄意向阿联酋提供网络间谍技术被美国司法部起诉,涉密人员离职引发的“内部威胁”逐渐引起重视。私营部门同样面临威胁情报安全管理的问题。2020年Cybersecurity Insider对338位威胁情报从业人员调研结果显示,34%的威胁情报人员就职前没有任何开源网络情报(OSINT)经验,54%的威胁情报人员缺乏安全指导规范[38]。培训和监管的缺位不仅容易导致工具滥用、信息泄露,还可能危及情报人员的人身安全和公共安全。
我国“十四五”规划提出“加强跨领域网络安全信息共享和工作协同,提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力”。相对来说,我国威胁情报的发展起步较晚,美国威胁情报公私合作模式对我国有着借鉴意义。
当前,美国已经形成了一套较为成熟的威胁情报共享机制。从共享广度来看,参与威胁情报共享的私营部门覆盖各个行业;从共享深度来看,2019版《国家情报战略》提出美国情报界将扩大定制化生产、适当传播和发布可采取行动的威胁情报以保护关键基础设施,赋能决策与行动。这一成果与美国政府的政治支持密不可分。从克林顿时期起,美国政府就通过出台战略、国会立法、发布总统指令和行政命令等形式不断完善顶层设计,塑造公私合作价值基础。当前,尽管我国已经着手部署公私部门威胁情报共享平台,例如,中国互联网网络安全威胁治理联盟(CCTGA)建立了网络安全威胁信息共享平台,工信部也设有网络安全威胁和漏洞信息共享平台,2019年上海市信息安全行业协会牵头成立“威胁数据共享联盟”,但从成员名单来看,参与主体仍然不够广泛。我国应充分发挥政府的主导作用,自上而下地推动威胁情报共享机制的建立。在顶层设计方面,我国应在《网络安全法》《数据安全法》等法律框架内细化威胁情报共享的主体、范围、程序、组织机构、隐私保护和责任豁免等内容;在组织机构方面,美国威胁情报共享的组织体系具有机构职能划分明确、重视情报整合与共享和权力制衡的特点,我国应建立国家层面的网络威胁情报管理中心,破除情报的条块分割,对各部门、各地区的威胁情报进行整合分析,并且下设专门的公私合作伙伴关系部门。我国可以参考美国ISACs、ISAOs的经验,鼓励非营利性的威胁情报共享组织的建立,并由公私合作伙伴关系部门负责对接,使得私营部门面临网络攻击时能够及时上报、快速共享情报。在激励机制方面,政府可以建立威胁情报共享绩效评价体系,对参与威胁共享的企业给予一定的优惠政策,例如免费网络安全服务、补贴等。同时,应认识到情报共享是途径而不是目标,政府应在完善威胁情报共享机制的基础上,促进情报共享转化为情报赋能,定期组织网络安全应急演练,建立国家安全态势感知体系和预警机制,重视网络攻击溯源,积极参与国际网络安全规则体系的建设。
美国政府为威胁情报产业的繁荣发展创造了良好的环境,不仅通过政府采购、风险投资、情报外包等形式为企业提供支持,还十分重视威胁情报的标准的研发、部署与管理。我国应重视通过公私合作伙伴关系推动威胁情报产业发展,满足多样化的市场需求,鼓励关键技术的自主研发。一方面,政府需警惕“越位”,正确认识传统行政管理与公私合作伙伴关系中政府角色的不同。在公私合作伙伴关系中,政府是威胁情报产品供给的参与者,与社会资本是合作的关系,这要求政府避免过度监管和干预,应以“收益”和“风险”为抓手,通过政府购买服务、财政补贴、项目承包等激励手段提高私营部门的参与技术研发积极性,并健全竞争补偿、研发补贴等风险分担机制。与此同时,政府也要警惕“缺位”,正确认识情报外包的潜在风险,为防止对情报外包过度依赖,政府应建设由网络安全专家和情报分析人员组成的人才队伍,扩充人才引进渠道、健全人才培养制度、建立人才评价体系和薪酬激励制度。另外,无论是政府采购还是情报外包都是临时性和短期性的,政府应拓展建设长期公私合作伙伴关系的渠道,可以借鉴美国以In-Q-Tel公司为代表的风险投资模式,引导企业为国家安全服务。
公私合作模式不仅是效率工具,还是治理工具。维护网络安全是全社会共同的责任,需要“监管”与“自律”并举。政府应综合运用法律、合同、培训和技术等手段加强对私营部门和情报人员的甄别、监管、问责和保密,建立完善的情报监督和问责体系,防范网络安全内部威胁、情报泄密风险以及私营部门违规侵犯公民个人隐私。此外,威胁情报公私合作项目涉及政府采购、商业价值与个人隐私,需要构建一个公开透明的公私合作项目信息平台,防止腐败现象,消除公众的担忧。政府为私营部门提供网络安全相关公共服务的同时应重视培养企业和公众的网络安全意识,可以设立专门的网站,定期开展网络安全教育与培训,并通过举办知识竞赛、网络安全实战演练等方式鼓励公众参与。
在传统印象中,情报是一项讳莫如深的活动,高度的对抗性和隐秘性使之理所当然地被视为政府的固有职能。然而,在非传统威胁与传统威胁交织的21世纪,国家安全治理需求的持续变化使得政府情报机构应接不暇,私营部门逐渐成为美国情报工作的重要主体。网络攻击频发的背景下,公私合作已经成为应对网络威胁、维护国家安全的必然趋势,威胁情报的诞生促进了公私合作模式在情报界的发展。过去,情报外包是美国私营部门参与情报工作的重要形式,然而,过度的私有化和政府参与不足导致了公私合作的“异化”,亟需审视“合作”的本质,探索通过收益共享和风险同担使双方达成一致目标的设计。本文基于谢尔曼·肯特的情报观将网络威胁情报领域的公私合作模式划分为情报共享、公共产品供给和公共治理三种功能类型,进而分析了不同类型的公私合作模式的理论和实践意义,接着,梳理了美国威胁情报公私合作模式的发展历程和制度保障,探讨公私合作模式实践中的机遇与挑战。当前美国正在从威胁情报共享转化为情报赋能,提升了美国的网络安全态势感知、应急响应和网络归因能力,但实践过程中暴露出的问题也值得我们反思。基于此,本文结合美国实践经验和我国国情提出我国在威胁情报工作中应完善威胁情报共享机制,推动威胁情报产业发展,发挥公私合作模式的治理作用。