俄乌战争期间的网络行动

未来 。。。

• 网络作战将在重大战区战争中发挥支撑而非决定性作用。大国将继续投资网络能力，但一旦爆发重大冲突，除了情报和欺骗工作之外，这些投资的回报就会递减。

• 战争仍将是政治通过其他手段的延续，并且依赖于暴力的更明显的影响，而不是妥协的信息网络的难以捉摸的影响。在向战争过渡期间，军事指挥官将更喜欢对高价值目标进行致命精确打击的确定性，而不是在网络空间产生影响的不确定性。

• 网络行动的优点仍然是它们作为政治战争工具的效用，因为它们促进了非战争的参与，利用秘密行动、宣传和监视，但其方式对人类自由构成了根本威胁。网络行动仍将是一种有限的胁迫工具。由于影响不确定，军事领导人针对指挥控制和军事目标发起的关键网络行动将比目前预期的要少。他们在发动信息战以动员和塑造不满情绪方面也将面临更少的限制。

介绍

网络行动对于二十一世纪的联合军备战役有多重要？2021年春季至2022年冬季，俄罗斯军队开始沿乌克兰东部边境集结作战部队。2022年2月24日，俄罗斯入侵乌克兰。这是自冷战结束以来俄罗斯第四次对邻国使用军事力量，也是俄罗斯第七次将网络行动作为更大行动的一部分或独立地作为对邻国进行胁迫的工具。[1]

专家和学者都对即将到来的网络战争做出了宏伟的预测。[2] 北大西洋公约组织（NATO）的研究人员甚至在战争期间辩称，“俄罗斯对政府和军事指挥控制中心、后勤、紧急服务进行网络攻击……” 。。完全符合所谓的“雷霆奔跑”战略，旨在引发混乱、混乱和不确定性，并最终避免乌克兰发生代价高昂且旷日持久的战争。”[3]

本期《论未来战争》系列对俄罗斯在乌克兰的网络行动进行了实证分析，以推断未来在核阈值以下的重大战区战争中使用网络行动的情景。对不确定未来的最佳预测来自对过去攻击模式和趋势以及影响深远的案例（例如乌克兰）的分析，这些案例几乎肯定会改变战争的性质。

进入战争的第二年，俄罗斯仍然陷入旷日持久的常规冲突，除了激烈的战斗和导弹袭击之外，还发生了破坏活动、强迫流离失所和绑架儿童、系统性的强奸和酷刑以及威胁使用核武器。然而，俄罗斯尚未对乌克兰或其西方支持者发动全面、代价高昂的网络战。所谓的“雷跑”从未成为现实。[4] 相反，乌克兰的决心、网络领域的特征以及俄罗斯倾向于发动全球行动的偏好的结合，更多地关注错误信息和破坏对基辅的支持，这些因素似乎已经取而代之。

本期《论未来战争》分析与乌克兰战争有关的俄罗斯网络行动。本研究利用俄罗斯在乌克兰的网络行动的公开记录来推断关于网络行动作为二十一世纪战争和胁迫工具的特征的见解。经验证据表明，虽然冲突期间网络攻击有所增加，但这些攻击并未表现出严重程度的增加、目标的转变或方法的转变。尽管宣称末日、阴郁和战争革命，俄罗斯在冲突期间的表现却与大多数民众的预期相反。虽然战术层面的网络目标几乎肯定会与信号情报一起出现（这种做法于 2016 年在乌克兰首次记录），但普遍趋势表明网络行动尚未对战场产生实质性影响。[5] 俄罗斯网络行动的作用在于支持南半球的信息行动和宣传，莫斯科已成功散布虚假信息，破坏对乌克兰的支持。早期的学术研究认为网络行动在塑造情报、欺骗和政治战争中发挥着关键作用，乌克兰的案例表明，即使在广泛的、生死存亡的战斗中，数字领域也发挥着塑造性而非决定性的作用。[6] [5] 俄罗斯网络行动的作用在于支持南半球的信息行动和宣传，莫斯科已成功散布虚假信息，破坏对乌克兰的支持。早期的学术研究认为网络行动在塑造情报、欺骗和政治战争中发挥着关键作用，乌克兰的案例表明，即使在广泛的、生死存亡的战斗中，数字领域也发挥着塑造性而非决定性的作用。[6] [5] 俄罗斯网络行动的作用在于支持南半球的信息行动和宣传，莫斯科已成功散布虚假信息，破坏对乌克兰的支持。早期的学术研究认为网络行动在塑造情报、欺骗和政治战争中发挥着关键作用，乌克兰的案例表明，即使在广泛的、生死存亡的战斗中，数字领域也发挥着塑造性而非决定性的作用。[6]

除了对网络雷霆行动提出质疑之外，经验记录，尤其是与俄罗斯之前的网络行动相比，还提供了对未来以及各国如何将网络行动整合到从危机到重大战争的一系列冲突中的基线预测。[7] 虽然该系统可能会发展，网络行动可能会成为未来战争的决定性工具，但迄今为止的记录表明了如何在战场上利用这项技术的替代方案。具体来说，将乌克兰网络行动的经验记录与战争定量研究的既定发现相结合，提出了三种情景。

1. 网络僵局：由于网络防御的弹性以及公私伙伴关系的力量，俄罗斯难以在战场及其他地区整合网络和常规影响。

2. 战争归来：俄罗斯重组并对美国关键基础设施发起一波网络攻击。

3. 数字谎言：俄罗斯网络影响力行动和计算宣传降低了对美国和乌克兰战争的支持。

纵观这些情景，我们可以得出关键的政策选择——每一个都与积极的竞选活动和综合威慑相一致——拜登政府可能会在未来两年内塑造与俄罗斯的长期竞争，这种竞争将持续到二十一世纪。随着时间的推移，人们越来越清楚，弹性和对防御行动的关注可以预防进攻性网络行动的潜在影响。网络空间防御需要扩大公私伙伴关系和协作以及汇集数据来识别攻击模式和趋势。最后，美国及其合作伙伴需要制定更好的方式和手段来对抗俄罗斯等恶意行为者利用网络空间扭曲全球舆论的行为。对于每一次失败的网络入侵，

理解网络运营

美国联合条令将网络空间作战定义为“运用网络空间能力，其主要目的是在网络空间中并通过网络空间实现目标。”[8]网络空间被进一步定义为“由信息技术（IT）基础设施和驻留数据组成的相互依赖的网络。它包括互联网、电信网络、计算机系统以及嵌入式处理器和控制器。”[9]

从军事角度来看，团体寻求保卫自己的网络，同时通过网络空间的不同层（即物理层、逻辑层和角色层）渗透其他网络。因此，网络访问变成了情报优势或提供效果的手段，在网络作战中创造了独特的“使用-失去”权衡。[10] 破坏或削弱对手网络可能会导致失去情报访问权限。此外，获取和利用访问权的双重努力不是发生在战场上，而是经常发生在商业系统和网络中，这造成了独特的困境，因为补丁和更新可能会移动或扭曲网络有效负载。最后，许多网络行动依赖于类似的策略、技术和程序，这意味着损害一项行动可能会导致连锁效应，从而损害其他行动。

虽然网络操作在设计上往往是隐蔽的，网络操作者经常通过第三方服务器路由有效负载来掩盖他们的入侵和身份，但可以分析国家和非国家行为者如何利用网络空间来推进他们的利益。20 多年来，学术界、政府和威胁情报公司一直在对网络操作进行分类。这种处理遵循学术研究并采用系统编码标准，而不是避免同行评审和复制的简单列表。[11] 关于外部有效性的基本假设是，记录的网络事件和相关活动代表了更大范围的未见或未报告的网络事件。[12] 

对于许多人来说，网络行动是一种获得决定性优势的方法，创造了一条轻松的胜利之路。正如美利坚大学国际服务学院副教授乔什·罗夫纳 (Josh Rovner) 指出的那样，“对于政策制定者和规划者来说，网络空间行动表明了一条通往快速而决定性胜利的低成本途径。”[13] 这一想法在 1 月份得到了最清晰的阐述。卡尔伯格的决定性网络作战理论。[14] 西点军校陆军网络研究所前研究科学家卡尔伯格认为，“决定性的网络结果要么通过网络攻击消除军事能力，要么破坏目标社会的稳定来实现。”[15]这个想法是触发“潜藏在一个机构薄弱的国家中的熵。”[16]

许多决定性网络胜利的愿景都源于网络战代表着战争和军事事务的革命这一理念。[17] 印度国防部前任官员阿米特·夏尔马 (Amit Sharma) 指出：“网络战…… 。。这是一场能够通过导致战略瘫痪来迫使敌人屈服于你的意志的战争，以达到预期的目的，而这种夺取敌人的过程几乎不需要使用任何武力。”[18]

白宫前网络安全主管格雷格·拉特雷 (Greg Rattray) 表示，“在美国在海湾战争中取得巨大军事胜利的过程中，信息系统与先进常规部队能力的成功整合被证明是决定性的。”[19] 但他也进一步警告称，挑战，包括有针对性的攻击的专业知识、评估信息破坏的政治后果的困难以及防御协调挑战，将阻碍信息战有效产生效果的能力。[20] 

应用于乌克兰，决定性网络胜利的愿景想象俄罗斯的网络入侵超出了战场目标，从而破坏了基辅的信心。卡尔伯格最初的理论关注的是弱国，“网络攻击可能会导致公民缺乏控制感，指责国家未能保护社会结构。”[21] 在很多方面，这就是俄罗斯对乌克兰的愿景认为一场快速战争足以动摇政府并导致全面崩溃，让莫斯科控制该国。美国国家安全局 (NSA) 和美国网络司令部前局长基思·亚历山大 (Keith Alexander) 指出，“相对容易且相对便宜的网络攻击很可能位居榜首。正如俄罗斯在 2008 年格鲁吉亚冲突期间所表现出的那样，

北约分析师戴维·卡特勒 (David Cattler) 和丹尼尔·布莱克 (Daniel Black) 指出，网络行动是“俄罗斯迄今为止在乌克兰战争中取得的最大军事胜利。”[23] 查塔姆研究所 (Chatham House) 高级咨询研究员基尔·贾尔斯 (Keir Giles) 甚至认为，常规行动将甚至不需要：

“当存在对乌克兰造成损害的更便宜、更可控的选择时，很难看出坦克越过边境将如何服务于俄罗斯的目标……使用导弹进行的对峙打击，或者潜在的破坏性网络攻击，可能会针对军事目标指挥和控制系统或民用关键基础设施，迫使基辅做出让步，并迫使其朋友满足俄罗斯的要求。” [24]

这种逻辑让人想起两次世界大战期间的空中力量理论家，他们相信轰炸机会摧毁城市，迫使公民向政府施压，迫使他们投降。[25]

哥伦比亚大学高级研究学者贾森·希利将这一想法延伸至乌克兰的外国支持者，他指出，对美国的另一次 SolarWinds 式攻击将“对公众和决策者造成心理冲击”，并且“可能成功地迫使美国美国做出让步。”[26] 由于担心俄罗斯会通过网络手段将冲突升级并扩大到美国，许多人希望保持中立，或者至少“屏蔽”。[27] 

研究国际安全和颠覆性技术交叉领域的学者普遍拒绝网络空间取得决定性胜利的想法。[28] Nadiya Kostyuk 和 Erik Gartzke 等学者指出，俄罗斯网络行动“既没有取代也没有显着补充常规作战活动。”[29]其他人则表示，“我们不太相信俄罗斯或乌克兰的战场网络行动有效。”[30]早些时候研究人员指出，“尽管行动日益复杂，但 2000 年至 2016 年间，网络空间是一个由政治战争和控制升级的秘密信号定义的领域，而不是决定性行动的舞台。”[31] 相反，网络行动通常代表秘密或欺骗寻求胁迫或向对手发出信号的行动。[32] 通常与智力相关，网络行动更像是战争中的补充活动，而不是单一的决定性工具。[33] 与联合兵种一样，网络行动在与其他效果结合起来为对手制造多重困境时效果最佳。这一逻辑意味着，俄罗斯在乌克兰的网络行动很可能受到网络空间特征及其战略逻辑的制约。[34]

网络行动也有可能更具防御性而不是进攻性。世界上大多数代码、计算机设备和网络基础设施都由私营公司拥有和运营。这些公司花费数十亿美元监控其网络。非营利组织和学术机构不断寻找错误并向公司通报缺陷。网络竞争的这一独特特征意味着，即使是最好的计划也常常会被寻求保护网络空间的企业和公民生态系统所破坏。此外，开发高端网络效应所需的人力资本和成本可能会限制其使用。[35] 美国的工作

俄罗斯网络行动

历史案例

纵观俄罗斯网络行动的历史，克里姆林宫利用网络手段与对手进行长期竞争。[37] 2014 年之前，莫斯科的竞选活动往往集中在政治战和间谍活动上。爱沙尼亚和格鲁吉亚的业务最为突出。2007年，在爱沙尼亚移动了被称为青铜士兵的俄罗斯纪念碑后，大规模的拒绝服务行动试图惩罚爱沙尼亚。[38] 在 2008 年俄罗斯与格鲁吉亚冲突期间，俄罗斯利用网络攻击对格鲁吉亚实施信息行动 (IO)。[39] 俄罗斯的信息战行动旨在“影响、扰乱、腐败或篡夺对手和潜在对手的决策，同时保护[他们]自己的决策。”[40]

作为摧毁乌克兰关键基础设施的军事行动的先兆，莫斯科还利用网络行动瞄准基辅的电力供应。继 2014 年非法吞并克里米亚之后，Sandworm 等高级持续威胁 (APT) 组织参与了 2015 年针对乌克兰发电和配电的 BlackEnergy 活动。[41] 虽然这些攻击占据了头条新闻，但产生的影响有限。[42] 2017 年，与俄罗斯有关的团体发起了 NotPetya 活动，该活动产生的影响从预定目标乌克兰公司溢出，影响了全球物流。[43]

俄罗斯还利用网络行动作为政治战的一种形式，利用多种宣传手段来分化社会并影响政治选举。值得注意的是，这些努力包括并行的破坏活动，旨在破坏网站并将乌克兰的支持者描绘成纳粹分子。[44] 这场运动之后，还有更大胆的尝试，通过 2016 年针对总统选举的行动来破坏人们对美国民主的信心，其影响仍在争论中。[45] 2018 年，美国网络司令部利用俄罗斯过去的行为以及莫斯科即将重复其行动的其他指标和警告，作为针对俄罗斯宣传和影响力运营公司互联网研究机构发起先发制人行动的理由，旨在阻止攻击中期选举期间。[46]

最近，俄罗斯的行动将复杂的间谍活动和犯罪恶意软件活动结合起来。在 2020 年的大部分时间里，俄罗斯黑客组织 APT29（或 Cozy Bear）利用 SolarWinds Orion 计划中的供应链漏洞从大量目标中窃取数据和数字工具。[47] 这次行动敲响了警钟，因为美国国家安全局和微软等大公司都没有检测到这次入侵，而且它很可能涉及人类情报和网络操作的结合，将恶意代码深入服务器中。2021 年，名为“DarkSide”的犯罪分子（可能与俄罗斯政府有联系）成功针对殖民地管道部署勒索软件，该系统将美国东海岸使用的大部分燃料输送到该系统。[48]

实证分析

这些引人注目的例子与 2000 年至 2020 年间俄罗斯网络行动的普遍经验模式相似。最新版本的二元网络事件和活动数据 (DCID 2.0) 延长了数据集的时间线，并添加了新变量，包括勒索软件和信息操作.[49] 该数据集对表明较大活动的网络事件进行了编码，并建立了战略目标的类型，包括破坏（造成低成本、低痛苦的事件）、短期间谍活动（获得立即生效的访问权限）、长期间谍活动（利用信息）用于未来的操作）和降级（追求物理破坏和损害）。严重性按 0 到 10 之间的区间进行衡量。其中 (0) 表示没有网络活动 (1) 并开始跟踪被动操作的网络操作对 (4) 广泛的政府、经济、军事或关键私营部门网络入侵、多个网络对 (5) 单个/多个关键网络的影响网络渗透和物理破坏企图，(10) 可能导致大规模死亡。[50] 这种编码方法遵循 20 世纪 60 年代以来政治学研究危机、争议和冲突的实践。[51]

2000 年至 2020 年间，记录了 30 起双网络事件，表明俄罗斯和乌克兰之间发生了更大规模的活动。俄罗斯经常是发起者，但很少是目标。在俄罗斯和乌克兰之间记录的 30 起网络事件中，28 起（即 93%）是由俄罗斯发起的。在此期间，莫斯科的大部分目标（57%）都是私人非国家行为者。在有记录的俄罗斯网络行动中，只有 11% 针对政府军事目标。这一目标概况表明，莫斯科正在努力攻克防御更严密的乌克兰网络。虽然像 SolarWinds 这样的关键案例表明，可能存在更多尚未被发现的网络活动实例，这些活动是由人类情报行动支持的，而这些活动很难被发现，但现有数据表明，乌克兰的网络防御仍在继续。

俄罗斯过去针对乌克兰的许多网络事件和活动都是出于破坏或间谍目的，而不是为了削弱关键的政府网络。在记录的表明较大活动的网络事件中，只有 29% 是降级事件。俄罗斯网络行动的大部分特点是网络钓鱼尝试、分布式拒绝服务活动、宣传或破坏行为以及单一网络入侵——所有这些的影响往往都很有限。

总而言之，记录在案的 28 起表明大规模活动的网络事件中没有一起严重到造成持久的物理损害的程度。从 0 到 10 的等级，“0”代表没有网络活动，“10”代表网络事件直接导致的大规模死亡，俄罗斯针对乌克兰的攻击从未超过“5”——单个或多个关键网络渗透和试图进行物理破坏。此外，俄罗斯过去的网络行动都没有导致乌克兰的行为发生让步的改变。莫斯科似乎更多地将网络行动视为骚扰乌克兰和支持信息行动的手段，而不是作为雷霆战略的制胜武器。

这种行为模式与俄罗斯与其其他竞争对手的互动基本一致。根据 DCID 2.0 数据集，在 2000 年至 2020 年间俄罗斯针对其竞争对手发起的总共 113 起网络事件和大型活动中，只有一次（0.088%）导致了切实的政治让步。尽管网络行动频繁使用，但对莫斯科来说仍然是一种较弱的强制手段。

2022年俄罗斯网络行动分析

从 DCID 2.0 数据集转向乌克兰战争第一年，CSIS 研究小组发现了 47 起公开归因的网络事件，表明俄罗斯在 2021 年 11 月 29 日至 2022 年 5 月 9 日期间发起了一场活动。[52] 这些数据直接从乌克兰政府消息来源和微软报告中挑选出来，避免了许多当代新闻报道可能带来的偏见。由于网络行动的隐蔽性，这可能只是大规模入侵的一小部分但具有代表性的样本。

如果网络行动的特征更符合情报和欺骗等塑造活动，人们预计会在乌克兰战争的早期阶段看到这种趋势。换句话说，DCID 2.0 等数据集的观察结果应该表明，与战前的统计数据相比，2022 年冲突的初始阶段网络行动的频率有所增加，但严重程度并未增加，即使它们只是较大人口中的一小部分样本。由于很难准确知道网络活动何时开始，因此数据应该显示出滞后性，从而导致重大敌对行动开始时出现峰值。 

这种情况正是通过审查 DCID 2.0 捕获的网络入侵模式得出的结果。记录在案的网络入侵增加了 75%，但攻击的平均严重程度却有所下降。全面入侵后，平均严重程度有所下降，这表明尽管低水平的破坏和间谍活动仍在继续，但来自俄罗斯的降级型行动已显着下降。结果具有统计显着性并在统计附录中报告。目前尚不清楚的是，这种下降是否是故意瞄准的结果，还是乌克兰网络防御的弹性所致，这些问题将在本研究后面讨论。

与俄罗斯目标将转向支持军事行动的猜测相反，对 DCID 的分析显示，目标或总体活动类型在统计上没有显着变化。入侵前后的目标没有统计学上的显着差异（见统计附录）。这一发现表明，网络作战的效用更多地取决于设定条件和情报，而不是大规模作战行动中的直接应用。虽然网络目标支持战斗，但数据显示，更大规模的网络战役在战时并没有发生根本性变化。研究结果无法确定的是，这一观察结果是否是网络空间特征的函数，还是乌克兰网络防御弹性等特定案例因素的结果。

通过观察俄罗斯的攻击风格，研究小组发现，俄罗斯在战争期间的网络活动更具破坏性，而不是有辱人格，这与其过去的行为一致。如图 2 所示，当人们按类型审视这些网络行动时，莫斯科的首选网络目标仍然是破坏性塑造活动和网络间谍活动。在 2022 年入侵乌克兰的头几个月，破坏事件占总事件的 57.4%，其次是间谍活动（21.3%）。

对破坏性行动的依赖与俄罗斯战前的行为形成鲜明对比，后者加剧了间谍活动。也就是说，对于战前样本和 2022 年战争样本来说，退化性网络操作从来都不是大多数。正如俄罗斯过去的网络行动未能导致乌克兰做出任何让步一样，乌克兰在本次分析期间也没有做出任何让步。

在战争期间，一个国家可能会改变其网络目标。然而，对乌克兰网络事件的分析未能证实这一假设。从 47 起事件中俄罗斯网络攻击的目标来看，大多数（59.6％）针对私人非国家行为者，其次是针对国家和地方政府行为者（31.9％）的攻击。只有 4 个（即 8.5%）目标是政府军事人员。这一目标类型细分与俄罗斯 2000 年至 2020 年间的目标密切对应：57% 的目标是私人非国家行为体，32% 是政府非军事行为体，11% 是政府军事行为体。军事行动者在战争期间并未更频繁地成为攻击目标，这是违反直觉的。

这些结果让人对俄罗斯在多大程度上成功地将其常规军事行动与网络效应结合起来产生了怀疑。与常规部队的协调成为一个重要的话题，大部分新闻媒体都跟随一些分析人士的说法，声称网络行动与常规军事力量之间存在着显着的协调。[53] 该分析未能证实这些说法。俄罗斯的军事行动似乎难以整合综合效应，尤其是跨领域的综合效应。

CSIS 高级副总裁詹姆斯·刘易斯也承认网络攻击和传统攻击之间似乎缺乏协调。要成功实施协调一致的攻击，需要规划和情报支持，而要么因为俄罗斯选择不这样做，要么没有能力这样做，俄罗斯的网络努力对俄罗斯在乌克兰的军事行动影响有限。这使得刘易斯坦率地说：“网络攻击被高估了。虽然它们对间谍活动和犯罪活动非常有价值，但它们在武装冲突中远非决定性的。”[54]

理解研究结果

战争初期，网络行动急剧增加。然而矛盾的是，严厉程度或风格并没有相应的变化，俄罗斯的目标偏好也没有发生变化。虽然战争期间网络冲突的发生率有所增加，但让步甚至严厉的网络行动的发生率却没有增加。尽管这一经验基线是基于汇总非机密数据，但仍需要解释。

上面提供的分析提供了对正在发生的事情的洞察，但不一定清楚地解释为什么会发生。下面，本研究考虑了三种不同的因果解释。第一个遵循上述收集和评估的数据以及少数报告的逻辑，解释了为什么俄罗斯的网络努力无效。[55] 第二个观点则相反：为什么世界仍然可以目睹乌克兰及其他地区广泛的网络活动。第三个考虑网络空间的另一种逻辑，重点关注错误信息、虚假信息和恶意信息，以及更大的宣传活动。

1.“防守占主导地位”

私营部门创新、国家协调和新兴理论的结合有可能使网络领域防御占据主导地位。虽然 SpaceX 和 Starlink 占据了乌克兰的头条新闻，但多家公司竞相帮助该国保留访问网络空间的能力。[56] 微软报告称，“网络威胁情报和端点保护”相结合。。。帮助乌克兰抵御了高比例的俄罗斯破坏性网络攻击。”[57] 即使俄罗斯协调对数据中心进行雨刮器攻击和巡航导弹袭击，乌克兰也能够“将其数字基础设施转移到公共云中”并在攻击中幸存下来。[58 ] 2022 年 11 月，乌克兰副总理兼数字化转型部长米卡利奥·费多罗夫 (Mykhalio Fedorov) 赞扬 Amazon Web Services (AWS) 在帮助乌克兰在战争期间保持政府连续性方面发挥的作用。[59] 在冲突开始阶段，AWS 发送了手提箱大小的计算机驱动器来帮助乌克兰备份关键数据。[60] 网络安全公司 Cloudflare 将其伽利略计划服务（为艺术、人权、公民社会、新闻和民主促进领域的组织提供全套保护）扩展到乌克兰各地的主要组织。[61] 这项工作与 Google 的 Project Shield 类似，后者同样致力于帮助面临风险的组织防御网络入侵。[62] 总而言之，网络空间的特征依赖于商业网络和公共部门，这意味着私人行为者网络已与乌克兰的防御交织在一起。[63] [59] 在冲突开始阶段，AWS 发送了手提箱大小的计算机驱动器来帮助乌克兰备份关键数据。[60] 网络安全公司 Cloudflare 将其伽利略计划服务（为艺术、人权、公民社会、新闻和民主促进领域的组织提供全套保护）扩展到乌克兰各地的主要组织。[61] 这项工作与 Google 的 Project Shield 类似，后者同样致力于帮助面临风险的组织防御网络入侵。[62] 总而言之，网络空间的特征依赖于商业网络和公共部门，这意味着私人行为者网络已与乌克兰的防御交织在一起。[63] [59] 在冲突开始阶段，AWS 发送了手提箱大小的计算机驱动器来帮助乌克兰备份关键数据。[60] 网络安全公司 Cloudflare 将其伽利略计划服务（为艺术、人权、公民社会、新闻和民主促进领域的组织提供全套保护）扩展到乌克兰各地的主要组织。[61] 这项工作与 Google 的 Project Shield 类似，后者同样致力于帮助面临风险的组织防御网络入侵。[62] 总而言之，网络空间的特征依赖于商业网络和公共部门，这意味着私人行为者网络已与乌克兰的防御交织在一起。[63] [60] 网络安全公司 Cloudflare 将其伽利略计划服务（为艺术、人权、公民社会、新闻和民主促进领域的组织提供全套保护）扩展到乌克兰各地的主要组织。[61] 这项工作与 Google 的 Project Shield 类似，后者同样致力于帮助面临风险的组织防御网络入侵。[62] 总而言之，网络空间的特征依赖于商业网络和公共部门，这意味着私人行为者网络已与乌克兰的防御交织在一起。[63] [60] 网络安全公司 Cloudflare 将其伽利略计划服务（为艺术、人权、公民社会、新闻和民主促进领域的组织提供全套保护）扩展到乌克兰各地的主要组织。[61] 这项工作与 Google 的 Project Shield 类似，后者同样致力于帮助面临风险的组织防御网络入侵。[62] 总而言之，网络空间的特征依赖于商业网络和公共部门，这意味着私人行为者网络已与乌克兰的防御交织在一起。[63] 同样致力于帮助面临风险的组织抵御网络入侵。[62] 总而言之，网络空间的特征依赖于商业网络和公共部门，这意味着私人行为者网络已与乌克兰的防御交织在一起。[63] 同样致力于帮助面临风险的组织抵御网络入侵。[62] 总而言之，网络空间的特征依赖于商业网络和公共部门，这意味着私人行为者网络已与乌克兰的防御交织在一起。[63]

除了增强国防力量的新技术之外，过去七年还出现了未经报道的推动各州协调网络安全政策并让私营部门参与的努力。[64] 乌克兰网络战略的设计者参与了美国国务院的多项举措，包括在冲突开始前一年与美国网络空间日光浴室委员会研究主任会面。多个联邦机构在战前就制定了支持乌克兰网络和数字基础设施的计划，包括美国国际开发署的网络安全改革举措以及国土安全部和司法部共享威胁信息的举措。[65] 这些努力与欧盟的类似举措并行。[66]

网络空间防御机制的概念在过去十年中也不断发展。美国国防部早期发布的网络战略往往被批评为过于防御性。[67] 继2018年国防战略和国防部的并行举措的引领下，美国网络司令部也在2018年发布了一项新战略，呼吁“在日常竞争中在网络空间采取行动，以维护美国的军事优势并保卫美国的安全” 。美国的利益。”[68]

随着美国及其盟国部署网络部队以支持伙伴防御，这些新概念已付诸实践。美国网络司令部司令兼国家安全局局长保罗·中曾根 (Paul Nakasone) 将军在 2022 年里根国防论坛上的演讲中讲述了他的搜寻团队在 2021 年增长了 300% 的情况。[69] 同样，欧盟启动了网络快速响应小组，帮助乌克兰抵御俄罗斯的网络攻击。[70] 北约甚至接受乌克兰作为其合作网络防御卓越中心的贡献参与者。[71] 美国的前沿防御努力已经超出了网络防御的范畴，还秘密地从世界各地的计算机网络中删除俄罗斯恶意软件。

2.“这只是时间问题”

在乌克兰外国支持的网络防御取得初步成功后，俄罗斯可能正在重组，也可能正在等待时机。迄今为止，尚未发生使用恶意软件的重大关键基础设施攻击，但这并不排除将来会发生此类攻击。

首先，有迹象表明，自战争开始以来，俄罗斯一直在努力破坏指挥和控制。在地面入侵开始前几个小时，俄罗斯部署了恶意软件，扰乱了 Viasat 卫星系统，导致欧洲各地 30,000 多个互联网连接暂时中断，其中包括 5,000 台风力涡轮机。[73] SpaceX 领导层声称，自从将该功能部署到乌克兰以来，该公司的星链网络已经抵御了多次俄罗斯网络攻击。[74] 最近，有报道称俄罗斯网络行动试图渗透 Delta，这是乌克兰独特的军事情报和目标融合软件。[75]

其次，自战争开始以来，有报道称在向乌克兰提供外国军事援助的国家的关键基础设施上发现了恶意软件。在美国，冲突初期，在与发电和供电相关的关键基础设施上发现了俄罗斯恶意软件，如果没有发现，可能会被用来造成停电和供应中断。[76] 英国向关键基础设施组织发出公开警告，称自乌克兰战争爆发以来，莫斯科加大了针对关键基础设施的攻击力度。[77] 波兰是一个常见的目标，物流供应商通常面临风险，主要是勒索软件。[78]

俄罗斯还参与了开发更复杂工具包的努力。这些措施包括旨在破坏、降低或破坏关键基础设施的新型工业控制恶意软件，类似于历史上 2010 年首次发现的针对伊朗核设施的 Stuxnet 攻击和 2015 年破坏乌克兰电网的 BlackEnergy 攻击所产生的影响。[79] 这一活动与俄罗斯针对关键基础设施的网络犯罪网络活动的增加相平行。[80] 还有报道称，俄罗斯正在开发一种结合电子战、信号情报和网络能力的新能力，重点针对关键基础设施和“生命支持系统”。

然而，迄今为止，俄罗斯利用网络空间削弱西方支持或乌克兰军事能力的努力基本上未能达到预期。三个原因很突出。首先，网络空间可能是防御占主导地位。莫斯科发现自己不仅要面对乌克兰，还要面对一个由公共和私人网络安全专业人员组成的全球网络，这限制了它利用网络空间的程度。其次，网络报告中可能存在威胁膨胀的趋势，这使得俄罗斯的努力看起来比实际情况更加复杂和强大。乌克兰国家特殊通信和信息保护服务局 (SSSCIP) 副主席兼首席数字化转型官 Viktor Zhora 表示，即使是 Viasat 攻击也没有对乌克兰造成重大影响。[83] 第三，可能还有一个更简单的逻辑：乌克兰的关键基础设施可以通过巡航导弹袭击来破坏，从而使俄罗斯能够保留精致的恶意软件，以防战争升级到与西方的直接战斗。换句话说，网络空间中可能存在升级动态，即使在代理人战争中，也会限制各国对竞争对手的大国发动全面的网络攻击。

3.“这是一场不同的战争”

俄罗斯可能正在发动一场不同类型的网络战争，重点不再是摧毁关键基础设施，而是更多地限制支持乌克兰的联盟。这种信息战战略旨在以与苏联有关主动措施和反射性控制的传统思想相一致的方式散布混乱并引起怀疑和混乱。[84]

微软报告了俄罗斯对乌克兰以外 40 多个国家的 100 多个组织的网络入侵活动。[85] 其中许多努力都涉及与克里姆林宫有联系的“高级持久操纵者（APM）团队”，他们专门以“类似于预先定位恶意软件”的方式在社交媒体上植入虚假叙述。[86] 俄罗斯网络运营商继续进行针对乌克兰和支持乌克兰的国家附近的目标进行低水平干扰。Sandworm 组织最近发起了一次由俄罗斯 GRU 发起的攻击，目标是乌克兰国家通讯社 Ukinform。[87] Politico指出，俄罗斯在未能在战场上利用网络行动后试图恐吓乌克兰平民。[88] 

在乌克兰境外，与俄罗斯有关的行为者使用低级攻击来破坏网站，这与政治战的网络方法一致。[89] 立陶宛在限制俄罗斯货物进入加里宁格勒后成为目标。[90] 许多与俄罗斯结盟的威胁组织也加入了混乱，以挪威、芬兰、爱沙尼亚和拉脱维亚为目标。[91] 

在全球范围内，俄罗斯利用网络空间发动大西洋理事会研究人员所谓的“叙事战”。[92]这些行动的重点是削弱全球对乌克兰的信心。[93] 与传统的网络入侵不同，其目标要么是造成混乱，要么是利用计算宣传来塑造公众对冲突的态度。这些方法包括创建虚假社交媒体帐户、使用机器人以及将内容提示定位到独特的用户群体以改变公众态度。[94]

例如，考虑一下莫斯科在 2022 年入侵非洲后加速的跨非洲网络信息行动。早在 2019 年，研究人员就发现了一组与瓦格纳集团相关的 Facebook 页面，这些页面活跃在利比亚、中非共和国、苏丹、刚果民主共和国、马达加斯加和莫桑比克。[95] 该操作显示出高度的复杂性，包括使用当地分包商和母语人士、将消息调整为短视频和竞赛等独特的内容形式，以及使用 Google 表单征求反馈。[96] 2022 年入侵乌克兰后，这些行动加速了，俄罗斯圈等新团体在社交媒体上针对非洲各地的不同受众宣传与克里姆林宫有关的宣传。

从奇怪的模式到另类的未来

结合俄罗斯针对乌克兰网络攻击的经验趋势，这三种逻辑为想象乌克兰的网络战争（如果不是更进一步）在未来 12 至 36 个月内如何演变提供了基础。

网络僵局：未来，防御仍占主导地位，限制了乌克兰的进攻性网络活动。

俄罗斯领导人发现网络战线的进展与战场一样停滞不前。虽然战壕线、河流和混凝土加固的战斗阵地使现实世界中的机动变得困难，但私营部门公司和政府的联合起来挫败了网络空间中的网络攻击。此外，俄罗斯将网络攻击范围扩大到乌克兰以外的努力几乎没有取得长期成果，并使俄罗斯成为与朝鲜同等的国际贱民。俄罗斯犯罪集团蓬勃发展，勒索软件活动和“犯罪即服务”活动在全球范围内不断增加，但事实证明，莫斯科无法将网络行动与其赢得乌克兰战争和在其周边地区建立俄罗斯霸权的政治目标结合起来。

俄罗斯网络犯罪的挫败浪潮引发了一场关于网络行动作为战争工具的有效性的新辩论。这场争论的焦点是美国与欧洲伙伴之间的对立面，尽管美国的军事和情报界支持扩大对网络能力的投资，尽管俄罗斯遭遇挫折，但欧洲伙伴希望看到更广泛的网络行动禁令，并汇集有关攻击和漏洞的数据以提高安全性。。由于美国试图激励私营部门报告网络入侵的立法和行政行动陷入停滞，这些努力变得更加复杂。最终结果是，美国及其合作伙伴在网络空间问题上的分歧越来越大，公共部门和私营部门之间在网络安全方面的努力也没有统一。

中国关注这些辩论，并继续投资于国内监视和火力打击概念的网络支持。人民解放军（PLA）更加注重情报收集和瞄准，并改进整合网络、电子战和信号情报的方法，以避免重蹈莫斯科的覆辙。更令人不安的是，俄罗斯未能将网络行动与其军事行动结合起来，迫使北京增加对太空武器化的投资。解放军军事领导人评估认为，针对美国及其伙伴国家卫星星座的动能和非动能混合效应将比地面网络入侵和难以遏制的恶意软件攻击更可靠。

战争归来：未来，俄罗斯升级并发动了一波关键基础设施攻击。

随着战场进展陷入停滞，西方援助继续流向基辅，莫斯科授权发起新的行动，攻击支持乌克兰的国家的关键基础设施。经过多年的野外实验，俄罗斯网络运营商制作了工具包，利用与能源生产和传输、运输系统、废水处理和各种工厂流程相关的工业控制系统。早些时候的 Viasat 行动导致 5,000 台风力涡轮机瘫痪，而最新的行动则导致欧洲和美国数百万人无法断断续续地获得电力和水源长达 10 天。其结果是造成广泛的恐慌，导致数百人在隆冬时死亡。经济影响更为严重，股市大范围崩溃，货币运行。

面对广泛的公众压力，美国总统对俄罗斯进行报复。尽管美国努力对与政治精英和军队有关的设施进行精确定位，但美国的网络行动削弱了俄罗斯各地的关键基础设施，并造成了广泛的人道主义灾难。溢出效应导致广泛的经济影响，并进一步给俄罗斯各地本已薄弱的基础设施带来压力，造成暂时的团结效应。俄罗斯公民反对报复。

为了应对网络攻击，俄罗斯将其核力量置于戒备状态，并向白俄罗斯部署了额外的运载系统。俄罗斯潜艇切断了关键的光缆，导致全球通信和关键反潜预警系统等信息交换能力下降。莫斯科通过秘密渠道发出信号，表示打算在乌克兰使用非战略核武器，如果美国或任何北约成员国进行干预，俄罗斯将做出回应。美国被迫提高核警戒级别，将世界推入自1962年古巴导弹危机以来最危险的战略危机。专家们将这场对峙称为“网络导弹危机”。

数字谎言：未来，俄罗斯的网络努力会对美国的海外形象造成强烈抵制。

尽管乌克兰遭遇军事挫折，国内也存在异议，但全球南方国家对俄罗斯的态度却日益积极。巨魔农场的使用、在非洲轻松访问RT以及计算宣传成功地塑造了莫斯科作为西方新帝国主义受害者的形象。在这些叙述中，普京更像是二十一世纪的切·格瓦拉，而不是一位年迈的强人。全球宣传的攻势使美国的发展计划变得更加复杂，并导致美国驻外使馆外发生广泛的抗议活动。中国共产党的中间人放大了这些努力，并将不满情绪传播到东南亚、中亚以及拉丁美洲。

在国内，全球宣传浪潮席卷了美国政治的左翼和右翼。针对右翼受众的宣传强调俄罗斯是基督教的捍卫者和阻止“觉醒的西方”引发文明崩溃的堡垒。在左翼方面，社交媒体定制的信息表明不干预以及需要放弃军事力量以支持国内的社会支出。这些信息还试图将华盛顿作为新帝国主义国家的框架与美国国内的历史恩怨联系起来。

生成式人工智能 (AI) 的广泛使用加速了这些活动，导致了一波深度造假和人工智能编写的在线内容浪潮。由于缺乏公共或私营部门政策来调节内容，大量内容淹没了社交媒体。公众对治理机构的信任持续长期下降，并在美国社会蔓延成更广泛的犬儒主义情绪。

政策影响

经验证据与情景相结合表明，需要扩大网络空间中的公私伙伴关系和其他集体防御机制，同时制定信息环境中反影响行动和竞争的新方法。这些建议虽然是在发布之前独立制定的，但与 2023 年国家网络空间战略中概述的优先事项相匹配。

建议 1：增加支持网络防御的公私合作伙伴关系

仅保护美国关键情报和军事网络的安全还不够。现代社会生活在跨越公共和私营部门的复杂网络中。创建汇集数据和通用标准越容易，对手就越难危害安全。这相当于古老的军事格言“因地制宜”。如果地形（即网络空间）是由连接分散群体的可扩展网络定义的，那么让这些群体更容易协调防御将使任何一个行为者更难采取进攻行动。

实际上，这种逻辑意味着美国政府为公私部门合作提供的激励措施越多，网络防御就越有可能抵御未来的攻击。例如，如果那些为帮助乌克兰等受围困国家和社会而采取行动的公司获得税收抵免，或者至少允许将用作税收冲销的工时考虑在内，结果会怎样呢？如果美国政府创建一种新的赠款或合同工具，例如无限期交付和不定数量合同（IDIQ），使私营部门能够在危机期间迅速崛起以支持美国主要合作伙伴和盟友，结果会怎样？目的和方式很明确：通过加强公私合作加强网络防御。不太清楚的是这样做的最佳方法，

其次，加强公私伙伴关系应利用有关网络威胁的清晰、透明的汇总数据。尽管美国政府在共享威胁信息方面正在取得进展，但这一进程可能会走得更远。正如私营部门依赖美国政府收集的经济和天气数据一样，网络空间也应如此，美国政府维护着由数据科学家不断更新的可靠数据池。该数据池应该对实体名称（例如企业、非营利组织和政府机构）进行匿名化，类似于联邦航空管理局航空安全报告计划的既定做法，并使用通用类型，如 MITRE ATT&CK 框架中所示。如果没有这个共同的参考数据集，美国

汇集数据是一种公共产品，可以帮助公私部门合作。了解一段时间内的攻击趋势将有助于网络安全专业人员确定何时更新网络和最佳防御组合，以确保操作的连续性。有了这些信息，美国政府就可以确定在哪里以及如何最好地进行前沿防御，优先采取更精细的网络行动来应对尚未通过加强公私部门协调来缓解的威胁。

建议 2：增加围绕网络防御和共享情报的外交参与

与与私营部门合作类似，美国政府应加大与合作伙伴和盟友的协调力度，以确保网络空间的安全。此类建议说起来容易，但实施起来却很难，需要多个合作伙伴在多个机构之间进行协调、与多个合作伙伴进行协调。虽然国务院将发挥主导作用，但它必须与其他部门（例如国土安全部、司法部以及军事和情报界的多个部门）合作，协调合作伙伴的外展活动。

乌克兰网络的弹性部分与冲突前为支持制定和实施国家网络战略而采取的行动有关。乌克兰在网络防御方面的实力表明，不仅私营部门而且外国政府在帮助基辅为战争初期增加的网络入侵做好准备方面发挥着关键作用。[99]

支持网络安全的外交外展需要关注两个主要领域：信息共享和互操作性。在信息共享方面，美国政府应加快与合作伙伴共享漏洞知识的力度。很多时候，政府出于保护用于获得洞察力的来源和方法的愿望而隐瞒信息，或者更阴险的是，因为漏洞数据与该政府当前使用的漏洞相关联。这些限制虽然有效，但往往会阻碍与合作伙伴和盟友及时共享网络漏洞信息。它们还造成官僚障碍和“不”文化，限制了关键合作伙伴之间的信任，通常会导致收集延迟和对网络作战环境的不平衡理解，从而阻碍集体防御和协调。还值得指出的是，如果没有中央数据存储库，就没有单一的、经过验证的存储库使用通用框架来跟踪网络攻击。即使它存在于机密网络上（这些作者对此表示怀疑），共享的官僚障碍也限制了及时访问或更新，甚至常常使情报界依赖第三方供应商，例如威胁情报公司。 

其次，外交外展应通过增加危机模拟和网络游戏的数量来建立与主要合作伙伴和盟友的互操作性，以就如何最好地应对协调网络防御（包括事件响应和减轻后果）达成共识。网络安全基础设施和安全局 (CISA) 等组织在为联邦、州和地方机构开发和运行重大网络演习方面拥有良好的记录。这些努力应扩大到包括国务院推动的国际项目。这些游戏将探讨多个国家同时发生的关键基础设施攻击，以及如何最好地协调网络防御和事件响应。这些游戏将响应最危险的行动方针：像俄罗斯这样的流氓国家成功地破坏了全球的关键基础设施。鉴于上述目标数据，该活动可能会针对私营部门系统，并寻求通过其人民的痛苦（即通过惩罚进行威慑）来劫持国家作为不断升级的危机的一部分。鉴于最近有关中国在全球范围内探测关键基础设施网络的消息，这一发现远远超出了协调针对俄罗斯的防御的范围。[100]

建议 3：重新评估如何应对网络信息行动

对乌克兰战争第一年的观察表明，防御恶意软件比防御谎言更容易。然而，美国政府尚未对网络信息操作和计算宣传制定可靠、动态的应对措施。国务院全球参与中心等努力是朝着正确方向迈出的一步，但资金不足，也缺乏以机器速度反击错误信息、虚假信息和恶意信息的权力。

对抗全球宣传的挑战是如此之大，以至于没有任何一个机构或方法能够解决这些问题。因此，美国国会应该成立一个新的国会委员会来研究如何最好地打击错误信息，因为它关系到更大的美国国家安全战略和现有立法当局的挑战。先前的委员会，例如美国网络空间日光浴室委员会，是如何促进变革的一个例子，因为它与保护网络空间有关，并且可以作为典范。

结论

利用网络空间连接作战网络、支持情报和交换信息将继续存在。值得注意的是，通信技术在战争中普及的时间比印刷机让位于书面军事命令所需的时间要短。然而，现代战争的形态正在强化之前对“网络战争”一词以及各国成功整合恶意软件使用程度的怀疑的学术研究，恶意软件可能比战场工具包更适合间谍活动。联合兵种作战是艰难的。网络综合效应更加困难，并且容易产生不均匀的结果、机会成本，以及为追求政治目标而使用暴力的长期迷雾和摩擦。

用任何一个案例来概括战争的性质都是危险的。然而，乌克兰战争的规模和利害关系使其成为了解战争未来的关键案例。因为很难想象未来的任何冲突中网络空间不会在战争的各个层面发挥一定的支持作用，因此无法分析俄罗斯等大国如何运用网络力量可能会导致错过关键趋势。

这里回顾的实证评估和替代未来的结合表明，网络行动可能会更适合塑造战略互动——无论是通过间谍活动还是宣传活动——而不是确定战术结果。与电子战和信号情报一样，即使网络作战支持战斗艺术，它也将是通过改变敌对力量之间的信息平衡来间接实现的。即使在这里，使用先进的网络能力的决定也将取决于情报和技术增益/损失分析，因为指挥链中不同级别的指挥官寻求保留能力并平衡利用与访问。简而言之，急于利用网络访问来产生战场效应可能会导致失去作战和战略访问权限。网络运营面临着一个承诺问题：对未来损失的恐惧限制了当前的使用。这使得营和连级“网络火力呼叫”的想法成为一种前景，但这种想法将始终受到基于交战规则、权限和得/失考虑的限制，从而在结构上限制其响应能力。这种逻辑增加了人们对替代更容易测量的物理效应（例如火炮和导弹袭击）的偏好。为什么要破解你可以摧毁的东西？这种逻辑增加了人们对替代更容易测量的物理效应（例如火炮和导弹袭击）的偏好。为什么要破解你可以摧毁的东西？这种逻辑增加了人们对替代更容易测量的物理效应（例如火炮和导弹袭击）的偏好。为什么要破解你可以摧毁的东西？

网络空间的战略逻辑更难衡量。莫斯科仍有可能抑制重要的网络能力，以将西方关键基础设施置于危险之中，作为一种战略威慑。即使这是真的，粗略地观察一下乌克兰就会发现，之前利用网络行动破坏关键基础设施的努力只产生了有限的、暂时的结果。由于多个国家和公司竞相寻找入侵，鉴于网络空间攻防平衡，这一前景进一步值得怀疑。最后，尽管网络空间对于现代政治战争和宣传活动至关重要，但人们在多大程度上继续被微妙的谎言和深度造假所迷惑仍不得而知。未来可能会证明，世界各地心烦意乱的公民与数据驱动的营销一样容易受到网络影响力活动的影响。或者，人们将开始适应，使他们对伴随战争而来的大量谎言更有弹性，但也可能更加愤世嫉俗，更容易产生不信任。

Grace B. Mueller博士是陆军网络研究所的博士后研究员。本杰明·詹森博士是战略与国际研究中心 (CSIS) 国际安全项目未来战争、博弈和战略高级研究员，也是海军陆战队大学高级作战学院教授。Brandon Valeriano博士是海军陆战队大学克鲁拉克创新中心的杰出高级研究员。他曾担任 Cyberspace Solarium Commission 的高级顾问，目前担任 Solarium 2.0 的高级顾问。 瑞安·C·马内斯博士是海军研究生院 (NPS) 国防分析系的助理教授。他还是 NPS 国防部信息战略研究中心主任。何塞·M·马西亚斯 (Jose M. Macias)是战略与国际研究中心 (CSIS) 国际安全项目的研究助理。