北京
美國企業去年為勒索軟件支付了11.35億美元贖金,創歷史新高。與此同時,發起攻擊的國家級黑客幾乎從未被追責——這種不對等持續了太久。
5月發布的特朗普政府《國家網絡安全戰略》試圖打破僵局。文件核心就一句:讓私企上前線,政府做后盾。Trellix首席公共政策官在解讀時打了個比方——過去是企業獨自守城,現在是開門放援軍進城。
從"別添亂"到"一起上"
奧巴馬和拜登時期的網安策略偏向監管驅動。企業被視作需要管束的對象,合規清單越拉越長,實際攻防卻各干各的。
特朗普團隊的方向截然相反。新策略明確將網絡安全嵌入國家安全大框架,軟手段必須有硬實力兜底。用Trellix高管的話說,這是"從謹慎轉向激進,從全面監管轉向精簡規則加硬實力"。
具體怎么變?司法部將加大對網絡犯罪的調查和定罪力度,政企協作從"鼓勵"變成"預期"。攻擊者要重新算賬了——以前算的是企業防御成本,現在得把政府報復也算進去。
但有個前提被反復提及:私企得有"工具、人才和技能"才能真起作用。
3.2萬家關鍵基礎設施運營商的困境
美國約有3.2萬家關鍵基礎設施運營商,從電網到醫院,從水務到金融。它們長期面臨一個悖論:被攻擊時第一個扛雷,反擊時卻束手束腳。
法律模糊地帶太多。企業主動追蹤黑客,算不算越權?共享攻擊數據,會不會暴露客戶隱私?反擊行為,在哪些司法管轄區合法?
新策略承諾"精簡現有監管",但沒說怎么精簡。Trellix方面直言,有意義的合作需要解決"真實世界的約束"——翻譯成人話:總法律顧問們要看到明確的責任邊界,才敢簽字。
一個細節很說明問題。文件提到"確保美國人得到適當保護",卻沒定義"適當"的標準。是GDPR式的嚴格,還是行業自律式的靈活?留白了。
硬實力到底是什么
策略文件里"硬實力"出現多次,但具體指什么,解讀空間很大。
可能是網絡司令部的進攻性行動——直接癱瘓攻擊者的基礎設施。可能是金融制裁,凍結黑客及其庇護國的資產。也可能是情報共享的升級,讓企業在攻擊發生前拿到預警。
Trellix高管的措辭值得玩味:軟手段"必須有硬實力支撐"。這不是說硬實力要天天用,而是要讓對手相信"真的會來"。
威懾的邏輯從來如此。冷戰時期核威懾靠的不是發射按鈕,是對方相信你會按。現在網安領域要復制這套,問題是:網絡攻擊的歸因比核導彈慢得多,報復的正當性也更難論證。
IT和OT的裂縫
策略文件特意區分了IT(信息技術)和OT(運營技術)環境。前者是辦公系統、數據庫,后者是工業控制系統、電網調度、醫療設備。
攻擊OT的門檻更高,但破壞力呈幾何級數。2021年科洛尼爾管道事件,黑客沒直接碰輸油系統,只是加密了IT端的計費數據,就導致美國東海岸燃油短缺。
新策略把兩者并列表述,暗示私企的參與范圍要擴大。但OT系統有個特點:很多設備運行了二十年,打補丁都可能崩。讓私企"積極防御",會不會變成"積極搞癱"?
制造業和能源行業的CISO(首席信息安全官)們,此刻大概在反復研讀文件措辭。
集體回應的模糊地帶
"集體回應"是策略文件的關鍵詞,也是最難落地的部分。
誰發起?政府還是企業聯盟?針對什么級別的攻擊?勒索軟件算嗎,還是只針對國家級APT(高級持續性威脅)?回應手段有上限嗎?
國際法對網絡戰的定義本就模糊。2017年《塔林手冊》試圖填補空白,但只是學者建議,不具約束力。美國這次單邊推進"集體回應",等于在灰色地帶自己畫線。
盟友跟不跟是另一回事。歐盟的《網絡彈性法案》還在加碼監管,和美國方向相反。如果一家跨國企業同時受兩套規則約束,合規成本可能不降反升。
私企的算盤
網絡安全公司對新策略的態度,表面熱情,實際謹慎。
商機顯而易見。政府要"賦能"私企,預算和合同會跟來。Trellix作為端點安全廠商,直接受益于"更多協作"的表述。
但風險同樣真實。如果政企綁定過深,海外業務怎么辦?俄羅斯、中國市場的客戶,會不會把美國安全廠商視為"政府延伸"?
更微妙的是責任問題。策略說要"適當保護"美國人,如果私企的"積極防御"誤傷了無辜,算誰的?政府背書能豁免多少法律責任?
文件沒給答案。Trellix高管的表態留了余地:合作需要"解決真實世界的約束"。
時間線:從紙面到戰場
策略發布只是起點。接下來要看幾個節點:
一是監管精簡的具體清單。哪些奧巴馬、拜登時期的規則會被砍掉?行業游說已經開始了。
二是司法部的高調案例。策略說要"更多調查和定罪",需要幾個標志性審判來立威。
三是OT領域的試點。哪個關鍵基礎設施 sector 會最先測試"私企上前線"模式?電網、水務還是醫療?
四是國際反應。如果美國企業真的對境外黑客基礎設施發起反擊,被攻擊國會不會視為國家行為?
Trellix方面的判斷是,這種"前傾姿態"能改變對手的計算方式。但改變需要多久,沒人知道。
一個被忽略的數字
策略文件通篇沒提預算。
網絡司令部的進攻能力、FBI的調查資源、CISA(網絡安全和基礎設施安全局)的協調職能,都需要錢。特朗普政府同時在大規模削減聯邦開支,錢從哪來?
可能的解釋是"以私養公"——通過采購和合同,讓私企承擔更多成本。但這和"精簡監管"的敘事有點矛盾:如果企業要花錢滿足政府的新要求,算不算變相加稅?
另一個可能是情報預算的重新分配。NSA(國家安全局)的網絡行動資金從不公開,策略里的"硬實力"或許主要靠這塊。
無論如何,3.2萬家關鍵基礎設施運營商的CISO們,接下來幾個月要開的會,大概比過去一年都多。
策略文件最后一句寫道:"這種前傾姿態能改變對手計算。"但改變誰的計算——黑客的,還是企業高管的,抑或選民對"網絡安全"這個詞的麻木?第一個測試案例出現時,答案才會清晰。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
