微软：一时的思索

面对具有挑战性的一年的最后几周，事实证明，面对全球最新的严重民族国家网络攻击，这更加困难。最新的网络攻击实际上是对美国及其政府和其他重要机构（包括安全公司）的攻击。它阐明了网络安全格局继续发展并变得更加危险的方式。尽可能多地，这种攻击提供了片刻的时间。它要求我们以直视的眼光看待我们所面临的日益增长的威胁，并承诺要由美国政府和科技部门提供更有效和协作的领导，以带头采取强有力且协调一致的全球网络安全对策。

过去的12个月是分水岭，在三个令人大开眼界的方面，网络安全威胁在不断演变。

首先是民族国家攻击的决心和复杂性不断上升。在过去的一周中，这种情况再次成为头条新闻，原因是使用技术公司SolarWinds向客户提供的网络管理软件中插入的恶意软件攻击了FireEye公司。这已经导致随后的新闻报道渗透到美国政府的多个部分。我们所有人都应该准备听取有关公共部门以及其他企业和组织中更多受害者的故事。正如FireEye首席执行官凯文·曼迪亚（Kevin Mandia）在披露最近的袭击事件后所说的那样，“我们正在目睹一个拥有一流进攻能力的国家的袭击。”

在Microsoft网络安全专家的协助下，我们得出了相同的结论。不幸的是，攻击是对美国政府机密信息和公司用来保护它们的技术工具的一次广泛，成功的基于间谍活动的攻击。攻击正在进行中，并且包括Microsoft在内的公共和私营部门的网络安全团队正在积极调查和解决。当我们的团队作为对这些攻击的第一响应者时，这些正在进行的调查表明，这种攻击在范围，复杂程度和影响方面都非常出色。

还有更广泛的影响，甚至更令人不安。首先，尽管各国政府相互监视了几个世纪，但最近的攻击者使用的技术已使整个经济的技术供应链面临风险。正如SolarWinds报道的那样，攻击者将其恶意软件安装到了公司Orion产品的升级中，该产品可能已由17,000多家客户安装。

下图清楚地说明了攻击初始阶段的性质和供应链漏洞的广度，该图基于Microsoft Defender Anti-Virus软件的遥测技术。这可以识别使用Defender并安装了包含攻击者恶意软件的SolarWinds Orion软件版本的客户。由此可以清楚地看出，攻击的这一方面造成了供应链脆弱性，几乎具有全球重要性，并触及了俄罗斯以外的许多主要国家首都。这也说明了美国脆弱性水平的提高。

此恶意软件的安装为攻击者提供了机会，可以跟进并从这些客户中选择他们想要进一步攻击的组织，这似乎是他们以一种更狭窄，更专注的方式进行的。尽管调查（以及攻击本身）仍在继续，但是Microsoft已经识别出并已经在本周进行工作，以通知40多个客户，攻击者更精确地瞄准了目标，并通过其他复杂的措施使其受到损害。

这些客户中大约有80％位于美国，但到目前为止，这项工作还确定了另外七个国家的受害者。这包括北美的加拿大和墨西哥；比利时，西班牙和英国在欧洲；以色列和中东的阿联酋。可以肯定的是，受害者的人数和地点将继续增长。

进一步的分析揭示了这些攻击的广度。最初的受害者名单不仅包括政府机构，还包括安全和其他技术公司以及非政府组织，如下表所示。

至关重要的是，我们退后一步并全面评估这些攻击的重要性。即使在数字时代，这也不是“像往常一样的间谍活动”。相反，它代表了鲁re的举动，对美国和世界造成了严重的技术漏洞。实际上，这不仅是对特定目标的攻击，而且是对世界关键基础设施的信任和可靠性的攻击，以促进一个国家的情报机构的发展。尽管最近的攻击似乎反映出对美国和许多其他民主国家的特别关注，但它也有力地提醒人们，几乎每个国家的人都处于危险之中，需要保护，无论其生活在哪个政府之下。

正如我们现在反复看到的那样，硅谷并不是独具匠心的软件开发者的家。 2016年，俄罗斯工程师发现了密码保护和社交媒体平台上的弱点，闯入了美国的政治运动，并利用虚假信息在选民中散布分歧。他们在2017年法国总统竞选中重复了演习。正如微软威胁情报中心和数字犯罪部门所追踪的那样，这些技术已经影响了70多个国家（包括世界上大多数民主国家）的受害者。最近的攻击反映了一种不幸的能力，但同样具有独创性，可以识别并利用网络安全保护方面的弱点。

这些复杂的民族国家攻击正越来越多地被另一种技术趋势所加剧，这是利用人工智能（AI）增强人类能力的机会。今年最令人震惊的发展之一是使用AI来武器化关于个人的大型被盗数据集并使用文本消息和加密消息应用程序传播有针对性的虚假信息的新步骤。我们都应该假设，就像俄罗斯发动的复杂袭击一样，这也将成为威胁格局的永久组成部分。

幸运的是，只有很少数量的政府可以投资于需要具备这种复杂水平的人才。在9月发布的第一份Microsoft数字防御报告中，我们回顾了对14个参与网络安全攻击的民族国家的评估。 14个国家中有11个仅在三个国家/地区。

由于第二种不断发展的威胁，所有这些都在改变，即通过类似于21世纪雇佣兵的新一代私营公司，网络安全攻击的私有化日益增长。这种现象已经达到了它自己的缩写-PSOA的缩写，用于私营部门的攻击行为者。不幸的是，这不是使世界变得更美好的首字母缩写。

NSO集团是这一新兴领域的例证性公司，该集团总部位于以色列，目前参与美国诉讼。 NSO创建并出售给政府一个名为Pegasus的应用程序，只需通过WhatsApp调用该设备即可将其安装在设备上；设备的所有者甚至不必回答。根据WhatsApp的说法，NSO使用Pegasus来访问1400多种移动设备，包括属于记者和人权活动家的设备。

NSO代表着先进的私营部门技术与民族国家的攻击者之间日益增加的融合。多伦多大学的研究实验室市民实验室（Citizen Lab）已识别出100多起涉及NSO的滥用案例。但这并不孤单。越来越多的谣言称，其他公司也将加入这个新的120亿美元的全球技术市场。

对于民族国家而言，这是构建或购买复杂网络攻击所需工具的一种日益增长的选择。而且，如果在过去的五十年里，软件世界一直保持不变，那就是金钱永远比人才更丰富。有助于进攻性网络攻击的行业领域在两个方面都带来了坏消息。首先，它为领先的民族国家攻击者增加了更多的能力，其次，它对拥有金钱但没有人民创造自己武器的其他政府产生了网络攻击。简而言之，它为网络安全威胁格局添加了另一个重要元素。

显然是充满挑战的一年，值得指出的是第三个也是最后一个发人深省的发展。这来自网络攻击与COVID-19本身之间的交集。

有人可能希望，这种短时爆发的大流行至少可以使全世界的网络攻击获得通行证。但是事实并非如此。在3月短暂休整之后，网络攻击者瞄准了从地方政府到世界卫生组织（WHO）的医院和公共卫生部门。随着人类争相开发疫苗，微软安全团队发现了三个民族国家行为者，他们针对的是直接参与Covid-19疫苗和治疗研究的七家知名公司。危机似乎总是带给人们最好和最坏的影响，所以也许我们不应该为这场全球危机也不例外感到惊讶。

但是，这三种趋势加在一起表明，网络安全形势比今年开始时更加艰巨。最坚定的民族国家的攻击者正在变得越来越老练。风险正在增加，并通过新的私营部门公司向其他国家政府扩散，这些公司提供援助并教bet民族国家攻击者。对于这些攻击者而言，没有什么甚至是流行病都无法进入。

我们生活在一个更加危险的世界中，它要求作出更强有力和更协调的反应。

简而言之，我们需要更有效的国家和全球战略来防范网络攻击。它将需要多个部分，但也许最重要的是，它必须首先认识到政府和技术部门将需要共同行动。

新的一年提供了一个机会，可以翻阅最近的美国单边主义，并关注网络安全保护必不可少的集体行动。美国没有单靠战斗就没有赢得第二次世界大战，冷战乃至自己的独立。在一个专制国家对世界民主国家发起网络攻击的世界中，民主政府之间的合作比以往任何时候都更加重要–共享信息和最佳实践，不仅在网络安全保护方面进行协调，而且在防御措施和应对措施方面进行协调。

与过去的攻击不同，网络安全威胁还需要公共部门和私营部门之间的独特协作水平。如今，从数据中心到光纤电缆的技术基础架构通常由私有公司拥有和运营。这些不仅代表了很多需要保护的基础设施，而且还代表了通常首先发现新的网络攻击的外围区域。因此，有效的网络防御不仅需要全球民主国家的联盟，而且还需要与领先的科技公司的联盟。

为了成功，这个联盟将来需要更有效地做三件事：

首先，我们需要在共享和分析威胁情报方面迈出重要的一步。在即将迎来9/11成立20周年的新的一年里，我们应该记住9/11委员会称之为“震惊但并非意外”的悲惨教训中的教训。该委员会调查结果反复出现的主题是，各政府机构之间无法通过将数据点连接在一起来建立集体知识。因此，该委员会的第一项建议集中于“统一战略情报”，并从“需要了解”转变为“需要共享”。

如果对即将上任的拜登·哈里斯政府和美国的盟友有一个最初的问题，那就是：今天的网络安全威胁情报共享比9/11之前的恐怖威胁更好或更糟？

在这次最新攻击之后，也许没有一家公司比微软在支持联邦政府各机构方面所做的工作更多。尽管我们赞赏这么多敬业的公务员的奉献精神和专业素养，但对我们来说，显而易见的是，目前整个政府之间信息共享的状态远远不够。联邦机构目前似乎常常无法以协调的方式或根据明确定义的国家网络安全策略采取行动。尽管部分联邦政府已迅速寻求投入，但与能够采取行动的第一响应者的信息共享受到限制。在具有国家重大意义的网络事件中，我们需要做更多的工作来优先安排迅速有效采取行动所需的信息共享和协作。在许多方面，我们冒着一个国家忽视9/11委员会确定的一些最重要教训的危险。

当前情况的一个指标反映在联邦政府坚持通过合同限制我们让联邦政府的一部分甚至知道其他部分受到攻击的能力上。与其鼓励“需要共享”，不如将信息共享变成违约。从字面上看，这完全颠覆了9/11委员会的建议。

即将上任的拜登·哈里斯政府必须迅速果断地采取行动，以解决这一问题。一个现成的机会是按照日光浴室委员会的建议并根据《国防授权法》的规定，任命一名国家网络安全主管。

有效的进步还需要第二个认识，超越9/11委员会需要面对的一切。与有关国家安全威胁的传统信息相比，网络安全威胁情报存在于更孤立的孤岛中。这是因为它不仅分布在不同的机构和政府之间，而且也分布在多个私营部门的公司中。即使在像Microsoft这样的大公司内部，我们也知道，对于威胁情报中心来说，聚合和分析来自整个数据中心和服务的数据至关重要。当存在重大威胁时，我们需要与其他科技公司共享信息和集体评估。

近年来，人们采取了一些重要步骤来更好地共享网络安全信息，我们非常感谢美国政府许多重要人士的奉献和支持。但是，我们仍然缺乏在公共部门和私营部门之间共享网络安全威胁情报的正式且具有凝聚力的国家战略。尽管需要采取重要的保护措施来保护政府机密和私人公民的隐私，但现在是时候采取一种更具系统性和创新性的方法，与最有可能采取行动的人共享和分析威胁情报。

其次，我们需要加强国际规则，以排除鲁re的民族国家行为，并确保国内法律制止网络攻击生态系统的兴起。尽管世界上有重要的国际规范和法律来应对民族国家的攻击，但我们仍然认为，填补空白并继续为网络空间制定明确而具有约束力的法律义务非常重要。

这应以2020年的经验教训为基础，并优先安排关键和特定领域。例如，它应包括继续制定规则，以明确禁止针对SolarWinds及其客户的广泛而鲁re的活动，该活动篡改了合法软件并威胁到更广泛的软件供应链的稳定性。国际社会一直朝着这个方向迈进，借鉴了去年获得联合国广泛认可的联合国政府专家组2015年的报告，以及全球网络空间稳定性委员会（GCSC）的多方利益相关者支持。美国政府及其盟国需要明确表示自己的观点，即这种供应链攻击不在国际法范围之内。

我们需要类似的有力而有效的规则认可，以使对医疗机构和疫苗提供者的攻击不受限制。 （最近召集的牛津进程做了重要的工作，以突出现有国际法在此背景下提供的保护。）国际规则应包括对民主和选举进程的更强保护，这体现在《巴黎呼吁与安全的巴黎原则》中。网络空间目前拥有1000多个签署方，这是有史以来规模最大的多方利益相关者组织，旨在支持一项以国际网络安全为重点的协议。

此外，政府应采取新的协调措施，制止私营部门进攻行为者的崛起。如上所述，这些公司实际上已经创建了一个新的生态系统来支持进攻性的民族国家攻击。政府越早采取行动使这个生态系统停业，那就越好。

拜登·哈里斯（Biden-Harris）政府的早期机会将是涉及NSO集团本身的上诉司法案件。 NSO已对下级法院提起上诉，裁定该公司无法免于未经允许访问移动设备而违反了《美国计算机欺诈和滥用法》的指控。它的论点是它不受美国法律的约束，因为它代表外国政府客户行事，因此享有政府的法律豁免权。 NSO提议的配方将使一个严重的问题变得更糟，这就是为什么Microsoft与其他公司一起反对这种解释的原因。拜登/哈里斯政府应该对此持类似观点。

NSO的法律方法虽然令人不安，但却通过强调阻止这种新的网络攻击生态系统所需的途径来为世界服务。这是为了确保国内法律明确并强烈禁止公司协助政府参与非法和进攻性的网络攻击，以及投资者不得明知而为他们提供资金。

考虑与其他形式的对社会有害的活动的类比，例如人口贩运，麻醉品或恐怖主义本身。各国政府不仅采取了强有力的措施来禁止非法活动本身（例如从事毒品交易），而且还确保航空公司不运输毒品，而投资者也不为该活动提供资金。

需要采取类似的方法来阻止私营部门的攻击行为者。例如，我们需要采取措施来确保美国和其他投资者不会故意助长此类非法活动的增长。而且，美国应与包括以色列在内的其他引起这些公司兴起的国家积极进行讨论，以色列拥有强大的网络安全生态系统，可以被视为对独裁政权的危险支持。

最后，我们需要采取更强有力的措施，使民族国家应对网络攻击负责。近年来，政府和私人公司采取了更强有力的措施，要求民族国家对网络攻击行为公开追究责任。我们需要在这一进程的基础上继续前进，并继续推进这一进程，各国政府要确保这些攻击对现实产生更大的后果，以促进稳定和阻止冲突。

在美国的领导下，世界民主国家在2017年和2018年采取了重要步骤。在有关WannaCry和NotPetya的公开声明中，多个国家的政府分别将这些攻击分别归咎于朝鲜和俄罗斯政府。这些类型的协调公共属性已成为回应民族国家利益的重要工具。

......