溯源(attribution)是解决网络攻击的起点,通过指出并惩罚真正的攻击者以震慑其他潜在罪犯,阻止未来可能发生的攻击。伴随国家间网络空间博弈的日趋激烈,一些国家越来越倾向于使用强大的网络攻击溯源能力塑造国际叙事,渲染放大网络威胁,为其采取起诉、制裁等单边措施提供托词。“点名羞辱”(namingand shaming)已成为部分国家解决网络争端的惯用方式,既有悖于和平方法解决国际争端的原则,也在一定程度上激化了国家间的不信任,进而远离了溯源的本来目的。鉴于此,一些学者和研究机构都在尝试探索建立国际性溯源机制,以期形成一套独立、权威、专业的溯源标准和流程,但相关进展缓慢,所面对的障碍和挑战不容乐观。

一、网络攻击溯源的进展及其作用

网络攻击的最大吸引力在于攻击者可对所作所为进行抵赖(deniability),网络攻防两端的角力仿佛一场猫鼠游戏,是隐藏和揭露两种技术之间的比拼。为更好地应对网络威胁,政府与安全企业都在不断推进溯源技术发展,美欧还把“公开溯源”(public attribution)作为一项政策手段,以期形成震慑。从客观上看,技术层面的溯源趋于成熟和标准化,但是,如何将网络攻击归因于国家或某个政府部门却非易事,也是当前争议与分歧最集中的一大难点。

(一)溯源并非简单的技术问题

美国网络安全专家赫伯特·林(Herbert Lin)把网络溯源分为三个层次,即追踪到某台机器、追踪到敲击键盘发动行动的明确个人、确定最终要为行为承担责任的某一方。2018 年 9 月,美国国家情报总监办公室发布的《网络溯源指南》(A Guide to Cyber Attribution)备忘录指出,“所有行动都会留下痕迹”,溯源分析就是使用这些信息,结合对之前已知恶意入侵事件及所有工具和手段的了解,尝试追溯攻击源头。归纳起来,溯源就是先要了解攻击是怎么发生,其次分析攻击的来龙去脉和确定攻击者的身份,即事件是什么,最后确定谁应对攻击负责,评估攻击的原因、严重性及恰当的应对方式,即回答是谁和为什么。由此可见,技术只是溯源的基础,目前主流的“钻石”模型、MICTIC 框架(Malware,Infrastructure,Control Server,Telemetry,Intelligence,Cui Bono)和 ATT&CK 框架(AdversarialTactics,Techniques,and Common Knowledge)在获取攻击者的工具、技巧和流程(TTPs)、攻击者可能犯的错误等技术细节上日趋成熟和标准化,为准确溯源提供了有力依据。

然而,仅凭技术取证或溯源仅停留在技术层面,解决不了“确定责任方”的问题。一方面,确定攻击者仍需要可靠的人力情报、信号情报,以及历史和地缘政治背景的支撑。而且,由于网络冲突涉及国家的政治利害,能否准确发现及如何指出攻击者还需国家高层领导决断,评估损失并决定采取何种处置措施(即所谓政治溯源)。另一方面,对攻击者的追责更是一个复杂的法律问题。国际法上追究国家责任有两个前提条件,一是此行为能被定性为违反国际义务的国际不法行为,二是能将此行为归因于国家(受国家指挥或控制),技术和政治层面的溯源都无法满足上述条件。正如网络安全公司集群打击(Crowdstrike)创始人德米特里·阿尔帕罗维奇(Dmitri Aplerovitch)所言,溯源(明确谁负责)现已基本解决,但是,“公开溯源”(即当知道谁负责后要做什么)还是一个有待解决的问题,它需要揭露有关恶意网络行为的信息至某台机器、明确的入侵者及(或)最终要为行为负责的人。

总之,准确的网络攻击溯源考验的是溯源方调动全源(all source)资源和力量的能力,也考验决策者的决断力及对国际法的运用能力,攻击手法、基础设施、恶意软件或意图等各个因素单独分析都不能决定责任方。《网络战不会发生》(Cyber War Will Not Take Place)一书的作者托马斯·里德(Thomas Rid)把溯源视为“一门艺术”,称之为一个微妙的、多层次的系统工程。或者可以说,网络攻击溯源已经成为一个带有技术因素的政治问题。

(二)公开“点名”日益成为一个政策选项

美国奉行网络威慑战略,主张“没有溯源,攻击者就不会受到威慑。如果没有适当的行动约束恶意攻击行为,安全现状就不会改变”。2012年,时任美国国防部长帕内塔指出,军方“在解决网络威慑问题上取得重大进展,即克服了找出攻击源头的困难”,并号称“潜在的敌人应知道美国有能力定位他们,让他们为损害美国利益的行为付出代价”。2013 年年初,网络安全公司曼迪昂特(Mandiant)发布 APT1 报告,在美国政界、媒体和学界掀起了“中国网络威胁论”的炒作浪潮。之后数年中,美国及其盟友、欧盟等相继指出,朝鲜黑客组织 Lazarus 策动了 2014 年对索尼娱乐公司的网络攻击和 2017 年“想哭”勒索病毒攻击;指责俄罗斯在 2015 年、2016 年发动网络攻击造成乌克兰大面积断电,散布 NotPetya 病毒,在 2016 年美国大选期间攻击希拉里邮箱和民主党全国委员会以及利用网络破坏法国、德国大选等。2020 年 3 月,美国网络空间日光浴委员会报告建议,理念相近国家组成“全球共同体”,对恶意网络行为进行“集体溯源”,在确保惩罚效力的同时相对降低各自的成本。2021 年 7 月,美国纠集五眼联盟国家、欧盟等国家和地区指称所谓中国政府黑客攻击了微软 Exchange 服务器。这些所谓的公开溯源得以让美国等西方掌握了议题设置的主动权,既能抬高与被“点名”国家谈判的要价,又主导了国际规则进程朝符合其理念和利益的方向发展,之前单纯的“羞辱”也逐步升级为让实施攻击者承担后果、付出代价。美国及其盟友通过 G20 共同声明、G7《网络空间负责任国家行为宣言》(Declaration on ResponsibleStates Behavior in Cyberspace)、27 国《关于在网络空间促进负责任的国家行为的联合声明》(JointStatement on Advancing Responsible State Behaviorin Cyberspace)等,宣称一国在遵守国际法前提下有权自主认定攻击源并可自行采取反制措施,甚至可以动用自卫权。欧盟于 2019 年正式发布“关于针对威胁欧盟及其成员国网络攻击的限制性措施”的政策框架(网络外交工具箱)后,相继凭借己方证据对所谓的中俄国家黑客发起制裁。德国于 2021 年 3 月发布的网络空间国际法适用立场文件也明确主张,“溯源是一项特权”,它没有法律义务公布溯源过程和证据。这些言行带来了溯源的普遍滥用,但是并没有缓解网络空间的不安全状态。

(三)溯源的信誉存疑

2015 年,联合国信息安全政府专家组(UNGGE)达成的最终报告提出,“各国必须按照国际法对归咎于它们的国际不法行为履行国际义务。但是,如果迹象表明通信技术活动由某国发起或源自其领土或信通技术基础设施,可能这件事本身并不足以将此活动归咎于该国”,因此“须经证实后才能对国家组织和实施不法行为提出指控”。

事实上,对网络溯源结果的证实却未形成共识和一定之规。一方面,网络溯源的准确性和公正性难以保障。溯源的过程、数据的多寡、证据的准确、证据链的力度、溯源人员的水平等都会影响溯源的质量和可信度。不断发展的攻击手法还会增大技术溯源的难度,如一些以删除数据为目的的攻击能删除取证所需的日志数据,高级恶意软件会在取证前消失,攻击者会造成网络基础设施短时延误取证时机等。此外,先入为主、预判、偏见及心理和政治倾向亦都有可能影响溯源。如政府可能出于特定的政治目的影响溯源结果,甚至可能在调查尚未完成时对一些攻击源进行推断和谴责。另一方面,溯源过程天然的保密性也使其缺乏透明度和说服力。为保护敏感信息来源和调查方法,溯源方通常不愿公开分享可作为证据的情报信息和手段,结果公布后也无法或不愿提供全面的证据。因此,缺乏统一严格的溯源标准和多边参与的分析框架,往往导致溯源调查方各说各话。

值得注意的是,企业的溯源能力和意愿持续高涨,在普遍推高溯源水平的同时,也带来一些问题。例如,有的企业会受经济利益驱动,在调查网络攻击事件时倾向于主动、尽早发布结果,以突显其技术实力吸引眼球,从而可能会片面选择相关证据,或盲目否定竞争对手的结论,或与政府密切捆绑并迎合屈从政治权威,导致溯源结论难以服众。政府也会更频繁地假手企业发布溯源报告,用这些公开结果回应有关网络事件,继续隐藏敏感的情报源和手段,减轻政府作出溯源判断的责任,这种模糊性策略对外交的好处显而易见。

二、国际溯源机制的可行性探索

面对目前网络攻击溯源存在公正性难以保障、未形成系统完整的方法及缺乏统一标准等不足,也为了努力解决法律溯源的难题,一些机构与学者开始尝试针对国际溯源机制的目的、原则、组成和工作流程等形成了若干方案,提供了有益的参考。

(一)汲取传统领域的经验与做法

《塔林手册》(Tallinn Manual)主编迈克尔·施密特(Michael Schmitt)参与了一项有关国际溯源机制的研究,强调事实调查是法律和政治诉求的基础。国际法之所以能有效适用于国际关系的任何领域,取决于其形成了法律规范的互动、事实调查程序(确定违反情况并把责任归因于国家或非国家)和后续措施(包括羞辱、在外交或仲裁平台上的控诉、制裁和反措施等)的闭环。他认为,这一链条上每个结点的合法性是其后一个结点合法性的前提条件,指责和响应的合法性取决于法律条款和溯源程序的合法性。因此,确保程序合法性的国际溯源机制才能为法律层面的追责奠定基础,而其他领域的经验提供了很好的思路。

与追查网络攻击元凶类似,国际民航法、国际劳工法和军控领域等传统国际法的事实调查(fact finding)机制和核查机制(verificationmechanism)在查验签约国是否履行义务、查找事件责任方等方面发挥了重要作用。如国际原子能机构(IAEA)下的保障监督协定和附加议定书(Additional Protocol for Verification of NuclearSafeguards)、禁止化学武器组织(OPCW)和全面禁止核试验条约(CTBT)下的技术秘书处等都有类似的调查、技术核查职能。其主要手段包括定期调查、从监控点和现场设备收集数据、收集和分析文件、技术数据、样本和访谈等,既增大了违约事实被发现的可能性,发挥有力震慑,还为各国提供了拒绝无理指证的方法,例如《化学武器公约》(Chemical Weapons Convention)的“挑战调查”、IAEA 的特别调查等。这些调查或审查机制还配合了谴责和制裁的国际法律和政治程序,确保调查结果得以认可和使用,尤其成为国际军控机制稳定不可或缺的环节。

(二)相关探索积极展开

2017 年 6 月,美国智库兰德公司发布报告《无国家溯源:有关网络空间的国际责任》(StatelessAttribution:Toward International Accountability inCyberspace),建议国际社会尽快组建一个独立、可信、权威且透明的“全球网络溯源联盟”(GlobalCyber Attribution Consortium)。同年,微软发布《从概念到行动:推动网络安全准则进程》(FromArticulation to Implementation: Enabling Progress onCybersecurity Norms)报告,以此作为推进其倡导的“数字日内瓦公约”的一个重要环节。微软在报告中设计了一套全球网络安全规范框架,包涵攻击性规范、防御性规范和业界规范三类行为规范,并提出了如何使这些规范得以落实到国家实践、公共政策和法律中的建议。为了核查各方是否遵守和履行网络安全规范,微软倡议建立一个由政府和私企共同参与的机制,决定谁来负责举证,证据确信要达到的程度以及呈现的证据是否符合标准等,以支持技术溯源并采取严格的同业互查,从而解决全球互联互通、匿名及缺乏可追踪性使追溯网络攻击极其困难等问题。此外,大西洋理事会追踪达到武装冲突的网络攻击的“多边溯源与仲裁理事会”、俄罗斯智库解决政府层面网络冲突的独立国际网络法庭或仲裁机制等方案也相继问世。佐治亚理工大学近来也围绕如何建立跨国溯源机制(transnational attributioninstitution)这一中立的全球性平台、开展公开网络溯源等问题组织了国际专家会议。

关于国际溯源机制的探讨近年来得到了更多官方或准官方的关注。2019 年,休伊特基金会(Hewlett)、万事达和微软共同资助成立网络和平研究所(Cyber Peace Institute)。执行、促进和协调“对复杂网络攻击的集体分析、研究和调查”是该所的一大努力方向。该所现已在记录、追踪和分析网络攻击及其后续的问责等方面获得了大量成果,例如梳理了针对医疗系统网络攻击、俄乌冲突发生后乌克兰关键基础设施和民用目标遭遇网络攻击的时间线等。荷兰外交部继支持“网络空间稳定全球委员会”后,又与耶路撒冷希伯来大学 Federmann 网络安全研究中心联合资助一项国际研究项目,探讨建立国际溯源机制的可能性和方案,自 2020 年以来组织了多次研讨。

(三)需要重点解决的问题

现有的方案着重解决各方对现有溯源程序及结果等的诟病,尝试在 4 个方面有所突破。

1.独立性问题

主要有两种不同的设想,一种是要通过成员的去政府化实现机制的去政治化,独立于政府之外运作,将政治影响降至最低,确保溯源不被国家意愿所左右。如果政府自愿为溯源提供信息,机制的成员有权衡量其情报价值并选择是否采纳。另一种则主张应由政府和私企共同组成,因为溯源本身具有“潜在的地缘政治重要性”,吸纳包括联合国安理会五常在内的主要国家,可以缓解“政府不愿授权一个独立机构来发现政治上如此重要并可能引发紧张局势的信息的顾虑”。

2.权威性问题

主要取决于成员的专业性、代表性及机制运作的透明性。现有各方案普遍认同要吸纳技术专家和研究政策、法律及国际关系的专业人士。前者主要负责技术评估,可包括网络安全和信息技术公司,互联网工程任务组(IETF)、电气和电子工程师协会(IEEE)、互联网协会及技术社群等。后者则负责调查监管和政策反馈。通过承诺听取全球不同领域专家的意见、公开分析框架以确保溯源结论的客观性和透明度、坚持公布真实信息、结论可进行同业互查等,机制构建起自身的信誉和可信度。

3.溯源流程问题

包括调查的启动、证据的搜集和评估、攻击后果评估以及通报和公布等多个环节。国际溯源机制启动调查应满足两大前提:受害方提出调查请求和特定的触发条件。但是,各方案基本都同意限于分析“重大”网络攻击,至于何为“重大”,机制可依据攻击影响的系统和人口数量、经济及名誉损失、调查所需经费和时间、技术能力等形成可量化的评判标准,判定网络事件的性质,再经内部投票决定是否启动调查。证据的搜集要征得受害方同意,并严格限定特定数据的访问时限和知悉范围,确保敏感数据不外泄,还要明确哪些数据应被纳入评估。溯源结论要采取一致同意原则,将关键发现通知相关方,给予其一定时间进行响应后再发表公开声明或发布报告。

4.溯源结果的效力问题

为避免引发争议,国际溯源机制仅聚焦于技术分析和溯源证据,而不会开展作证、执法等其他后续行动,其结论也仅作为他人采取行动的依据和基础,提供的只是事实描述而非呈堂证供。

三、国际溯源机制的障碍与前景

独立的国际溯源机制可增加溯源的合法性、公正性和可信度,对国家背景网络攻击的泛滥将形成一定的束缚,有利于改善网络空间的不安全,减少不确定性。提出上述方案的专家或机构期望能够找到办法,结合国家机关收集和分析的证据及各公共和私营网络安全技术专家做出权威可靠的溯源结果。国际溯源机制对于中小国家还颇具吸引力,例如对于那些意图问责攻击但独立技术和情报能力有限的国家来说,国际溯源机制是有用的。中小国家也常常因缺少回应恶意网络行动的适当有效的外交、经济、技术或军事手段,而更倾向于动员他国或国际支持。国际溯源机制还会激励更多的集体溯源,更大范围的谴责和多边响应比单个国家的措施更能推动问责。当国际溯源机制与网络制裁机制形成联动时,可发挥重要作用。

但是,溯源本身的复杂性和敏感性使建立国际溯源机制的进展不会一帆风顺,距离真正组建还将面临诸多困难。首先是对政府情报资源的利用问题。溯源分析所需信息的机密性会增大证据获取的难度,能否实现政府和私营部门情报信息的相互印证和补充,能否避免过多使用政府提供数据引发的独立性问题,还有由此衍生出来的隐私和重要数据及来源保护的问题。机制中能否及如何分析相关技术,尤其是核心技术也是一大考验。其次是资金来源问题。若请求联合国提供资金支持,在人员组成的选择上恐因此受制于人,溯源结果亦可能受到资助方的影响。再次是机制的激励问题。无论政府部门还是私企,都存在加入机制的动机问题。例如,比起技术能力有限、动员集体溯源国际支持能力不足的国家,具有强大网络能力的国家对建立一个网络安全事件溯源机制的兴趣更低。最后是结果的使用问题。国际溯源机制一旦形成并公布结论,就会直接成为各方对所谓责任方开展问责或制裁的依据,被指控方能否及如何自辩或自证清白。此外,机制本身是一个等级分明的组织机构还是一个网络化的、更为松散的组织形式、参与国家有限、溯源过程的透明度、溯源的效率问题(如确定网络攻击责任方需耗时数周、数月甚或数年去分析和取证)等亦是各种国际溯源机制设想未来要解决的问题。

尽管仍处于探索过程,设计构建国际溯源机制对解决国家间的网络争端、促进网络空间负责任的国家行为规范的落地实施有着不可忽略的积极作用,也能在一定程度上避免出现能力强大的国家“一言堂”、借此挟持话语进行无限施压的现象。为了确保不会沦为一些国家推行霸权的工具,未来的国际溯源机制既要汲取联合国及各种政府间机制的经验教训,也要遵循网络空间的规律和特点,充分调动各利益相关方的智慧与意愿。