工作纸 2022年12月|俄罗斯-乌克兰战争中的网络冲突 俄罗斯在乌克兰的战时网络行动 :军事影响,影响和启示 乔恩·贝特曼 俄罗斯在乌克兰的战时网络行动:军事影响,影响和启示 乔恩·贝特曼 ©2022卡内基国际和平基金会。保留所有权利。 卡内基不就公共政策问题采取机构立场;此处所表达的观点代表了作者的观点,并不一定反映了卡内基、其员工或理事会的看法。 本出版物的任何部分未经国际卡内基和平基金会书面许可不得复制或以任何形式、通过任何手段传输。请将查询直接发送至: 卡内基国际和平基金会出版物部 1779马萨诸塞州大道西北华盛顿,DC20036 P:+12024837600 F:+12024831840 CarnegieEndowment.org 本出版物可在CarnegieEndowment.org上免费下载。 Contents 战争七 Summary1 俄罗斯的军事有效性如何网络5 行动在乌克兰? 方法6 火灾8 集合22 为什么俄罗斯没有网络运营Had32 更大的战略影响? 教义34 能力36 约束38 War39 体系结构40 防御系统41 乌克兰42 结论44 哪些教训适用于其他国家军事44 网络努力? 罪行44 国防46 结论48 作者49 致谢49 附注51 和平69 俄罗斯-乌克兰战争中的网络冲突 乌克兰战争中的冲突是网络时代的最大军事冲突,也是首次在所有参与方都涉及如此高程度的网络操作的冲突。卡内基学院的“俄罗斯-乌克兰战争中的网络冲突”系列代表了我们在这个长期、全球性的努力中对理解并从乌克兰战争的网络元素中学习的首次尝试。我们欢迎有兴趣通过让我们发表他们的作品来参与到这个努力中的其他作者提出查询。如果您想了解更多,请联系ArthurNelson,邮箱为arthur.nelson@ceip.org。 本系列出版物: •“评估对乌克兰网络防御的国际支持”,NickBeecroft,2022年11月3日 •“乌克兰的网络运营:俄罗斯未达到的期望”,GavinWilde,2022年12 月12日 •“俄罗斯在乌克兰的战时网络行动:军事影响,影响和启示”,乔恩·贝特曼, 2022年12月15日 vii Summary 本文研究了俄罗斯在乌克兰的战时网络行动的军事有效性,1这些操作未能产生更大的战略影响的原因,以及适用于其他国家军事网络行动的教训。它基于先前的分析,采取了更为系统和详细的方法 ,整合了更广泛公开可用的数据。 本论文的主要目标在于促进对俄罗斯-乌克兰战争中网络特定与一般军事分析之间的理解桥梁。关于俄罗斯在乌克兰的网络操作分析大多由网络安全专家撰写,旨在为自身领域提供见解,且在很大程度上未能整合非网络军事来源和概念。相反,对战争整体的主流论述几乎完全不提及网络操作。2为了填补这一空白,本文将俄罗斯在乌克兰的网络操作置于莫斯科军事目标、战役和实体行动更广泛的框架中。其关键点包括: •俄罗斯的网络“火灾”(破坏性或毁灭性攻击)可能在莫斯科初期入侵中起到了微小的作用,但自那以后,它们对乌克兰目标造成的损害可以忽略不计。传统干扰战术为俄军在争夺基辅战役中提供了战术优势,并且有理由相信,对Viasat调制解调器的网络中断进一步削弱了乌克兰前线的通讯。同时,俄罗斯大规模的数据删除攻击初看起来可能加剧了乌克兰的混乱氛围,尽管受影响组织报告称仅遭受了有限的实际干扰。但自战争初期的几周内 ,俄罗斯的网络攻击数量、影响和新颖性急剧下降。虽然相对于战前基准线仍然非常高,但在莫斯科对乌克兰军事目标和高强度战斗行动的整体规模上,这些网络攻击的影响微乎其微。 11 •网络火灾并未实质性地增加俄罗斯的动能火力,亦未执行与动能武器明显不同的特殊功能 。尽管许多俄罗斯网络攻击并未定位在特定的角色中,而是瞄准了与动能武器同样针对乌克兰系统的类别,如通讯、电力和交通基础设施。对于几乎所有这些目标类别,动能攻击似乎导致的破坏是网络攻击的多个数量级之多。虽然在网络攻击下存在某些情况下可能获得的独特优势,但在俄罗斯对乌克兰的战争中,这些优势并未得以实现。莫斯科的军事战略家迅速放弃了减少物理或附带损害或创造可逆效果的目标,并且俄罗斯在这场冲突中并未获得多少不可否认性。 或者从网络操作所获得的地理覆盖范围。同样,俄罗斯的网络攻击并未产生任何系统性影响,且它们可能在成本效益上不如传统物理攻击,或者说在能力限制方面更为受限。 •情报收集——而非火灾——可能是俄罗斯在乌克兰战争期间网络操作的主要焦点,但这同样几乎没有产生军事上的益处。尽管对智能过程的评估比对火灾的评估更为困难,但俄罗斯的炮兵似乎依赖于非网络来源的目标情报(特别是无人航空车辆或UAV),尽管早前有报道指出莫斯科曾使用恶意软件定位乌克兰的阵地位置。俄罗斯导弹部队可能收到了一些基于网络的情报,但在已知的少数可信案例中,这些情报似乎并未对目标决策产生价值 。更不用说,长久以来一直是莫斯科网络理论核心的影响操作,仅得到了有限的来自俄罗斯黑客的支持。更广泛地看,俄罗斯在战争中的笨拙整体策略——从战役规划到占领占领区——表明关键军事决策并非由全面的情报来源过程指导。 •尽管许多因素限制了莫斯科在网络安全领域的成效,但可能最关键的因素包括俄罗斯网络能力不足、非网络机构的薄弱环节,以及乌克兰及其合作伙伴所采取的异常有效的防御措施。为了实质性地影响这场规模的战争,网络操作必须以俄罗斯显然最多只能持续几周的速度进行。莫斯科通过选择维持或甚至增加针对非乌克兰目标的全球网络活动,以及未能充分利用网络犯罪分子作为对抗乌克兰的辅助力量,加剧了其能力问题。同时,俄罗斯总统弗拉基米尔·普京及其军队似乎不愿或无法以最适于网络操作的精确、情报驱动的方式规划和进行战争。就乌克兰而言,其受益于坚韧的数字生态系统、多年来的网络安全投资以及世界最顶尖公司和政府前所未有的网络支持。鉴于众多因素的影响,即使其中几个被逆转,可能仍不足以显著提高俄罗斯网络操作的整体军事效能。 •随着战争的持续,俄罗斯的情报收集活动很可能构成了对乌克兰最大的持续性网络风险。可能地,如果俄罗斯黑客能够收集到高价值情报,且莫斯科能够有效利用这些情报,他们可能仍会产生更大的影响。例如,黑客可能获取实时地理定位数据,用于总统沃伦·泽连斯基遇刺或对乌克兰军队进行及时、精确的打击,特别是那些装备有西方高端武器系统的部队;执行“黑客并泄露”操作,向乌克兰和西方公众揭示敏感战争信息,如乌克兰的战斗损失、内部分裂、军事疑虑等;或者搜集关于基辅观点和意图的有价值信息,以帮助莫斯科在未来谈判中,还有其他场景。俄罗斯网络战威胁程度相对较低,但如果莫斯科将更多整体网络能力转向乌克兰(牺牲其他目标)或更好地利用网络犯罪分子,此类攻击可能会增多。 •俄罗斯对乌克兰的战争为其他军事网络命令提供了教训,但这些必须根据国家情况予以应用,并与其他一系列相关的案例研究并行考虑。俄罗斯的经验表明,网络攻击可以在意外袭击或其他重大攻势中有效集中使用,但在更大规模、更长时间的战争中,它们的风险可能会使网络攻击的相关性逐渐淡化。收集网络情报似乎比直接实施网络攻击更能支持各种战争时期的军事任务,但这可能取决于拥有高效分析和决策流程以及相对精确的“战争方式”的能力。在网络安全和动能领域都具备高能力和职业精神的军队(如美国和以色列)曾利用网络操作来执行针对高价值目标的打击。然而,即使是最顶尖的军队似乎在网络攻击方面也只在有限的背景下取得最大成功。因此,将网络空间视为与陆地、海洋、空中和太空同等地位的“第五领域”战争可能误导性地夸大了其重要性。 •计划大规模战争的军事力量应质疑自己是否能实际达到并维持在有意义水平上产生和保持网络火力的高门槛。满足这一标准可能需要庞大的持续网络防御力量——可能是和平时期或“灰色地带”条件所需规模的数倍。或者,军队可以开发出增援能力机制(如预备役部队等),这在实施上具有挑战性,并且有风险侵蚀国内网络安全。快速恢复网络能力是另一个关键障碍。鉴于战时有限的网络能力,军队可能需要尝试波浪战术:短暂而激烈的网络攻击爆发后,伴随着停顿和恢复期。波浪越少,与实体火力协调就越重要。如果网络指挥部不大可能大幅扩展并迅速恢复,它或许不应追求在主要冲突中进行持续的战争时期的火力打击。 它可能反而会在和平时期、灰色地带或战前条件下,或是非火力行动如网络防御和情报收集等领域,采取更为选择性的策略。 •各国在网络安全情报收集方面的投资应与精进情报分析、军事规划和战略决策同等重视。随着网络能力的扩散,国家可能会发现自己收集到的信息比能够准确解读和在战时有效利用的信息要多。在这种情况下,广泛的机构改革——如升级分析技巧、培养专业精神或打击腐败——往往比进一步提升网络搜集技术更有价值。无法实施这些改革的国家可能会意识到,精致的军事网络情报能力可能不值得去构建。网络单位还需要全面融入所有来源的情报流程中,引导他们满足那些无法通过其他方式轻易满足的信息需求。战时应用案例包括但不限于决策支持、战术情报和战略情报,以及网络行动的预警和响应。 网络情报可能包括实时追踪高价值目标、在关键任务情况下验证人力情报,以及获取具有持久、多用途价值的大规模数据集。 •网络防御者应将乌克兰战争作为参考点,重新审视并细化其可能需要参与的特定战争之前的假设。他们的首要任务是重新评估潜在敌对国家利用网络操作进行冲突的可能性,考虑到俄罗斯在这一领域的挫败经验。接着,他们应将自身军事状况与之进行具体对比和对比分析。例如,中国的网络力量可能比俄罗斯大,但执行的网络攻击事件要少得多。他们在台湾入侵初期是否会发动更大、更有效的网络攻击,还是由于缺乏经验而失败?虽然台湾在技术上比乌克兰先进,但在某些方面其岛屿地理更为脆弱。台湾的通讯基础设施会显得更加坚韧,还是会更加脆弱?西方科技公司在台海战争中的政治和商业利益也可能大不相同。此类公司是否会同样愿意提供帮助,且能否在没有陆地通道的情况下实际提供援助? •本文提出的初步见解代表了对零散、冲突和不断演变数据的一种合理解释。分析师们继续依赖乌克兰政府、盟国政府、网络安全公司以及记者发布的报告来理解俄罗斯的网络操作 、其影响以及乌克兰战争的全局。然而,这些来源的信息具有局限性,地方性的关切不可避免地影响信息分享的内容、时间与方式。一些来源最近几个月发布的公开报告数量相较于之前有所减少。由此产生的“网络战迷雾”持续笼罩着最受关注的网络事件。整个战争也弥漫着一层更广泛的迷雾,仅在九个月内就经历了多个不同的阶段,往往以出乎西方分析人士(以及其他人的)意料的方式发展。尽管存在不确定性,全球各国政府不会等待汲取经验教训,而是会将其融入正在进行中的军事网络战略、预算、理论和计划的更新中。分析人员应提供目前可能的最佳评估,同时承认信息缺口,并认识到需随时间重新评估的必要性。 俄罗斯在乌克兰的网络行动在军事上有多有效? 自2022年2月24日俄罗斯入侵乌克兰以来,大多数西方评论家都低估了莫斯科在更大战争努力中所扮演的进攻性网络操作角色。分析人士称俄罗斯的网络操作稀少、不复杂、规划不周、与其他领域活动整合不佳,且受到乌克兰及其国际合作伙伴的有效防御,最终在与大规模物理武器造成的死亡和破坏相比较时显得无关紧要。 专家们对俄罗斯在乌克兰的网络操作为何失败以及原因提供了相互竞争的解释,但大多数人都同意核心军事问题:网络操作并未实质性地推进莫斯科的战役目标。例如,詹姆斯·刘易斯发现,“网络操作为俄罗斯带来的利益甚微”,“未能推动俄罗斯在战争中的目标”。3同样地,NadiyaKostyuk和AaronBrantly撰文指出,俄罗斯的网络攻击“并未对乌克兰的作战能力产生战略影响”,并且“似乎并未改变战争的进程”。4网络安全和平研究所(CyberPeaceInstitute),维护着俄罗斯针对乌克兰的网络操作的公共数据库,表示这些行动“并未在……战术进展中扮演主要角色”。 5即使微软(Microsoft)曾描述俄罗斯在战争时期的网络行动规模庞大、技巧高超、军事创