美国网络安全预算的真相:攻守失衡

美国联邦委员会曾在今年3月份的一份报告种指出:“美国正面临灾难性网络攻击”,美国在网络环境中运作需要一定水平的数据安全性、弹性和可信赖性,而美国政府和行政部门目前的安全防御都达不到这一水平。而且,在美国政府内部以及公共部门和私营部门之间,敏捷性、技术专长和统一性方面的不足正在加剧。

联邦委员会还针对美国面临的七大威胁提出三层纵深防御架构(下图):

上述三层防御分别是:规范行为、关键保障(包括选举、关键基础设施和经济稳定)和增加网络安全核心竞争力投资。通常,人们认为这释放出一个信号,那就是联邦政府和关键基础设施及其管理部门获得的网络安全防御预算会得到增加。但事实上,美国的网络安全相关预算的“大头”流向了军方。

联邦网络安全预算背后的真相

哥伦比亚大学国际与公共事务学院高级研究学者兼教授杰森·希利(Jason Healey)近日撰文详细分析了美国联邦网络安全预算(详细预算属于保密信息,希利的信息来自白宫发布的2020财政年度总统网络安全预算),并得出了一个重要结论:

美国政府始终强调要优先考虑防御,但实际上却是优先考虑攻击,表面上网络安全预算逐年增长,但政府和民用领域的防御性网安预算被军方吞噬,属于“军进民退”,重攻轻守。

希利首先肯定了2020年的网络安全预算确实实现了增长,比2019财年的估算高出约5%。但是,联邦政府在民政部门(如国土安全部,州财政部和司法部)上的网络安全支出被军方的支出“碾压”:

• 国防部与网络相关的预算比所有民政部门(包括国土安全部,财政部和能源部)的总预算高出近25%,这些部门不仅必须捍卫自己的关键系统,而且还需要与关键基础架构合作以提供帮助保障能源,金融,运输和卫生部门(96亿美元,而78亿美元)。

• 仅用于支持美国网络司令部总部的预算部分(不包括总部外部设施的运营团队)的资金(5.32亿美元),比美国国务院所有与网络相关的预算资金(4亿美元)高出33%。

• 仅国防部增加的预算资金(9亿美元)就比国土安全总预算(6.94亿美元)还要高30%,后者用于改善联邦网络的安全性。

• 国防部的预算(37亿美元)是负责网络安全的网络安全和基础设施安全局(CISA)的预算(14.7亿美元)的2.5倍。实际上,国防部的网络作战资金比CISA,FBI和司法部国家安全部门的预算总和(22.1亿美元)还要高出很多。

• 国防部的网络作战资金是国土安全部防御作战部门——国家网络安全和通信集成中心(NCCIC)的近10倍(37亿美元对3.714亿美元)。

• 美国政府用于网络部门的军事建设的预算与整个国土安全部的预算一样(各为19亿美元)。

希利指出,金钱不会撒谎,白宫的国家网络战略强调必须保护美国人民,但真金白银的预算却并未遵循这些价值观。预算数字清楚地表明,国防部才是政府的头号“吞金兽”。当然,与进攻相关的确切资金数额依然属于保密信息。

网络安全“军进民退”?

美国网络安全预算的“重中之重”,这些年如何从“关键基础设施”暗渡陈仓到了军方的破坏性攻击?

过去20多年四任美国总统最常挂在嘴边的就是:“关键基础设施”是网络安全政策的优先事项。

美国网络战略的第一份总统文件是克林顿总统1998年签署的PDD-63,声称“将采取一切必要措施,迅速消除对美国关键基础设施(尤其是网络系统)的物理和网络攻击的任何重大漏洞。” 布什总统在2003年提出的“ 确保网络空间安全的国家战略 ”的目标是“保护关键基础设施的信息系统的运行免受破坏性破坏,从而帮助保护美国的人民,经济和国家安全。” 国防部在这两个文件中甚至几乎都没有被提及。奥巴马总统继续以防御为重心,但确实提出了更多积极防御的主题,例如2015年在斯坦福大学的演讲中,奥巴马强调“我们必须建立更强大的防御力,并破坏更多的进攻 ”但是,他仅仅只是捎带提及军队。

特朗普政府继续这一趋势,至少在公众意见中强调防御。副总统迈克·彭斯(Mike Pence)宣布:“美国人民要求并应得到最强有力的防御。而我们(美国政府)将把它交给他们。” 他的言论批评了先前的政府“让美国人民在网络防御方面大放异彩”,这表明改善网络防御的工作再次受到重视。同样,特朗普在其《国家网络战略》(https://www.whitehouse.gov/wp-content/uploads/2018/09/National-Cyber-Strategy.pdf)的开篇强调,他的优先重点是“保护美国的国家安全和促进美国人民的繁荣”,并且“确保网络空间的安全对这两项工作都是至关重要的。”

但是希利指出,今天的政府已经改变了“防御”的含义。如果说奥巴马只是提及破坏性攻击,那么特朗普时期攻击成了主导策略。特朗普的国家网络战略还承诺,如有必要,“惩罚那些出于恶意目的而使用网络工具的人”,并以“通过力量实现和平”作为整个支柱,而以前的政策几乎完全没有这些概念。

大规模的《全面国家网络安全计划》始于乔治·W·布什政府后期,但一直延续到奥巴马总统任职,本来属于全面防御的国家计划,但是在分配的36亿美元中,只有10%分配给了国土安全部。其余的大多数都给了军队,特别是国家安全局(NSA),以鼓励采取军事化的沉重打击手段。根据PW Singer和Allan Friedman的说法,“ 2014年的预算计划显示,美国空军在网络犯罪研究上的支出是网络防御的2.4倍”,而在2012年,“五角大楼的支出是国土安全部的大约八倍,甚至不包括国家安全局的机密预算(根据斯诺登泄密事件,大约为105亿美元)。”

攻击性防御正在主导美国网络安全策略,马克·米尔利(Mark Milley)将军在担任参谋长联席会议新主席的就职演讲种强调了这一重点:“我们必须具备那些进攻能力……如果(对手)知道我们拥有令人难以置信的进攻能力,就能够阻止他们对我们进行攻击。”

更大的背景趋势是,引用罗莎·布鲁克斯(Rosa Brooks)的话:一切变成了战争,军事变成了一切。通过军事化的国家安全镜头,美国正在面临各种各样的挑战,而国防部才是美国最受信任的机构之一。

希利认为,虽然攻击性防御是一个有前景的概念,但无法发展成一种策略,也不能取代防御性措施。无论是行政部门还是立法部门,都必须努力通过大量增加的联邦政府、关键基础设施、信息共享和其他防御性优先事项的资金来平衡防御力。

攻守失衡

在最新的报告中,联邦网络委员会指出,在国土安全预算内,只有15%“致力于支持私营部门的计划”,总体只占国防部资金的1%。

希利指出,支持私营部门的安全预算必须增加许多倍,才能够提供大规模低成本的,必要的创新性防御。资金的主要政治目标应该是:扫荡僵尸网络;设立新的组织以直接进行安全响应和协作,而不仅仅是共享信息;以及无数其他重要的民用网络安全保障任务。美国的国防防御战略的重点应该是那些敏捷而危险的非国家组织和个人,并提供相应的资金。

希利认为美国网络空间战略思想存在严重误判,认为美国的举动是有益和稳定的,而我们的对手则是危险的军事升级。事实上WannaCry和NotPetya之类的狂暴而鲁莽的攻击,正是美国“精确打击“的副作用。我们必须认识到,对手的行动和观点其实是对美国行动的回应,例如Stuxnet和斯诺登曝光的行动,以及俄罗斯总统普京认为巴拿马文件是针对他的美国秘密行动。

希尔最后指出,“可怕的进攻与虚弱的防守相结合”会带来巨大的风险。当对手们意识到美国的强大攻击力和虚弱防御力,那么更可能采取先发制人的策略。如果美国政府真的认为国防是重中之重,并且反对将网络空间军事化,那么合理的做法应该是大幅增加民用网络防御预算,支持而非背离自己主导的价值观。

参考资料:

2020财政年度总统网络安全预算:

https://www.whitehouse.gov/wp-content/uploads/2019/03/ap_24_cyber_security-fy2020.pdf

美国国家网络战略:

https://www.whitehouse.gov/wp-content/uploads/2018/09/National-Cyber-Strategy.pdf

上一篇:2019-2020年DDoS报告:复杂性和规模同时增长

下一篇:端点安全迎来“牛市”,2027年市场规模将达186亿美元