透视外军网络战隐秘性的变与不变

隐秘性是网络战的基本特征之一，与其他作战形式相比，网络战很难被发现，一旦被发现则意味着失败，攻守迅速转换。

近年来外军实践表明，随着网络态势感知、攻击溯源等技术的迅速发展，网络战保持隐秘性的难度在不断增大。

武器秘密开发没有变。由于网络武器的敏感性，很多国家和机构不愿公开承认，这种隐秘属性增加了探测、了解其武器开发的难度。由于信息技术的多用途性，国外从事网络武器研发的群体众多，同时此类研发与民事科研活动难以区分，仅根据对手公开研究活动来研判武器发展情况非常困难。网络武器开发、实验甚至作战，同传统作战样式不同，不需要具有明显特征和易于检测的大型设施、设备，如飞机、舰艇、导弹发射架等，一般侦察技术手段如间谍卫星等对其基本无效，导致收集敌手网络战能力和意图的情报比较困难。目前，针对网络武器开发、使用，国际上还没有详细具体的规则限制，因此秘密进行网络武器开发鲜有束缚。从近年来国际上一些网络战案例看，网络武器、攻击工具使用隐秘且难被探测。出于威慑目的，有些国家故意透露一些本国的网络战相关科研进展情况，但是绝不会暴露实际能力，更不会泄露高精尖网络武器装备，虚虚实实影响对手研判。

行动难以察觉没有变。从外军实践看，网络攻击者会利用各种技术手段渗透敌方网络，预置后门、木马长期潜伏，执行各种任务。他们通过窃取、购买、交换用户敏感信息如账号、密码等，以合法身份登录网络，进行各类合法操作，不易被发现，同时，数据也通过合法渠道传出，可以大概率规避数据防泄露检测，还避免了与防御者正面交锋。高级攻击者实施攻击，常常不按套路，采取任意手段组合，安排不同流程，跳过、添加或重复步骤，设计、使用非常复杂的攻击工具，绕过安全团队耗费多年精心打造的防御体系，长期隐蔽于网络内。为了规避或迷惑网络防御者，攻击者通常会使用技术手段清除痕迹，隐藏行踪。而一些跨国家组织参与其中，使得网络攻击行动更加隐秘、复杂。据资料介绍，2020年底的“日爆攻击”，持续隐蔽几个月之久，感染了全球18000多家顾客的“太阳风”软件。仅至今年1月初，超过250个机构和组织受到了该攻击的影响。

匿名攻击者暴露概率变大。网络空间是虚拟世界，其一大特性就是容易隐匿身份，早期为了方便网络联通和信息传输，网络设计忽略了安全性，网络协议地址与用户身份关联度并不大。网络战中，攻击者又通过使用暗网、虚拟专用网、僵尸网络等手段隐藏攻击源、隐匿身份，还会故意留下一些错误标识迷惑对方。但是，近年来一些国家不断加强网络监管，大力推进互联网新版协议，为解决身份溯源问题提供了一定技术支撑。从被攻击者角度来看，发现隐秘攻击并对其溯源并非易事，但一些网络强国可以通过政府内部相关机构、军队、企业界、学术界协作，动用各种技术力量与资源，借助多种情报渠道印证，很大程度上提高了确定攻击者的概率。此外，敌对状态客观上也降低了确定攻击者的难度。2020年以来，美国、以色列与伊朗网络对抗逐渐表面化，国家级网络互攻成为常态，网络攻防越来越普遍，各方对“不被溯源”的重视度有所降低。

保持隐秘性难度变大。随着外军网络攻防频繁互动、激烈博弈，各方在增强攻击能力的同时，都在竭力开发新技术提升安全态势感知等防御能力，尤其近几年人工智能、大数据等新一代信息技术加速发展应用，隐秘攻击难度不断增加。这一过程中，强国凭借着技术实力基础优势和增量优势保持甚至在拉大差距，弱对强的隐秘性攻击将更难实现。出乎众多专家意料，2020年以来伊朗并未因苏莱曼尼被刺杀而对美国展开高强度网络报复，隐秘性攻击难以展开也是重要原因。即使强者间较量，隐秘攻击难度也在增加，稍有不慎就可能被发现。比如，之前述及的“日爆攻击”，正是在高级攻击者窃取网络安全公司的相关工具时被发现，从而牵出了“惊天大案”。此外，一些大规模网络行动，常常是非常庞大的“工程”，需要攻击方内部密切配合，容不得半点差池，即使如此，也很难完全掩盖所有痕迹，总有蛛丝马迹可循。