打开网易新闻 查看精彩图片

美国企业去年为勒索软件支付了11.35亿美元赎金,创历史新高。与此同时,发起攻击的国家级黑客几乎从未被追责——这种不对等持续了太久。

5月发布的特朗普政府《国家网络安全战略》试图打破僵局。文件核心就一句:让私企上前线,政府做后盾。Trellix首席公共政策官在解读时打了个比方——过去是企业独自守城,现在是开门放援军进城。

从"别添乱"到"一起上"

从"别添乱"到"一起上"

奥巴马和拜登时期的网安策略偏向监管驱动。企业被视作需要管束的对象,合规清单越拉越长,实际攻防却各干各的。

特朗普团队的方向截然相反。新策略明确将网络安全嵌入国家安全大框架,软手段必须有硬实力兜底。用Trellix高管的话说,这是"从谨慎转向激进,从全面监管转向精简规则加硬实力"。

具体怎么变?司法部将加大对网络犯罪的调查和定罪力度,政企协作从"鼓励"变成"预期"。攻击者要重新算账了——以前算的是企业防御成本,现在得把政府报复也算进去。

但有个前提被反复提及:私企得有"工具、人才和技能"才能真起作用。

3.2万家关键基础设施运营商的困境

3.2万家关键基础设施运营商的困境

美国约有3.2万家关键基础设施运营商,从电网到医院,从水务到金融。它们长期面临一个悖论:被攻击时第一个扛雷,反击时却束手束脚。

法律模糊地带太多。企业主动追踪黑客,算不算越权?共享攻击数据,会不会暴露客户隐私?反击行为,在哪些司法管辖区合法?

新策略承诺"精简现有监管",但没说怎么精简。Trellix方面直言,有意义的合作需要解决"真实世界的约束"——翻译成人话:总法律顾问们要看到明确的责任边界,才敢签字。

一个细节很说明问题。文件提到"确保美国人得到适当保护",却没定义"适当"的标准。是GDPR式的严格,还是行业自律式的灵活?留白了。

硬实力到底是什么

硬实力到底是什么

策略文件里"硬实力"出现多次,但具体指什么,解读空间很大。

可能是网络司令部的进攻性行动——直接瘫痪攻击者的基础设施。可能是金融制裁,冻结黑客及其庇护国的资产。也可能是情报共享的升级,让企业在攻击发生前拿到预警。

Trellix高管的措辞值得玩味:软手段"必须有硬实力支撑"。这不是说硬实力要天天用,而是要让对手相信"真的会来"。

威慑的逻辑从来如此。冷战时期核威慑靠的不是发射按钮,是对方相信你会按。现在网安领域要复制这套,问题是:网络攻击的归因比核导弹慢得多,报复的正当性也更难论证。

IT和OT的裂缝

IT和OT的裂缝

策略文件特意区分了IT(信息技术)和OT(运营技术)环境。前者是办公系统、数据库,后者是工业控制系统、电网调度、医疗设备。

攻击OT的门槛更高,但破坏力呈几何级数。2021年科洛尼尔管道事件,黑客没直接碰输油系统,只是加密了IT端的计费数据,就导致美国东海岸燃油短缺。

新策略把两者并列表述,暗示私企的参与范围要扩大。但OT系统有个特点:很多设备运行了二十年,打补丁都可能崩。让私企"积极防御",会不会变成"积极搞瘫"?

制造业和能源行业的CISO(首席信息安全官)们,此刻大概在反复研读文件措辞。

集体回应的模糊地带

集体回应的模糊地带

"集体回应"是策略文件的关键词,也是最难落地的部分。

谁发起?政府还是企业联盟?针对什么级别的攻击?勒索软件算吗,还是只针对国家级APT(高级持续性威胁)?回应手段有上限吗?

国际法对网络战的定义本就模糊。2017年《塔林手册》试图填补空白,但只是学者建议,不具约束力。美国这次单边推进"集体回应",等于在灰色地带自己画线。

盟友跟不跟是另一回事。欧盟的《网络弹性法案》还在加码监管,和美国方向相反。如果一家跨国企业同时受两套规则约束,合规成本可能不降反升。

私企的算盘

私企的算盘

网络安全公司对新策略的态度,表面热情,实际谨慎。

商机显而易见。政府要"赋能"私企,预算和合同会跟来。Trellix作为端点安全厂商,直接受益于"更多协作"的表述。

但风险同样真实。如果政企绑定过深,海外业务怎么办?俄罗斯、中国市场的客户,会不会把美国安全厂商视为"政府延伸"?

更微妙的是责任问题。策略说要"适当保护"美国人,如果私企的"积极防御"误伤了无辜,算谁的?政府背书能豁免多少法律责任?

文件没给答案。Trellix高管的表态留了余地:合作需要"解决真实世界的约束"。

时间线:从纸面到战场

时间线:从纸面到战场

策略发布只是起点。接下来要看几个节点:

一是监管精简的具体清单。哪些奥巴马、拜登时期的规则会被砍掉?行业游说已经开始了。

二是司法部的高调案例。策略说要"更多调查和定罪",需要几个标志性审判来立威。

三是OT领域的试点。哪个关键基础设施 sector 会最先测试"私企上前线"模式?电网、水务还是医疗?

四是国际反应。如果美国企业真的对境外黑客基础设施发起反击,被攻击国会不会视为国家行为?

Trellix方面的判断是,这种"前倾姿态"能改变对手的计算方式。但改变需要多久,没人知道。

一个被忽略的数字

一个被忽略的数字

策略文件通篇没提预算。

网络司令部的进攻能力、FBI的调查资源、CISA(网络安全和基础设施安全局)的协调职能,都需要钱。特朗普政府同时在大规模削减联邦开支,钱从哪来?

可能的解释是"以私养公"——通过采购和合同,让私企承担更多成本。但这和"精简监管"的叙事有点矛盾:如果企业要花钱满足政府的新要求,算不算变相加税?

另一个可能是情报预算的重新分配。NSA(国家安全局)的网络行动资金从不公开,策略里的"硬实力"或许主要靠这块。

无论如何,3.2万家关键基础设施运营商的CISO们,接下来几个月要开的会,大概比过去一年都多。

策略文件最后一句写道:"这种前倾姿态能改变对手计算。"但改变谁的计算——黑客的,还是企业高管的,抑或选民对"网络安全"这个词的麻木?第一个测试案例出现时,答案才会清晰。