近期美國兩院所通過的《2021年國防授權法案》（FY 2021 National Defense Authorization Act），包含了數項與美軍網路戰略相關的條文，在美國聯邦政府屢遭外國網路入侵之際，格外引人注目。從幾個關鍵的條文來看，在可預見的未來，五角大廈仍將維持主動進攻的態勢，以反制針對美國及其盟友的先進持續性的網路威脅（advanced persistent threat, APT）。本文將首先探討美國近年來網路戰略朝主動進攻的態勢轉向，並討論《2021年國防授權法案》如何回應與支持此種新的戰略態勢，以及為何延續主動的態勢將是美國新政府較為可能的網路戰略走向。

「持續接戰」：川普政府的網路戰略遺緒

儘管過去二十年多來美國試圖建立在網路空間的作戰與反制能力，例如2009年便設有「網路司令部」（USCYBERCOM），並轄有133個「網路任務部隊」（Cyber Mission Forces）。華盛頓對於「網路攻擊」此類灰色地帶威脅，長期以來採取被動防守姿態，甚至受制於反恐任務的重擔而顯得力不從心。川普上台後則有了明顯的轉變，開始以先發制人的手段，反擊網路攻勢。

川普政府於2018年公布之《國家網路戰略》（National Cyber Strategy）揭示了美國最新的網路作戰概念：「持續接戰」（Persistent Engagement），即「美國網路作戰單位應該在網路空間與對手保持對抗，甚至以先發制人的攻擊，讓對手疲於奔命，必須把資源用於防守美國的主動進攻」。在「持續接戰」的主動進攻態勢之下，美國國防部更於《2018年國防部網路戰略》（2018 Department of Defense Cyber Strategy）中，提出所謂的「前進防禦」（Defend Forward）以及「前進追捕」（Hunt Forward）概念。

前者代表直接將戰場拉到敵人境內，針對網路入侵者進行「源頭打擊」; 後者則是美國網路司令部向盟友派遣支援團隊，在協助友盟加強網路防護的同時，掌握潛在對手的網路攻擊手段及戰術。美國近年來已數度派遣網路部隊前往烏克蘭、愛沙尼亞與蒙特尼哥羅等國，協助當地政府防禦來自俄羅斯的網攻，並藉此對俄國駭客的戰術進行剖析與情資蒐集。

主動進攻的網路戰略態勢已成國會兩黨共識

儘管川普任內施政時有爭議，其所推動的網路戰略卻為國會兩黨所接受，並反應在歷年的國防授權法。例如，《2019年國防授權法》便明定，當美國遭受來自中國、俄羅斯、北韓或伊朗的「積極的、系統的和持續的」安全威脅，美國網路司令部可以採取「攻勢」以扼制敵人的作為。網路作戰的發動權限亦下授至網路司令部，不必再由總統或國防部長作最後定奪，增加了美軍網路作戰的靈活性。

《2021年國防授權法案》亦有多項條文用以推進「持續接戰」概念的執行。例如，第1706節的條文，要求美國防部仿效《四年期國防總檢討》，向國會提交一份「四年期網路態勢總檢討」（the Quadrennial Cyber Posture Review），針對美軍「網路任務部隊」進行全面評估，是否已具備執行「持續接戰」與「前進防禦」戰略所需的人力、能力、設備、資金等。第1720節的條件則要求五角大廈在2021年4月1日前制訂標準化全面框架，旨在增進網路「前進追捕」行動的一致性、執行與效率。這一條款說明了美國國會對網路司令部展開「前進追捕」與「前進防禦」這類具主動進攻態勢的網路行動之認可。

第1702節條文則是修改了針對敏感軍事網路行動需要向國會報告的範圍。此前五角大廈只要在美國本土之外進行網路行動，皆被歸為敏感軍事網路行動，需要向國會進行報告。新的《國防授權法案》則修改為只有當進攻性網路行動係針對「外國政府或國外恐怖組織」時，才是需要向美國會報告的敏感軍事網路行動。這一條款意味著進一步鬆綁美軍在海外執行網路攻擊的限制，未來無需通報國會，就可針對不具有官方背景的實體，例如勒索軟體組織等進行打擊。

嚇阻的侷限性或迫使美新政府延續川普的網路戰略

過去歐巴馬政府的網路政策基調屬「被動回應」。例如，2015年《國防部網路戰略》（2015 DOD Cyber Strategy）揭示，只有在網路攻擊對美國國家利益造成「重大後果」（cyber attacks of significant consequence），並由總統或部長下令，五角大廈才會展開網路行動。歐巴馬甚至在2015年與習近平會面時，寄望透過高層之間的君子協議，促使北京自主扼制中國駭客對美國的網攻。由於拜登新政府團隊成員多為歐巴馬時期的舊人，美國不無可能改回「被動消極」的路線，冀望增強在網路防護與反制的能力，便足以「嚇阻」潛在進攻方。

然而，由於嚇阻的諸多要件難以在網路空間重現，例如「能否對攻擊行為進行溯源」（attribution），以及「防守方擁有的報復能力與意願必須清楚無誤的傳達給潛在進攻方」（signaling）等。「先發攻擊」是網路領域賽局的「優勢策略」，行為者極欲避免成「後發受制於人」的輸家。簡言之，在攻擊行為溯源的高難度及致命程度十份輕微等條件下，網路嚇阻無法達到過去冷戰時期核武相互保證毀滅的戰略穩定效果。這也是為何即便持續加強對網路防護能力的投注，近年來美國仍逐漸轉向先發制人的戰略，以求維持在網路領域的優勢。

身兼「美國網路空間日晷委員會」（Cyberspace Solarium Commission）主席，並主導此次《國防授權法案》關於網路戰略條文修訂的參議員金恩（Angus King），亦強烈主張美國必須維持主動進攻的網路戰略，並持續提升相關能力。[7]其理由便是被動回應無法嚇阻入侵，唯有主動進攻，才能產生效果。即便主動進攻的態勢無法全面嚇阻對美國的網路攻擊，卻能施加報復性的打擊，讓入侵者付出應有的代價。

因此，在國會的壓力與網路空間不容坐以待斃的客觀條件下，可預期拜登新政府在一定程度上，將延續川普的網路戰略。五角大廈亦可能對入侵者發動網路打擊，作為近期美國聯邦政府IT系統商SolarWinds遭駭事件的回應。正如同美國網路司令部在2018年期中選舉期間針對俄羅斯網路研究局（Internet Research Agency）的網路阻斷攻擊，以及2019年6月網路癱瘓伊朗的導彈發射系統，報復俄羅斯對美國大選的介入，及伊朗在阿曼灣擊落一架美軍RQ-4A無人機。

※作者為國防安全研究院網路安全與決策推演所助理研究員。本文授權轉載，原文出處。