2016年11月26日

近年來，美國政府、軍方以及商業界受到駭客攻擊的次數越來越多，損失也越來越嚴重。網路安全專家、喬治華盛頓大學網路與國土安全中心主任希路佛提出“主動防禦”概念，希望能扭轉情勢。希路佛11月9日接受美國之音科技記者黃耀毅專訪，談應該如何進行主動防禦，未來雲端計算以及物聯網的安全，還有川普新政府在網路安全方面應該如何作為。請看專訪片段。

美國之音黃耀毅：
法蘭克，感謝你接受採訪，尤其是在忙碌的選後第二天。第一個問題，有關於你發表的這份“主動防禦”報告。什麼是主動防禦（Active Defense），它的架構又是什麼？在政府部門以及私人產業，是否有不同的運用方式？
喬治華盛頓大學希路佛主任：
我們之所以啟動這份報告，並且組成這個行動小組，是因為我們理解企業光是將牆（防火牆）越蓋越高，擴大保護範圍，把鎖頭加大，是沒有用的。我們目前網路安全的做法是被動的，就像是你家被搶了之後，才打電話給鎖匠，這根本就沒有用。我們看的是，這些公司能夠採取哪些主動的步驟，來更好地保護他們的系統。我們並非提倡攻擊性的網路手段，也就是‘黑回去’。但在現在，主要的被動性與防衛性的作法，以及黑回去的做法之間，有許多空間。我們試圖要做的，就是定義一些技術面的機會，看看如何進行策略上的應用，制定法律的基本面，看哪幾方面必須要重新校準，重新對焦，並且更新。基本上，就是介於防衛性與攻擊性之間，一套的技術解決方案，包括能夠在自己的資訊裡加上'信號'（Beacon），可以加在你的資料裡面，你的資訊系統裡面。當有人入侵你的系統，就會向捍衛者發出警告，你的資料已經離開你管轄的範疇。還可以追蹤找到誰是入侵者，是誰來偷走資料。我們同時也認為，可以使用'蜂蜜罐'，以假的網站吸引罪犯進來，阻礙他們的行動，好能研究他們的攻擊手法、步驟等，給你機會能夠進行逆向工程，進一步瞭解敵人的動機與能力。這就是我們稱之為‘白灰地帶’，也就是更為巧妙的利用既有的科技。另外就是所謂的‘黑灰地帶’，現在有幾個成功將僵屍網路下架的案例，或是打敗惡意軟體的散播者。私人公司自己不能這樣做，因為這樣他們將要入侵國內外的網路系統，但是與政府合作，私人公司可以與執法單位合作，最終能夠主動的，積極的將僵屍網路下架。就想想最近在美國的DYN 公司阻斷服務攻擊事件，駭客攻擊了網功能變數名稱系統，基本上就是互聯網的電話簿，造成極大的影響。但如果該公司內部採取了某些主動防禦的做法，就可以在傷害造成之前就阻止駭客。這些是有創意的想法，但並不符合期望。技術其實已經到位，問題是誰要來做？要做什麼？政府不會盡其所能地做，也沒有足夠資源這樣去做，我們必須確保私人企業有足夠的空間能夠主動防衛他們的系統。

美國之音黃耀毅：
你提到DYN攻擊事件很有趣。我記得當天有三起攻擊，不過他們成功地阻擋了第三起攻擊。事實上，我與一家網路安全公司的網路安全專家談過，他叫做史蒂芬.寇替（Steven Coty），他之前也是駭客。當我問他，在網路安全方面，他希望能夠做什麼，或希望私人公司有哪些能力。他回答我“解開手銬”。他希望有更多自由，他希望能做更多，來阻止攻擊。他提到他其中一名客戶，追蹤那些被偷竊的資料，一路追到北京。你認為是否更為積極的手段是必須的，而我們應該給私人企業那樣的力量來這樣做？
喬治華盛頓大學希路佛主任：
當然，現在我們責怪受害者。當一家公司被黑之後，他們反而被不同的投資人告上法庭。我們必須開始讓罪犯感到痛苦，要勸阻、嚇阻、迫使未來不再發生犯罪行為。絕對無法光蓋防火牆就能解決這些問題。但除了要採取更防衛性的想法，我們也要考慮到，有時解藥比疾病本身更糟糕。我不想要“黑回去”，因為如果有人黑回去，攻佔某個在北京的伺服器，那可能引爆網路戰，這是大家都不樂見的。應該要跟政府合作辦案，因為中國政府可能會認為那是美國政府幹的，情勢就會越來越緊張。但是，關於鑒識證據的主動搜集，還有太多太多需要做的，包括資料是怎麼移轉的，設定吸引駭客的蜂蜜罐陷阱（Honey pot）、瀝青湖陷阱（Tar pit）等，在你的網路內部主動狩獵，搜集情報。甚至在你的網路當中置放虛假資訊，讓罪犯雖然進行了攻擊，卻不會真的造成損失。這些都是可以做的。我不要牛仔，我不要為所欲為。但現實就是，光蓋防火牆是無法解決問題的。智慧財產權被盜竊的成本實在是太高。如果你可以順手牽羊，可以將這些偷來的技術做成自己產品，並且獲得市佔率，為何要花費數千萬美元做研究？我們需要新的手段，且正確的使用主動防衛，而不是過度侵略性的，這才是解決方法的一種。

美國之音黃耀毅：
所以主動防禦只適用於私人企業？構想是這樣？
喬治華盛頓大學希路佛主任：
主要是這樣。當你想到網路，這裡有個兩難。說到底，即使是世界上最大的公司，不管是最大的銀行、最大的科技公司、最大的電信公司，他們開業時都沒有想到過必須要對抗外國情報部門。但這就是正在發生的。戰場已經延伸到整個社會，它們身處前線，它們成為目標。所以除非政府能夠用更強力的手段應對，不然我們不能讓私人企業不做出自己的回應，否則它們就要關門了。所以沒錯，我講的是私人企業能夠採取的手段，來捍衛它們的系統，不是主動出擊，而是保護它們的資料，它們的資訊，並且試圖將被偷走的拿回來。

美國之音黃耀毅：
講到私人企業，許多私人企業都是跨國公司。打個比方來說，思科，可能在美國境內提供網路的安全，但同時也在中國做生意。即使對於網路安全公司，它們也同時在美國，以及其他有敵意的國家都有生意。對於這些公司，可能一方面必須要與這些政權分享某些資訊，但同時又要保護自己不受到這些政權的侵害，你有什麼樣的建議？
喬治華盛頓大學希路佛主任：
這是一個很棒的問題，而我希望有個簡單的答案。但首先，網路是一個不分國界的議題，所以我們都理解必須要有個跨越國界的國際準則。不幸的是，有好幾個國家為網路犯罪行為提供避風港。俄羅斯莫斯科、中國北京都窩藏了許多駭客，而我們與這些國家沒有簽署引渡條約。但對於美國公司，我們的報告當中提出建議，有國務院能夠採取的主動防禦外交手段。因為現在已經沒有單純的美國公司，現在都是跨國公司。但我們也需要考慮，你提供的防衛工具，心懷不軌的人也可以拿來攻擊你。所以我想某個方面你會看到大家開始注意到，從‘出口管理’的角度來看網路安全。因為它們用來防衛自己系統所採取的步驟，也會被當成武器用來攻擊美國。這是一個很棒的問題，我希望有一個簡單的答案，而且很清楚。這有個國際的元素，我們還是有個獨特的、需要我們保護並且保存的國際利益。

美國之音黃耀毅：
這帶到下一個問題，就是在美國軍方以及美國政府內部，都越來越擔心使用某些產品，例如它們被建議不要採購或使用聯想電腦的產品，因為擔心那構成網路風險。這是與中國公司有關的。那我們剛才談到的，在美國內的公司，但在中國也有做生意的公司，我們是否也要擔心？我們要如何確保這些公司取得政府採購案之後，能夠確認我們的互聯網是乾淨安全的？
喬治華盛頓大學希路佛主任：
這也是一個很好的問題。我們先退一步說，大部分網路安全資訊洩露，都是協力廠商供應鏈的問題。所以最近在美國有一股很強的推動力，叫做美國境內外資委員會（CIFIUS），要找出哪些國際公司在美國動作較大，尤其是與政府有合作的公司。比如華為就很令人擔憂，他們的產品比思科的要便宜很多。但雖然買的便宜，華為的產品有可能將資訊傳回中國。監管協力廠商供應鏈是一件很重要的事情，也很難。很多國際公司就設置了障礙，拒絕購買美國公司的產品，除非他們沒有別的選擇，比如面臨行業壟斷。如果你問我的話，設置更高的貿易障礙並不是正確解決辦法，但是大部分國際公司都在這樣做。從美國的角度來說，要做的就是仔細觀察動機，確認沒有陷阱。美國公司一直都在與國際公司設立合資企業，從宏觀角度講，我認為這是一件好事，但我們必須認識到，這也帶來了很多的網路安全風險。最關鍵的部分包括軍事系統、電子通信、電力工程、金融銀行業。這些系統非常重要，網路安全應該是企業採購當中很重要的一環。因為保障安全的最終方式，就是在設計系統時、採購時，就已經考慮到安全問題。對我來說，安全問題不是事發後再補救，而是在最初階段就設計好的。這會從我們的防禦系統開始，以後那些關鍵的系統也都會採用。

美國之音黃耀毅：
再回到主動防禦。為了要讓全國的私人企業都能採用主動防禦，需要行政當局以及國會推出什麼樣的新政策跟新法案？
喬治華盛頓大學希路佛主任：
大部分與網路安全相關的法律跟法規，都是在1970年代制訂的，而當時設計互聯網的目的，跟現在是完全不一樣的，網路安全當時根本沒有考慮進去。而我們大部分的法律，其實都已經非常過時了。這些法律依據的是老舊的技術。現在人們只能適用這些法律制訂時的精神跟動機。所以最終我們要求的是，《電腦詐騙濫用法案》（CFAA），這個主要的電腦駭客以及犯罪法律，需要根據我們報告中所提的白灰色地帶與中灰色地帶，進行更新。有些技術早就已經有了，可以被運用來更好的防衛系統。同時，我們也提出一些建議，讓產業界、私人公司與政府之間，能夠有更良好的交流。我們需要能夠更好的來確保程式完善，公私部門的合作流暢。最重要的是，就策略上來講，網路安全需要被認為是首要優先，不只是為了國家安全，也是為了我們的經濟，也是為了我們的生活方式。第二，我不要求重寫現行法律，但必須要根據當今我們生活的世界，做出符合現實的修改。我們正面對21世紀的威脅，卻使用19世紀的法律，所以法律必須要符合最新情況。

美國之音黃耀毅：
往前看，雲端計算、物聯網都正在崛起。在制定法律來保護我們的時候，是否應該往未來的環境著想？
喬治華盛頓大學希路佛主任：
首先，如何定義界限跟範疇。由於物聯網還有雲端計算，現在我根本不知道我的網路當中有些什麼，因為整個界限都模糊了。傳統的用戶端安全以及參數安全已經過時，無法與現今的環境接軌。而物聯網將會極度膨脹認知的範圍，同時也將極度膨脹受到攻擊的範圍，創造出新的被攻擊目標。所以對我而言，在開發新設計時，就要確保這些設計成真之前，先把安全性考慮進去。然後在立法方面，我們的國會議員必須要活在21世紀，確保他們瞭解這個充滿威脅的環境，以及我們生活的世界正在急劇的改變。沒有人能夠預料到現在的市場，也沒有人預料到互聯網會從當年美國國防部的防衛系統發展成現在這麼大的規模。不過我們現在有機會，在物聯網上一次做好安全。如果要等到物聯網已經架設完成才做，將會非常困難。我不確信法規能夠解決，但是研究與開發，在設計時將安全考量進去，還有允許系統當中有主動檢查功能，是解決方法的一部份。

美國之音黃耀毅：
你知道在這方面已經有任何努力了嗎？
喬治華盛頓大學希路佛主任：
是的，現在已經有幾家公司朝這方向在做，而我認為會最成功的，是正在推動物聯網環境的。當然繼續可以有安全防護公司，但對我來說，這就像是在補破洞。像思科，還有其他正在推動物聯網的公司，都有將安全考慮進架構當中。他們不將安全看作成本支出，而是當成生意的推動力量。因為終究來說，這樣消費者才會感到安全。這是要花錢的。而不只是美國公司要這樣做，這必須是全球性的。

美國之音黃耀毅：
說到世界正在改變，我們剛選出了一位新總統。你對當選總統川普的網路安全政見有何瞭解？你會給他什麼樣的建議？
喬治華盛頓大學希路佛主任：
我想幾個星期前他的競選白皮書當中有提到，網路安全必須是，也將會是他執政的優先專案。他組了一個行動小組，來尋找美國政府內外的弱點。我認為他會瞭解私人企業必須在這件事上打前鋒，缺乏私人企業的才智以及創新，政府無法達成目標。就他的商業背景而言，我認為他會瞭解。而我也認為，不管到目前為止，是誰在輔佐總統這方面的政策，目前形成的網路嚇阻策略，對我來說，是絕對的優先。勸阻，嚇阻，迫使。最終你無法勸阻科技，你嚇阻與勸阻的對象是網路使用者。我們需要制定針對俄羅斯、中國、朝鮮、伊朗、外國恐怖組織、犯罪集團的嚇阻策略。他們各自都有不同，也都需要有不同的解決方案。對我而言，這是我們現行網路安全性原則所欠缺的。時間會證明一切，我認為這是一個最跨黨派的議題，而我們都依賴一個強大的網路安全性原則。

美國之音黃耀毅：
謝謝你，法蘭克。