在俄羅斯與烏克蘭發生軍事沖突一年后，有關戰時網絡行動效果的預測現在可以進行分析和探討。俄羅斯的網絡行動拉開了這場戰爭的序幕，但面對一個有彈性的網絡防御者，他們未能實現自己的目標。由于不確定影響、潛在溢出、惡意軟件開發周期和不同的操作速度，聯合網絡 /傳統戰爭仍然很難實現。截至目前，針對烏克蘭的網絡行動尚未在降低烏克蘭抵抗能力方面取得重大戰略效果。此外，俄羅斯針對烏克蘭和西方受眾的信息行動充耳不聞。因此，網絡行動的最大價值似乎仍然在于其情報和偵察功能。

自 20 世紀 90 年代以來，網絡戰一直被其支持者視為軍事領域的一場革命，或是一種完美的戰爭武器。這些討論大多是理論性的，他們關注的問題通常是網絡能力的應用如何達到或超過武裝攻擊的門檻，從而導致常規戰爭的爆發。然而，很少有實證研究論證戰爭期間網絡能力的軍事作戰效果。在過去一年的俄烏沖突中，網絡能力在常規戰爭中得到了應用，我們能夠初步得出結論，當網絡能力被用作戰爭工具時，它可能會改變游戲規則。

1.1 網絡能力和戰時戰略

關于“網絡戰”的文獻通常關注將網絡能力應用于政治戰略甚至犯罪目的，而不是軍事行動目的。20 世紀 90 年代的網絡戰戰略描述將網絡戰視為威脅現代社會的下一代網絡行動。“網絡珍珠港”可以作為指導性的參考框架：通過數字斬首襲擊，電網可以關閉，關鍵基礎設施被摧毀，整個經濟陷入停頓，而不需要實際的軍事力量。在這種描述中，網絡行動被視為一種戰略反價值能力，以社會為目標，旨在影響和平時期的國家行為。簡而言之，網絡作戰被認為優于常規武力，因此預計將改變國際體系中的力量平衡。

然而，隨著該領域的成熟，人們的期望值逐漸降低。Martin C. Libicki 等學者指出，就戰爭目標而言，網絡戰無法解除敵人的武裝，更不用說摧毀敵人。此外，在沒有實際戰斗和暴力的情況下，網絡戰不能帶來領土收益，這仍然可以被認為是大多數現代戰爭的主要目標之一。此外，僅僅依靠數字手段很難使對手屈服于自己的意志——這是克勞塞維茨（Clausewitz）戰爭的目的。研究表明，一方面，針對平民的戰略攻擊很少有助于實現贏得戰爭的目標；另一方面，很難對控制現代社會關鍵功能的數千個不同系統進行協調。與常規武器不同，許多網絡作戰依賴于目標，這意味著它們不能對任何系統不加區分地進行使用，這將導致作戰計劃變得復雜。此外，對于這種復雜的攻擊鏈，總是存在失敗的風險和意外的級聯效應，這實際上可能會對攻擊者產生事與愿違的影響。

1.2 戰場上的網絡能力

自 2000 年以來，網絡戰并未被視為一種獨立于動態沖突之外產生影響的能力，而是被視為對常規能力的補充。換句話說，當以聯合和組合的方式使用時，網絡作戰可以作為常規能力的力量推動者 / 倍增器。在這里，戰爭中的網絡行動不一定是通過其戰略效果來衡量，而是被視為一種可以直接針對敵軍的反力量能力。例如 X-Agent 惡意軟件，它可以滲透到引導炮兵射擊的瞄準設備中，然后將炮兵陣地的地理位置泄露給敵軍，敵軍隨后指揮反炮兵火力。

雖然軍事硬件在理論上存在大量漏洞，可以被網絡作戰利用，但在實踐中，這很難付諸實 施。Nadiya Kostyuk 和 Yuri M. Zhukovon 在 敘利亞（2013 年）和烏克蘭東部（2014 年）使用分布式拒絕服務攻擊和動態軍事行動的研究表明，聯合行動的時機往往是錯誤的。傳統攻擊和破壞性網絡行動的計劃時間和行動節奏不同，難以實現協同效應。例如，惡意軟件有生命周期：它必須被開發、測試，然后部署到對手 IT 部門以產生影響，直到它被發現和消除。這通常需要幾周或幾個月的時間。原則上，防御者的單個軟件更新或配置更改就有可能消除惡意軟件的影響。惡意軟件比子彈更有針對性。最后，為了使其效果與地面行動同步，惡意軟件可能需要與外部世界的實時指揮和控制連接，這在使用主動電子戰干擾的作戰環境中可能不可行。因此，在戰爭的早期階段，網絡行動作為一種先發制人的打擊可能是有用的，但敵對行動持續的時間越長，保持功能性惡意軟件的在線操作和維護對對手系統的后門訪問就越困難。

此外，傳統和網絡之間很難協調演習部隊。首先，相互沖突的目標是一個問題：以情報為導向的行為者傾向于隱藏長期訪問系統（網絡間諜），而不是短期破壞系統（所謂的網絡效應行動），這可能會導致發現使用的后門，從而消除攻擊能力。其次，數字戰場和傳統戰場的地理位置很少一致。美國從針對 ISIS 數字基礎設施的“發光交響曲”行動中學到這一點。ISIS 依賴于數十個國家的數字服務，通過網絡行動來摧毀 / 接管這些基礎設施需要與盟友和第三方國家協調。此外，事實證明 ISIS 具有網絡抵御能力，可以迅速重建受損的基礎設施?！鞍l光交響曲”行動表明，持續的網絡交戰比臨時的網絡交戰更有效，網絡行動在戰爭中的效用不在于其破壞性或破壞性效果，而更多的在于其情報收集和心理戰能力。如果對手擔心自身網絡遭到破壞，有人在監聽，他們就會切換到其他通信方式，從而減慢和復雜化他們的行動計劃。Erica D. Borghard 和 Shawn W. Lonergan 得出結論，網絡作戰在戰爭中的另一個用途可能是它們針對后勤系統的能力，因為這些系統通常是民用的，比軍事系統更不安全。盡管如此，許多人認為，網絡能力最適合情報和偵察功能，不會取代傳統武器。在許多情況下，用空襲或炮火消滅目標比通過網絡效應行動更快、更簡單，成本更低，也更有效。

1.3 和平與戰爭之間的網絡能力

自 2014 年以來，人們把重點放在網絡能力的混合或灰色地帶上。在這種理念的影響下，網絡活動未被視為戰爭的破壞性力量，而是一種情報競賽或戰略競爭，其主要目標不是削弱敵人，而是顛覆、利用和塑造網絡和信息環境。更重要的是，網絡行動的主要用途是為政治、經濟甚至犯罪目的而竊取或操縱信息。這些行動對權力平衡產生了雙重影響：首先，它們可以用來影響政治話語和推動進程，例如削弱和平時期的西方民主；其次，如朝鮮的網絡治國模式所看到的那樣，它們可以讓攻擊者以長期網絡間諜的形式獲得戰略利益。

這種對網絡行動的解讀在很大程度上受到兩個趨勢的啟發：第一，根據國際法，大多數網絡行動都不符合使用武力或武裝攻擊的法律標準，因此不能用來為《聯合國憲章》第 51 條下的自衛條款辯護。在很多情況下，網絡行動旨在降低戰爭的門檻，不冒升級武裝或暴力的風險，更不用說戰爭本身。同樣，防御方可能也有興趣不升級對此類活動的反應。第二，自2014 年吞并克里米亞以來，俄羅斯一直在運用這種能力，甚至試圖干預 2016 年美國總統選舉，全面塑造了圍繞網絡活動的正式攻擊。

在俄羅斯與烏克蘭發生沖突之前，許多情報機構預計會出現某種形式的數字先發制人的攻擊。在 2008 年入侵格魯吉亞時，俄羅斯利用大規模分布式拒絕服務攻擊，在俄羅斯軍隊越過邊境時暫時使格魯吉亞政府和媒體網站過載并中斷。這種做法的一個目標是阻礙格魯吉亞同更廣大的世界聯系，從而使局勢籠罩在眾所周知的戰爭迷霧之中。多年來，俄羅斯塑造了自己“超乎尋?！钡木W絡大國形象，極大增強了自己的實力。從政府機構和選舉過程到關鍵基礎設施，俄羅斯高級持續性威脅（Advanced Persistent Threat，APT）行動者似乎滲透了所有地方的網絡，后者導致了烏克蘭的兩次停電（通過 Blackenergy 和 Industroyer 惡意軟件）。在這種情況下，許多情報界人士希望網絡行動為俄羅斯的常規入侵奠定基礎，例如通過破壞電網、通信系統或政府部門。事實上，正如大衛·桑格（David Sanger）在2022 年 2 月的《紐約時報》（New York Times）上一項秘密情報評估寫道：“過去6 年里，所有這些系統都是俄羅斯的目標?！蓖蝗恢g，“網絡珍珠港”的比喻又回到了桌面上。大規模禁用這些重要系統在軍事上是合理的，因為這將妨礙烏克蘭協調其防御能力。一些人還擔心惡意軟件的無意溢出效應——就像幾年前的 Not-Petya 一樣——可能會意外地將其他各方卷入這場騙局沖突。不過，CrowdStrike 的迪米特里·阿爾佩羅維奇（Dimitri Alperovitch）降低了預期，他認為，“俄羅斯可能會在網絡空間開展 3 種類型的活動，以支持其軍事目標：情報收集行動、旨在擾亂或欺騙烏克蘭軍隊的行動，以及針對烏克蘭公眾的心理行動。”

俄烏戰爭中的行動總數可能不為人知，但在 2022 年 8 月，烏克蘭計算機應急響應小組（CERT-UA）報告稱，在戰爭的前半段期間，有超過 1 123 次網絡攻擊。這意味著網絡活動比戰前增加了 3 倍。2023 年 1 月，CERT-UA 報告稱，它對超過 2 194 次攻擊做出了回應。然而，未報告或未公布數量仍不清楚。俄羅斯利用網絡和信息手段的方式，以及烏克蘭設法避免或遏制攻擊的方式，值得我們學習和借鑒。

3.1 網絡行動需要準備

正如研究人員所預期的那樣，情報收集似乎是網絡行動在戰爭中的主要用途。俄羅斯情報部門早在 2022 年 2 月的攻勢開始前就開始了戰場準備工作。無論是常規打擊還是數字打擊，情報都是提前收集，這可能有助于俄羅斯聯邦軍事情報機構和武裝部隊識別目標。俄羅斯網絡偵察的質量和數量在 2021 年底有所提高。APT組織 Nobelium 與俄羅斯聯邦對外情報局（SVR）有聯系，自 2021 年 5 月以來一直是這方面相當活躍的參與者。此外，在此期間，俄羅斯國家行為者和附屬威脅行為者不斷試圖破壞烏克蘭的通信、運輸、能源、國防、行政和外交系統以及服務。此外，俄羅斯聯邦安全局（FSB）也參與了針對烏克蘭的網絡攻擊和情報活動。

3.2 預防和開源情報

在戰爭爆發之前，俄羅斯曾多次試圖編造戰爭原因。這包括俄羅斯在 Telegram 和 Twitter上的多個信息行動，試圖將烏克蘭描繪為攻擊者，而俄羅斯只是試圖自衛。在傳統媒體和社交媒體上，烏克蘭和美國都被指控在秘密實驗室制造生物武器，這一故事從 20 世紀 80 年代開始反復流傳，2008 年俄羅斯入侵格魯吉亞時也再次被提起。此外，就在戰爭發生的前幾天，網上出現了據稱是烏克蘭破壞俄羅斯目標和烏克蘭炮轟一所幼兒園的視頻。盡管如此，這些塑造公眾認知的嘗試很快被開源情報社區揭穿，因為他們對材料進行了剖析。美國情報界對俄羅斯攻擊行動還進行了“預防”，提前對其進行反擊。

3.3 一場網絡攻擊

2022 年 2 月 23 日，在入侵的前一天，俄羅斯軍事情報機構（GRU）對烏克蘭政府和其他IT、能源和金融組織發起了幾次破壞性的數據清除網絡攻擊。這些襲擊是為了支持即將到來的陸地和空中打擊。通過刪除政府系統上的數據，俄羅斯可能試圖減緩烏克蘭國防部隊和政府服務的協調能力。人們預計，在戰爭前夕，網絡能力可以以這種方式使用，但在多次迭代中使用高度破壞性的“雨刷”惡意軟件具有新的特性?！坝晁ⅰ睈阂廛浖哪芰σ脖砻髁俗?2008 年格魯吉亞戰爭以來網絡戰的發展程度。

3.4 即使黑客攻擊成功，結果也不確定

此外，俄羅斯于 2022 年 2 月 24 日對 Viasat衛星通信的攻擊提供了一些有意義的經驗。這次網絡行動關閉了烏克蘭和歐洲上空的衛星通信，導致德國風力渦輪機的衛星調制解調器失靈，從而產生了意想不到的溢出效應。雖然網絡行動在技術上是成功的，但它并沒有妨礙烏克蘭的指揮和控制情報行動。烏克蘭官員后來聲稱，它實際上對作戰的影響可以忽略不計，因為衛星通信從來都不是烏克蘭軍方的主要通信手段，而是一種冗余選擇。盡管烏克蘭在貶低這次攻擊的影響上有既得利益，但通過 Viasat的例子可以讓我們得出以下結論：

（1）當有第三方參與時，很難在不產生意外溢出風險的情況下遏制針對廣泛使用的系統網絡行動。

（2）即使是技術上成功的網絡行動也可能無法實現其目標，為在聯合行動中依賴這些影響的軍事計劃制定者帶來重大的不確定性。

（3）在網絡戰中，防御者可以很好地實踐冗余，并擁有一個類似的后備選項，而網絡行動無法訪問。

3.5 聯合演習 / 網絡行動很困難

該分析的另一項發現涉及聯合使用網絡和常規作戰來實現共同目標。在一些人看來，俄羅斯在戰爭初期的做法似乎很混亂。俄羅斯的常規軍事攻擊不分青紅皂白地針對平民和社會目標，這些目標對正在進行的戰術或作戰演習沒有直接意義。此外，微軟 2022 年 4 月的一份報告指出，俄羅斯國家 APT 參與者將網絡入侵與動態軍事行動結合在一起，但不同類型的攻擊似乎并沒有很好地協同工作。事實上，俄羅斯網絡攻擊的目標與常規軍事火力、導彈、火箭和炸彈攻擊的目標相同。因此，當政府數據被導彈擊中時，政府內部的計算機網絡也成了破壞性數據清除網絡攻擊的目標。盡管微軟注意到，俄羅斯的網絡攻擊成功地破壞了技術服務，并創造了一個“混亂的信息環境”，但該公司聲稱，無法評估俄羅斯網絡和信息行動更廣泛的戰略影響，例如那些動搖公眾信心和加速烏克蘭軍事防御能力的行動。盡管如此，這種解讀還是受到了許多質疑，比如安全專家 James A. Lewis，他直言不諱地評論說：“所有這些黑客行為……似乎與俄羅斯在烏克蘭的軍事行動沒有協調好。”Gavin Wilde 指出，最先進的軍事網絡力量仍在努力解決如何將網絡能力有效地整合到常規軍事行動中，并指出“俄羅斯到目前為止似乎還沒有這樣做”。喬恩·貝特曼（Jon Bateman）也得出結論說，“俄羅斯似乎不愿或無法以精確、智能驅動的方式計劃和發動戰爭，而這種方式最適合網絡行動”。造成這種情況的原因有很多，比如戰略不完善、情報準備不足，以及過于繁重的保密和不信任，使得機構間的規劃變得困難。就像不知道自己要發起攻擊的地面部隊一樣，俄羅斯的網絡和常規部隊似乎缺乏同樣的聯合準備。我們要吸取教訓，網絡行動和常規行動很難（但并非不可能）協調。

3.6 通過網絡手段實現物理效果十分困難

2022 年 4 月，研究人員發現了影響烏克蘭能源網工業控制系統的惡意軟件 industryer2。它是 2016 年讓基輔電網癱瘓數小時的同一款惡意軟件的演變。截至目前，這是唯一一個公開的、可能被設計用來對烏克蘭造成實際影響的惡意軟件（由于保密，許多潛在影響的網絡事件仍然未知）。事故響應人員能夠在 industryer2 的編程計時器啟動之前停用該惡意軟件。這種惡意軟件顯示了網絡行動造成物破壞的潛力，但也顯示了其局限性。在它有所行動之前，這種影響已經緩解，可能多年來的惡意軟件開發也因此付諸東流。相反，常規轟炸能夠關閉烏克蘭超過 40% 的電網。研究結果表明：在戰爭中，傳統手段通常比網絡行動更快、更便宜、更精確，其結果更確定，而且通常更具破壞性。

3.7 網絡行動沒有產生戰略效果

無論是哪種攻擊類型，俄羅斯網絡攻擊的主要目的似乎是在戰略層面上削弱烏克蘭。但是俄羅斯的網絡行動并沒有摧毀或抑制烏克蘭的軍事力量或武器系統，而是針對烏克蘭人民的整體意志和自衛能力展開攻擊。盡管如此，幾乎沒有證據表明這些行動產生了戰略效果，比如烏克蘭人的抵抗意愿減弱。相反，研究表明，對民用基礎設施的戰略攻擊不會降低敵人的抵抗意愿，反而會引發一場圍繞“旗幟”效應的集會，從而為防御國的領導層提供強有力的支持。烏克蘭的情況也是如此：在戰爭的最初幾天，俄羅斯對寬帶互聯網接入發起的網絡和常規攻擊，很可能是為了在重大軍事進攻的關鍵時刻孤立烏克蘭政府。雖然 2008 年在格魯吉亞取得了成功，但這次俄羅斯失敗了。

俄羅斯網絡行動缺乏戰略和軍事行動意義，這令許多人感到意外。根據 James A. Lewis 的說法，俄羅斯一直無法擾亂“金融、能源、交通和政府服務”，以壓倒防御者的決策造成社會動蕩。在歷經四個月戰爭后，他甚至宣稱“網絡攻擊被高估了”。雖然它們對間諜活動和犯罪活動很有價值，但在武裝沖突中并不能起到決定性作用。其中一個可能的原因是，烏克蘭從俄羅斯以前的網絡行動中吸取了教訓，并適應了這些行動。烏克蘭建立了網絡戰能力和網絡工作隊伍，簡化了機構間的協調，包括緊急減少官僚主義障礙，并進行了網絡靶場演習，以收集俄羅斯的活動。在戰爭的所有領域，不斷學習、適應和創新是關鍵。

3.8 信息作戰贏得人心

2022 年 2 月 25 日，俄羅斯總統發表的“我們都在這里”（We are All Here）視頻信息成為歷史上最具影響力的信息行動之一，當時俄羅斯正在進行首次網絡和常規打擊，試圖讓烏克蘭領導層中立。在這 37 秒的視頻里，世界意識到俄羅斯沒有成功，戰斗才剛剛開始。從那以后，烏克蘭政府巧妙地駕馭了信息環境，追求多重目標，無論是爭取國際軍事和人道主義援助，還是在網上嘲笑俄羅斯的無能?？梢哉f，至少在西方信息領域，烏克蘭贏得了人心之戰——這是任何重大戰爭中最主要的心理目標之一。這也導致了國際黑客活動社區的大力支持，他們很快加入了烏克蘭的 IT 大軍，入侵了俄羅斯政府和商業基礎設施的所有領域，其結果導致數量空前的材料泄露。畢竟，俄羅斯政府一直以來以“行事隱秘”著稱。

盡管如此，俄羅斯政府壓制性的信息安全措施已經成功使國內信息領域免受西方的影響。此外，盡管受到聯合國大會某些決議的譴責，但俄羅斯外交、反西方信息和軍事行動都阻止了許多發展中國家對俄羅斯入侵的抵抗，更不用說向烏克蘭提供積極支持了。

3.9 網絡彈性是關鍵

烏克蘭網絡防御者在對抗俄羅斯的網絡行動中表現出了網絡技能和靈活性。據報道，一些政府網絡在被“雨刷”惡意軟件刪除幾個小時后就恢復了運行。這基本上抵消了雨刷行動的一些戰略影響。在烏克蘭的戰時網絡行動中得到以下 3 個關鍵結論，包括：

（1）將政府數據移動到異地云存儲中，創造彈性并提高了威脅檢測速度。

（2）西方威脅情報共享和威脅搜索活動可能在許多行動爆發之前就發現了它們——烏克蘭一直在快速行動，先發制人地采取這些措施來防御即將到來的攻擊。

（3）網絡行動似乎在發生意外時效果最好，但當防御者靈活并主動預測即將到來的行動時，攻擊者就會變得更加困難。

俄羅斯的網絡活動主要集中在情報收集、數據破壞和對關鍵基礎設施的拒絕服務攻擊上。令人驚訝的是，由于烏克蘭積極主動的網絡防御和社會復原力，這種網絡戰并沒有為俄羅斯帶來重大的戰略、作戰或戰術利益，至少就我們公開所知的情況而言是這樣。

盡管如此，僅僅因為俄羅斯這次無法將其數字和模擬演習結合起來，并不意味著其他國家不能從這次失敗中吸取教訓，并在下一次重大戰爭中做出改變。我們看到，僅靠更好的算法并不能平衡進攻性網絡行動的固有弱點：它們需要過多的時間，依賴于目標，并且可能在敏捷、主動的防御者面前失敗。盡管不完美，即使是面對強大的攻擊者，網絡防御并非徒勞。要想取得成功，它需要靈活性、速度、前瞻性思維、有用的威脅情報以及精簡流程，以減少信息孤島以及演習和培訓。網絡領域的防御規劃需要政府和工業界共同參與。當涉及進攻性的戰時網絡作戰時，戰爭的不確定性使得顯著的網絡效應難以實現。一種可能的行動路線更好地將網絡作戰與電子戰、信息作戰、情報作戰以及對敵方通信、指揮控制和后勤關鍵節點的物理破壞相結合，并輔以大量的聯合演習。政策和聯合行動的規劃者在規劃時也應該謹慎：網絡行動對情報收集、顛覆和塑造信息領域有用，但它們不能取代決定性的軍事力量。由于網絡行動的影響取決于目標，軍事規劃者最好建立應急計劃以防失敗。規劃人員還應避免過于復雜的攻擊鏈，因為下游的常規操作嚴重依賴于上游的網絡操作。對于北約來說，這意味著更多的聯合訓練，并可能將網絡范圍整合到作戰計劃中。