網路威脅情報中的不確定性：協調與對抗的平衡

2020年，網路安全公司Mandiant的電腦系統遭到入侵，攻擊者利用了一個看似無害的漏洞：另一家公司SolarWinds推送的例行軟體更新。Mandiant只是近18,000家被入侵的組織之一。根據科技學者Rebecca Slayton的研究，這起由俄羅斯情報機構發動的供應鏈攻擊，揭示了系統協調與攻擊脆弱性之間的權衡。

Slayton是康乃爾大學藝術與科學學院科技研究系及Judith Reppy和平與衝突研究所的副教授，她在《科學的社會研究》期刊上發表的文章中指出：「促進協調並減少協調不確定性的標準，可能會被攻擊者利用。分析師必須在信任協作標準與保持警惕之間找到平衡，因為他們的信任可能被精明的攻擊者利用。」這項研究在國際研究協會的年度會議上獲得了Randolph H. Pherson創新論文獎。

Slayton的研究聚焦於網路威脅情報領域中普遍存在的不確定性。她與倫敦國王學院的前康乃爾博士後研究員Lilly Muller共同探討了兩種在網路威脅安全產業中扮演重要角色的不確定性：協調不確定性和對抗不確定性，並分析了兩者之間的關係。

在網路威脅安全產業中，情報分析師跨越多個國家和組織進行協作，將數位痕跡轉化為可銷售的產品和服務。網路安全公司收集並分析資料，為包括政府和非政府組織在內的客戶提供潛在威脅的洞察。這些威脅來自國家和犯罪集團，可能涉及工業秘密、個人資訊的勒索或宣傳活動，例如2016年美國總統競選期間民主黨全國委員會的資料外洩。

野心勃勃的攻擊甚至可能控制工業系統的電腦。例如，俄羅斯行動者在2016年12月、2017年12月以及2022年多次關閉了烏克蘭部分地區的電網。Slayton指出：「雖然功能在每次攻擊後都迅速恢復，但這些攻擊可能削弱烏克蘭民眾對其機構的信任，這是俄羅斯最喜歡做的事情之一，同時也向烏克蘭人傳遞了『我們掌握你的把柄』的訊號。」

Slayton強調，與智慧對手打交道時存在根本的不確定性，但收集、分析和共享資料的過程則呈現出另一種不確定性——協調不確定性，尤其是在跨組織和跨國的情況下。她問道：「當你試圖與具有不同假設的社群協調跨時空的測量時，你如何確定他們在那裡測量的東西與你在這裡測量的東西是相同的？」

這項研究基於對美國、歐洲和澳洲組織的訪談和民族誌研究，並結合了公共事件、已發表的報告和學術論文的分析，以及對近期網路安全事件的檢討，例如2020年的SolarWinds攻擊。Slayton指出：「供應鏈攻擊是最難檢測的攻擊之一，因為公司之間已經建立了信任關係。當他們推送更新，尤其是安全更新時，你通常會直接安裝，而不會過多質疑。這甚至可能是自動化的。這些都是旨在提高效率的協調過程的一部分，但在某種程度上，這些標準化實踐也成為了攻擊的目標。」

Slayton希望她的研究能幫助威脅情報界的人士反思指導他們日常工作的假設及其中的風險，並思考如何在不受對抗不確定性影響的情況下更好地協調。她還指出，網路情報的知識不可避免地受到地緣政治背景的影響。她表示：「當決定專注於特定威脅行動者或漏洞時，我們可能會忽略其他威脅行動者或不同的漏洞。你總會錯過某些東西，而對手總是試圖保持不可預測性。」