美國發動網絡攻勢：積極防禦新戰略應對伊朗駭客威脅

背景

隨著伊朗駭客組織 Handala 對美國醫療公司 Stryker 發動大規模數據抹除攻擊，美國政府傳出將採取更具侵略性的網路防禦策略。這項新方針旨在激勵私營企業主動識別並干擾敵對網路，而非僅僅被動防禦，引發了關於企業「反擊權」以及網路戰爭邊界模糊化的廣泛討論。

社群觀點

針對政府鼓勵企業反擊的政策，Hacker News 社群展開了激烈的辯論。部分討論者認為，現行的法律體系過度保護了安全性低下的系統所有者，主張若系統存在漏洞且未妥善修復，擁有者應承擔法律責任，而不應將所有責任推給發現漏洞的人。然而，這種觀點遭到強烈反對，反對者指出完美的安全性在現實中並不存在，即便是投入巨資的防禦系統也可能毀於一個零日漏洞。將受害者等同於過失者，就像是因為鄰居的門鎖不夠精良就合理化闖空門的行為，這在法理與實務上都難以成立。

關於「反擊」的實際執行力，社群普遍持懷疑態度。許多評論指出，多數企業連基本的自我防禦都做不好，甚至連管理帳號的雙重驗證（2FA）都未開啟，遑論發動有效的攻勢。網路攻擊的歸因極其困難，即便是國家級情報機構也難以百分之百確定攻擊來源，若放任企業自行判斷並反擊，極可能導致誤傷安全研究人員或無辜的第三方節點。這種「私刑正義」的模式被比喻為允許私人保全僅憑懷疑就對路人開火，不僅跳過了正當法律程序，更可能演變成企業用來打壓競爭對手或異議人士的工具。

此外，討論也延伸到了企業治理與社會責任的深層矛盾。有觀點認為，現代企業高層往往能透過各種手段規避決策失敗的後果，將損失轉嫁給納稅人或基層員工。在網路安全領域，這種「利潤私有化、損失社會化」的現象尤為明顯。當政府將網路戰爭的權力下放給私營部門時，實際上是在鼓勵建立「私人軍隊」，這與現代國家的職能背道而馳。部分資深安全從業者則指出，這種所謂的新策略其實只是將行之有年的地下實踐表面化，因為許多精品安全顧問公司早已在法律灰色地帶為客戶執行攻勢行動，而政府的背書只會讓這種缺乏監管的武力擴張更加失控。

最後，社群對技術自動化與管理層的關係也有一番冷嘲熱諷。有人提議既然大型語言模型已能完美模仿企業高層的官僚語言，或許該被自動化的是那些只會空談、卻無法在安全危機中承擔責任的執行長。這種情緒反映了技術社群對當前企業結構的不滿：高層掌握資源與決策權，卻往往在技術債堆積如山時，選擇最危險且不負責任的政治解決方案。

延伸閱讀

• Microsoft Entra 漏洞報告：關於駭客如何利用管理帳戶權限抹除企業裝置的技術細節。
• CalPERS 投資議程：討論大型退休基金在私募信貸領域的曝險，與金融系統性風險相關。
• 白宮網路戰略文件：官方關於激勵私營部門參與干擾敵對網路的政策原文。