coincidentally help the private sector a little, maybe. The government thinks it is the responsibility
of individual corporations to defend themselves from cyber war. Government officials will tell you
that the private sector wants it that way, wants to keep the government out of their systems. After
all, they are right that no one in government would know how to run a big bank’s networks, or a
railroad’s, or a power grid’s.
When you talk to CEOs and the other C-level types in big companies (chief operating officers,
chief security officers, chief information officers, chief information security officers), they all say
pretty much the same things: we will spend enough on computer security to protect against the
day-to-day threat of cyber crime. We cannot, they say, be expected to know how to, or spend
the money to, defend against a nation-state attack in a cyber war. Then they usually add words
to the effect of, “Defending against other nations’ militaries is the government’s job, it’s what we
pay taxes for.”
At the beginning of the era of strategic nuclear war capability, the U.S. deployed thousands of
air defense fighter aircraft and ground-based missiles to defend the population and the industrial
base, not just to protect military facilities. Every major city was ringed with Nike missile bases to
shoot down Soviet bombers. At the beginning of the age of cyber war, the U.S. government is
telling the population and industry to defend themselves. As one friend of mine asked, “Can you
imagine if in 1958 the Pentagon told U.S. Steel and General Motors to go buy their own Nike
missiles to protect themselves? That’s in effect what the Obama Administration is saying to
industry today.”
On this fundamental issue of whose job it is to defend America’s infrastructure in a cyber war,
the government and industry are talking past each other. As a result, no one is defending the
likely targets in a cyber war, at least not in the U.S. In other countries, some of whom might be
cyber war adversaries someday, the defense part of cyber war might be doing a little better than
it is here.
THE CYBER WAR GAP
We noted earlier that the U.S. may have the most sophisticated and complex cyber war
capability, followed soon thereafter by Russia. China and perhaps France are in a close second
tier, but over twenty nations have some capability, including Iran and North Korea. Whether or
not this ranking is accurate, it is widely believed by cyber warriors. So, one can almost imagine
the American geek fighters sitting around after work in some secure location drinking their Red
Bulls and chanting “U-S-A, U-S-A,” as at the Olympics, or “We’re Number One!” as at a high
school football game. (My high school was so nerdy we chanted “Sumus Primi!”) But are we
really number one? That obviously depends upon what criteria you employ.
In cyber offensive capability, the United States probably would rank first if you could develop
an appropriate contest. But there is more to cyber war than cyber offensive. There is also cyber
dependence, the degree to which a nation relies upon cyber-controlled systems. In a two-way
cyber war, that matters. As I discovered when I asked for a cyber war plan to go after
Afghanistan in 2001, there are sometimes no targets for cyber warriors. In a two-way cyber war,
that gives Afghanistan an advantage of sorts. If they had any offensive cyber capability (they didn
’t), the cyber war balance would have shifted in an interesting way. There is also the issue of
whether a nation can defend itself from cyber war. Obviously, Afghanistan can protect itself just
by being there and having no networks, but theoretically a nation may have networks and, unlike
us, be able to protect them. Cyber defense capability is also, therefore, a criterion: Can a nation
shut off its cyber connectivity to the rest of the world, or spot cyber attacks coming from inside
its geographical boundaries and stop them?
While the United States very likely possesses the most sophisticated offensive cyber war
capabilities, that offensive prowess cannot make up for the weaknesses in our defensive position.
As former Admiral McConnell has noted, “Because we are the most developed technologically
—we have the most bandwidth running through our society and are more dependent on that
Page 71
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
Convert pdf slides to powerpoint - C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
changing pdf to powerpoint; how to convert pdf to powerpoint on
Convert pdf slides to powerpoint - VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
and paste pdf to powerpoint; copying image from pdf to powerpoint
bandwidth—we are the most vulnerable.” We have connected more of our economy to the
Internet than any other nation. Of the eighteen civilian infrastructure sectors identified as critical
by the Department of Homeland Security, all have grown reliant on the Internet to carry out their
basic functions, and all are vulnerable to cyber attacks by nation-state actors. Contrast this with
China. While China has been developing its offensive cyber capability, it has also focused on
defense. The PLA’s cyber warriors are tasked with both offense and defense in cyberspace, and
unlike in the case of the U.S. military, when they say defense, they mean defense of the nation,
not just defense of the military’s networks. While I do not advocate an expanded role for the
Pentagon in protecting civilian systems in the U.S., there is no other agency or arm of the federal
government that has taken on that responsibility. In light of the eschewing of regulation that began
in the Clinton Administration and has continued through the Bush Administration and into the
Obama Administration, the private sector has not been required to improve security, nor has the
government stepped in to actively take on the role. In China, the networks that make up the
Chinese Internet infrastructure are all controlled by the government through direct ownership or
very close partnership with the private sector. There are no debates about the cost of security
when Chinese authorities demand new security measures. The networks are largely segmented
between government, academic, and commercial use. The Chinese government has both the
power and the means to disconnect China’s slice of the Internet from the rest of the world, which
it may very well do in the event of a conflict with the United States. The U.S. government has no
such authority or capability. In the U.S., the Federal Communications Commission has the legal
power to regulate but it largely chosen not to do that. In China, the government can set and
enforce standards, but it also goes many steps further.
The “Internet” in China is more like the internal network of a company, an intranet. The
government is the service provider and therefore in charge of the network’s defense. In China,
the government is actively defending the network. Not so in the United States. In the U.S., the
government’s role is at least one step removed. As mentioned briefly in chapter 2, China’s
much-discussed Internet censorship, including “the Great Firewall of China,” can also provide
security advantages. The technology that the Chinese use to screen e-mails for speech deemed
illegal can also provide the infrastructure to stop malware. China has also invested in developing
its own proprietary operating system that would not be susceptible to existing network attacks,
though technical problems have delayed its implementation. China launched and then temporarily
halted an effort to install software on all computers in China, software allegedly meant to keep
children from gaining access to pornography. The real intent, most experts believe, was to give
China control over every desktop in the country. (When word of the plan got out in the hacker
community, they quickly found vulnerabilities that could have given almost anyone control over
the system, and the Chinese promptly delayed the program.) These efforts show how seriously
the Chinese take their defense, as well as the direction their efforts are headed. China,
meanwhile, remains behind the United States in the automation of its critical systems. Its electric
power system, for example, relies on control systems that require a large degree of manual
control. This is an advantage in cyber war.
MEASURING CYBER WAR STRENGTH
It would be great if the only thing we had to take into account in measuring our cyber war
strength was one factor, our ability to attack other nations. If that were the only consideration, the
United States might do really well when compared to other nations. Unfortunately for us, a
realistic measurement of cyber war strength also needs to include an assessment of two other
factors: defense and dependence. “Defense” is a measure of a nation’s ability to take actions that
under attack, actions which will block or mitigate the attack. “Dependence” is the extent to which
a nation is wired, reliant upon networks and systems that could be vulnerable in the event of
cyber war attack.
To illustrate how these three factors (offense, defense, and dependence) interact, I have
Page 72
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
C# PowerPoint - How to Process PowerPoint
slides sorting library can help you a lot. Extract Slides from PowerPoint in C#.NET. Use C# sample code to extract single or several
convert pdf into ppt online; converter pdf to powerpoint
VB.NET PowerPoint: Read, Edit and Process PPTX File
split PowerPoint file, change the order of PPTX sildes and extract one or more slides from PowerPoint How to convert PowerPoint to PDF, render PowerPoint to
converting pdf to ppt online; pdf picture to powerpoint
created a chart. The chart assigns scores to several countries for each of the three factors.
Quibblers will argue with the overly simplistic methodology: I gave each of the three measures
equal weight and then added the three scores together to get an overall score for a nation. The
scores assigned to each nation are based on my assessment of their offense power, their
defensive capability, and the extent to which they are dependent on cyber systems. There is one
counterintuitive aspect to the chart: the less wired a nation is, the higher its score on the
dependence ranking. Being a wired nation is generally a good thing, but not when you are
measuring its ability to withstand cyber war.
OVERALL CYBER WAR STRENGTH
Nation: U.S.
Cyber Offense: 8
Cyber Dependence: 2
Cyber Defense: 1
Total: 11
Nation: Russia
Cyber Offense: 7
Cyber Dependence: 5
Cyber Defense: 4
Total: 16
Nation: China
Cyber Offense: 5
Cyber Dependence: 4
Cyber Defense: 6
Total: 15
Nation: Iran
Cyber Offense: 4
Cyber Dependence: 5
Cyber Defense: 3
Total: 12
Nation: North Korea
Cyber Offense: 2
Cyber Dependence: 9
Cyber Defense: 7
Total: 18
The results are revelatory. China has a high “defense” score, in part because it has plans and
capability to disconnect the entire nation’s networks from the rest of cyberspace. The U.S., by
contrast, has neither the plans nor the capability to do that because the cyber connections into the
U.S. are privately owned and operated. China can limit cyberspace utilization in a crisis by
disconnecting nonessential users. The U.S. cannot. North Korea gets a high score for both
“defense” and “lack of dependence.” North Korea can sever its limited connection to
cyberspace even more easily and effectively than China can. Moreover, North Korea has so few
systems dependent upon cyberspace that a major cyber war attack on North Korea would
cause almost no damage. Remember that cyber dependence is not about the percentage of
homes with broadband or the per capita number of smart phones; it’s about the extent to which
critical infrastructures (electric power, rails, pipelines, supply chains) are dependent upon
Page 73
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
VB.NET PowerPoint: Process & Manipulate PPT (.pptx) Slide(s)
add image to slide, extract slides and merge library SDK, this VB.NET PowerPoint processing control powerful & profession imaging controls, PDF document, image
pdf to powerpoint slide; convert pdf file into ppt
VB.NET PowerPoint: Sort and Reorder PowerPoint Slides by Using VB.
clip art or screenshot to PowerPoint document slide large amount of robust PPT slides/pages editing powerful & profession imaging controls, PDF document, image
change pdf to powerpoint; pdf page to powerpoint
networked systems and have no real backup.
When you think about “defense” capability and “lack of dependence” together, many nations
score far better than the U.S. Their ability to survive a cyber war, with lower costs, compared to
what would happen to the U.S., creates a “cyber war gap.” They can use cyber war against us
and do great damage, while at the same time they may be able to withstand a U.S. cyber war
response. The existence of that “cyber war gap” may tempt some nation to attack the United
States. Closing that gap should be the highest priority of U.S. cyber warriors. Improving our
offensive capability does not close the gap. It is impossible to reduce our dependence on
networked systems at this point. Hence, the only way we can close the gap, the only way we can
improve our overall Cyber War Strength score, is to improve our defenses. Let’s take a look at
how we might do that.
Page 74
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
VB.NET PowerPoint: Use PowerPoint SDK to Create, Load and Save PPT
Besides, users also can get the precise PowerPoint slides count as soon as the PowerPoint document has been loaded by using the page number getting method.
pdf conversion to powerpoint; adding pdf to powerpoint
VB.NET PowerPoint: Extract & Collect PPT Slide(s) Using VB Sample
want to combine these extracted slides into a please read this VB.NET PowerPoint slide processing powerful & profession imaging controls, PDF document, image
pdf to powerpoint converter; how to change pdf to powerpoint on
C
HAPTER
F
IVE
TOWARD A DEFENSIVE STRATEGY
M
ilitary theorists and statesmen, from Sun Tzu to von Clausewitz to Herman Kahn, have for centuries
defined and redefined military strategy in varying ways, but they tend to agree that it involves an
articulation of goals, means (broadly defined), limits (perhaps), and possibly sequencing. In short, military
strategy is an integrated theory about what we want do and how, in general, we plan to do it. In part
because Congress has required it, successive U.S. administrations have periodically published a National
Security Strategy and a National Military Strategy for all the world to read. Within the military, the U.S.
has many substrategies, such as a naval strategy, a counterinsurgency strategy, and a strategic nuclear
strategy. The U.S. government has also publicly published strategies for dealing with issues wherein the
military plays only a limited role, such as controlling illegal narcotics trafficking, countering terrorism, and
stopping the proliferation of weapons of mass destruction. Oh yes, there is also that National Strategy to
Secure Cyberspace dating back to 2003; but there is no publicly available cyber war strategy.
In the absence of a strategy for cyber war, we do not have an integrated theory about how to address
key issues. To prove that, let’s play Twenty Questions and see if there are agreed-upon answers to some
pretty obvious questions about how to conduct cyber war:
What do we do if we wake up one day and find the western half of the U.S.
without electrical power as the result of a cyber attack?
Is the advent of cyber war a good thing, or does it place us at a disadvantage?
Do we envision the use of cyber war weapons only in response to the use of
cyber war weapons against us?
Are cyber weapons something that we will employ routinely in both small and
large conflicts? Will we use them early in a conflict because they give us a
unique advantage in seeking our goals, such as maybe effecting a rapid end to
the conflict?
Do we think we want to have plans and capabilities to conduct “stand-alone”
cyber war against another nation? And will we fight in cyberspace even when
we’re not shooting at the other side in physical space?
Do we see cyberspace as another domain (like the sea, airspace, or outer
space) in which we must be militarily dominant and in which we will engage an
opponent while simultaneously conducting operations in other domains?
How surely do we have to identify who attacked us in cyberspace before we
respond? What standards will we use for these identifications?
Will we ever hide the fact that it was us who attacked with cyber weapons?
Should we be hacking into other nations’ networks in peacetime? If so, should
there be any constraints on what we would do in peacetime?
What do we do if we find that other nations have hacked into our networks in
peacetime? What if they left behind logic bombs in our infrastructure networks?
Do we intend to use cyber weapons primarily or initially against military targets
only? How do we define military targets?
Or do we see the utility of cyber weapons being their ability to inflict disruption
on the economic infrastructure or the society at large?
What is the importance of avoiding collateral damage with our cyber weapons?
How might avoiding it limit our use of the weapons?
If we are attacked with cyber weapons, under what circumstances would, or
should, we respond with kinetic weapons? How much of the answer to this
question should be publicly known in advance?
What kind of goals specific to the employment of cyber weapons would we
want to achieve if we conducted cyber war, either in conjunction with kinetic
Page 75
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
VB.NET PowerPoint: Merge and Split PowerPoint Document(s) with PPT
of the split PPT document will contain slides/pages 1-4 code in VB.NET to finish PowerPoint document splitting If you want to see more PDF processing functions
export pdf into powerpoint; converting pdf to powerpoint
VB.NET PowerPoint: Complete PowerPoint Document Conversion in VB.
It contains PowerPoint documentation features and all PPT slides. Control to render and convert target PowerPoint or document formats, such as PDF, BMP, TIFF
chart from pdf to powerpoint; change pdf to powerpoint online
war or as a stand-alone activity?
Should the line between peace and cyber war be brightly delineated, or is there
an advantage to us in blurring that distinction?
Would we fight cyber war in a coalition with other nations, helping to defend
their cyberspace and sharing our cyber weapons, tactics, and targets?
What level of command authority should authorize the use of cyber weapons,
select the weapons, and approve the targets?
Are there types of targets that we believe should not be attacked using cyber
weapons? Do we attack them anyway if similar U.S. facilities are hit first by
cyber or other weapons?
How do we signal our intentions with regard to cyber weapons in peacetime
and in crisis? Are there ways that we can use our possession of cyber weapons
to deter an opponent?
If an opponent is successful in launching a widespread, disabling attack on our
military or on our economic infrastructure, how does that affect our other
military and political strategies?
Didn’t do too well finding the answers anywhere in U.S. government documents,
congressional hearings, or officials’ speeches? I didn’t, either. To be fair, these are not easy
questions to answer, which is, no doubt, part of the reason they have not yet been knitted
together into a strategy. As with much else, how one answers these and other questions will
depend upon one’s experience and responsibilities, as well as the perspective that both create.
Any general would like to be able to flip a switch and turn off the opposing force, especially if the
same cannot be done to his forces in return. Modern generals know, however, that militaries are
one of many instruments of the state, and the ultimate success of a military is now judged not just
by what it does to the opponent, but by how well it protects and supports the rest of the state,
including its underpinning economy. Military leaders and diplomats have also learned from past
experiences that there is a fine line between prudent preparation to defend oneself and
provocative activities that may actually increase the probability of conflict. Thus, crafting a cyber
war strategy is not as obvious as simply embracing our newly discovered weapons, as the U.S.
military did with nuclear weapons following Hiroshima.
It took a decade and a half after nuclear weapons were first used before a complex strategy
for employing them, and, better yet, for not using them, was articulated and implemented. During
those first years of the nuclear weapons era, accidental war almost occurred several times. The
nuclear weapons strategy that eventually emerged reduced that risk significantly. Nuclear war
strategy will be referenced a lot in this and the next chapter. The big differences between cyber
war and nuclear war are obvious, but some of the concepts developed in the creation of nuclear
war strategy have applicability to this new field. Others do not. Nonetheless, we can learn
something about how a complex strategy for using new weapons can be developed by reviewing
what went on in the 1950s and 1960s. And, where appropriate, we can borrow and adapt some
of those concepts as we try to piece together a cyber war strategy.
THE ROLE OF DEFENSE IN OUR CYBER WAR STRATEGY
I asked at the beginning of this book: Are we better off in a world with cyber weapons and cyber
war than in a theoretical world in which they never existed? The discussion in the ensuing
chapters demonstrated, at least to me, that as things stand today the United States has gaping
new vulnerabilities because others have cyber war capabilities. Indeed, because of its greater
dependence on cyber-controlled systems and its inability thus far to create national cyber
defenses, the United States is currently far more vulnerable to cyber war than Russia or China.
The U.S. is more at risk from cyber war than are minor states like North Korea. We may even
be at risk some day from nations or nonstate actors lacking cyber war capabilities, but who can
hire teams of highly capable hackers.
Page 76
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
VB.NET PowerPoint: Convert & Render PPT into PDF Document
Using this VB.NET PowerPoint to PDF converting demo code below, you can easily convert all slides of source PowerPoint document into a multi-page PDF file.
convert pdf to editable ppt; convert pdf slides to powerpoint
VB.NET PowerPoint: Add Image to PowerPoint Document Slide/Page
insert or delete any certain PowerPoint slide without methods to reorder current PPT slides in both powerful & profession imaging controls, PDF document, tiff
convert pdf into ppt; how to convert pdf to powerpoint slides
Put aside for the moment the question of how it would start and consider a U.S.-Chinese
cyber war as an example. We might have better offensive cyber weapons than others, but the
fact that we might be able to turn off the Chinese air defense system will give most Americans
limited comfort if in some future crisis the cyber warriors of the People’s Liberation Army have
kept power off in most American cities for weeks, shut the financial markets by corrupting their
data, and created food and parts shortages nationwide by scrambling the routing systems at
major U.S. railroads. Although much of China is highly advanced, a lot of it is still far from
dependent upon networks controlled in cyberspace. The Chinese government may also have to
worry less about temporary inconveniences experienced by its citizens or the political
acceptability of measures it might impose in an emergency.
Net/net, cyber war puts America at a disadvantage right now. Whatever we can do to “them,”
chances are they can do more to us. We need to change that situation.
Unless we reduce our vulnerabilities to cyber attack, we will suffer from self-deterrence. Our
knowing about what others could do to us may create a situation in which we are reluctant to use
our superiority in other areas, like conventional weapons, in situations where it might be
warranted for us to get involved. Other nations’ cyber weapons may deter us from acting, not
just in cyberspace but in other ways as well. In future scenarios, like ones involving China and
Taiwan, or China and the offshore oil dispute, will an American President really still have the
option of sending carrier battle groups to prevent Chinese action? What President would order
the Navy into the Taiwan Straits, as Clinton did in 1996, if he or she thought that a power
blackout that had just hit Chicago was a signal and that blackouts could spread to every major
American city if we got involved? Or maybe the data difficulties the Chicago Mercantile
Exchange might have just experienced could happen to every major financial institution? Worse
yet, what if the Chairman of the Joint Chiefs tells the President that he does not really know
whether the Chinese can launch a damaging cyber attack that would leave the carrier battle group
sitting helpless in the water? Would the President run the risk of deploying our naval superiority if
trying to do so might only demonstrate that an opponent can shut down, blind, or confuse our
forces?
The fact that our vital systems are so vulnerable to cyber war also increases crisis instability.
As long as our economic and military systems are so obviously vulnerable to cyber war, they will
tempt opponents to attack in a period of tensions. Opponents may think that they have an
opportunity to reshape the political, economic, and military balance by demonstrating to the
world what they can do to America. They may believe that the threat of even greater damage will
appear credible and will prevent a U.S. response. Once they do launch a cyber attack, however,
the U.S. leadership may feel compelled to respond. That response might not be limited to
cyberspace, and the conflict could quickly escalate and get out of control.
These current circumstances argue for rapidly taking steps to reduce the strategic imbalance in
which the U.S. is disadvantaged by the advent of cyber war capabilities. The answer is not to just
add to our cyber offensive superiority. More U.S. cyber attack capability is unlikely to improve
the imbalance or end the potential crisis instability. Unlike in conventional war, a superior offense
cannot be certain to find and destroy all of the opponent’s offensive capability. The tools needed
to cripple the U.S. may already be in the U.S. They may not even have entered America through
cyberspace, where they might be discovered, but rather on CDs in diplomatic pouches, or in
USB thumb drives in businessmen’s briefcases.
What is needed to reduce the risk that a nation-state will threaten to use cyber weapons
against us in a crisis is for the U.S. to have a credible defense. We must cast so much doubt in
the mind of the potential attacker that an attack will work against our defenses that they are he
would be deterred from trying it. We want potential opponents to think that their cyber arrows
might just bounce off our shields. Or at least they should think that enough of our key systems are
sufficiently protected that the damage they can do to us will not be decisive. We are a long way
from there today.
Page 77
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
Defending the U.S. from cyber attacks should be the first goal of a cyber war strategy. After
all, the primary purpose of any U.S. national security strategy is the defense of the United States.
We do not develop weapons for the purpose of extending our hegemony over various domains
(the seas, outer space, cyberspace), but as a way to safeguard the nation. While that seems
simple enough, it gets complicated quickly because there are those who believe that the best way
in which to defend is to attack and destroy the opponent before they can inflict damage on us.
When General Robert Elder was commander of the Air Force Cyberspace Command he told
reporters that although his command has a defensive responsibility, it planned to disable an
opponent’s computer networks. “We want to go in and knock them out in the first round,” he
said. This is reminiscent of another Air Force general, Curtis LeMay, who in the 1950s, as
commander of Strategic Air Command, explained to RAND Corporation analysts that his
bombers would not be destroyed on the ground by a Soviet attack because “we’re going first.”
That kind of thinking is dangerous. If we do not have a credible defense strategy, we will be
forced to escalate in a cyber conflict very quickly. We will need to be more aggressive in getting
our adversary’s systems so that we can stop their attacks before they reach our undefended
systems. That will be destabilizing, forcing us to treat potential adversaries as current ones. We
will also need to take a stronger declaratory posture to try to deter attacks on our systems by
threatening to “go kinetic” in response to a cyber attack, and it will be more likely that our
adversaries will think they can call that bluff.
One reason that many U.S. cyber warriors think that the best defense is a good offense is their
perception of how difficult it would be to defend only by protecting. The military sees how
extensive the important targets are in America’s cyberspace and throws up its hands at the task
of defending them all. Besides, they note (conveniently) that the U.S. military does not have the
legal authority to defend privately owned and operated targets in the United States such as
banks, power companies, railroads, and airlines.
This argument is the same one the Bush Administration made about Homeland Security after
9/11: that it would be too expensive to defend the U.S. against terrorists at home, so we needed
to go to “the source.” That thinking has had us knee deep in two wars for the last decade at a
cost projected to reach $2.4 trillion, and has already cost over 5,000 American lives.
It’s axiomatic that there is no single measure (or, as many in the Pentagon like to say, in a nod
to the cowboy known as the Lone Ranger, no “silver bullet”) that could secure U.S. cyberspace.
There may, however, be a handful of steps that would protect enough of the key assets, or at
least throw doubt into the mind of a potential attacker, by making it very difficult to stage a
successful large-scale cyber assault on America.
Protecting every computer in the U.S. from cyber attack is hopeless, but it may be possible to
sufficiently harden the important networks that a nation-state attacker would target. We need to
harden them enough that no attack could disable our military’s ability to respond or severely
undermine our economy. Even if our defense is not perfect, these hardened networks may be
able to survive sufficiently, or bounce back quickly enough, so that the damage done by an attack
would not be crippling. If we can’t defend every major system, what do we protect? There are
three key components to U.S. cyberspace that must be defended, or, to borrow another phrase
from nuclear strategy, a “triad.”
THE DEFENSIVE TRIAD
Our Defensive Triad strategy would be a departure from what Clinton, Bush, and now Obama
have done. Clinton in his National Plan and Bush in his National Strategy both sought to have
every critical infrastructure defend itself from cyber attack. There were eventually eighteen
industries identified as critical infrastructures, ranging from electric power and banking to food
and retail. As previously noted, all three Presidents “eschewed regulation” as a means of reducing
cyber vulnerabilities. Little happened. Bush, in the last of his eight years in office, approved an
approach to cyber war that largely ignored the privately owned and operated infrastructures. It
Page 78
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
focused on defending government systems and on creating a military Cyber Command. Obama is
implementing the Bush plan, including the military command, with little or no modification to date.
The Defensive Triad Strategy would use federal regulation as a major tool to create cyber
security requirements, and it would, at least initially, focus defensive efforts on only three sectors.
First is the backbone. As noted in chapter 3, there are hundreds of Internet service provider
companies, but only a half dozen or so large ISPs provide what is called the backbone of the
Internet. They include AT&T, Verizon, Level 3, Qwest, and Sprint. These are the “trunks,” or
Tier 1 ISPs, meaning that they can connect directly to most other ISPs in the country. These are
the companies that own the “big pipes,” thousands of miles of fiber-optic cable running across the
country, into every corner of the nation, and hooking up with undersea fiber-optic cables to
connect to the world. Over 90 percent of Internet traffic in the U.S. moves on these Tier 1’s, and
it is usually impossible to get to anyplace in the U.S. without traversing one of these backbone
providers. So, if you protect the Tier 1’s, you are worrying about most of the Internet
infrastructure in the U.S. and also other parts of cyberspace.
To attack most private-sector and government networks, you generally have to connect to
them over the Internet and specifically, at some point, over the backbone. If you could catch the
attack entering the backbone, you could stop it before it got to the network it was going to
attack. If you did that, you would not have to worry as much about hardening tens of thousands
of potential targets for cyber attack. Think about it this way: if you knew someone from New
Jersey was going to drive a truck bomb into a building in Manhattan, you could defend every
important building on the island (have fun getting agreement on which ones those would be), or
you could inspect all trucks before they went on one of the fourteen bridges or into the four
tunnels that connect to the island.
Inspecting all the Internet traffic about to enter the backbone theoretically poses two significant
problems, one technical and one of policy. The technical problem is, simply, this: there is a lot of
traffic and no one wants you slowing it down to look for malware or attack scripts. The policy
problem is that no one wants you reading their e-mails or webpage requests.
The technical issue can be overcome with existing technology. As speeds increase, there could
be difficulty scanning without introducing delay if the scanning technology failed to keep pace.
Today, however, several companies have demonstrated hardware/software combinations that
can scan what moves on the Internet, the small packets of ones and zeros that combine to make
an e-mail or webpage. The scanning can be done so fast that it introduces no measurable delay in
the packets’ speeding down the fiber-optic line. And it is not just the “to” and “from” lines on the
packets, the so-called headers, that would be examined, but the data level, where the malware
would be. This capability is described as “deep-packet inspection,” and the speed is called “line
rate.” The absence of delay is called “no latency.” We can now do deep-packet inspection at a
line rate with no latency. So the technical hurdle has been met, at least for now.
The policy problem can also be solved. We do not want the government or even an ISP
reading our e-mails. The system of deep-packet inspection proposed here would be fully
automated. It would not be looking for keywords, but only at the payload to see if there are
predetermined patterns of ones and zeros that match up with known attack software. It’s looking
for signatures. If it finds an attack, it could just “black hole” the packets, dump them into cyber
oblivion, or it could quarantine them, put them aside for analysis. For Americans to be satisfied
that such a deep-packet inspection system were not Big Brother spying on us, it would have to
be run by the Tier 1 ISPs themselves and not by the government. Moreover, there would have to
be rigorous oversight by an active Privacy and Civil Liberties Protection Board to ensure that
neither the ISPs nor the government was illegally spying on us.
The idea of putting deep-packet inspection systems on the backbone does not create the risk
of government spying on us. That risk already exists. As we saw with the illegal wiretapping in the
Bush Administration, if the checks and balances in the system fail, the government can already
improperly monitor citizens. That is a major concern and needs to be prevented by real oversight
Page 79
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
mechanisms and tough punishment for those who break the law. Our nation’s strong belief in
privacy rights and civil liberties is not incompatible with what we need to do to defend our
cyberspace. Giving guns to police does raise the possibility that some policemen may get
involved in unjust shootings on rare occasions, but we recognize that we need armed police to
defend us and we work hard at making sure that unjust shootings are prevented. So, too, we can
deploy deep-packet inspection systems on Internet backbone ISPs, recognizing that we need
them there to protect us, and we have to make sure that they do not get misused.
How would such a system get deployed? The deep-packet inspection systems would be
placed where fiber-optic cables come up out of the ocean and enter the U.S., at “peering
points,” where the Tier 1 ISPs connect to each other and the smaller networks, and at various
other points on the Tier 1 networks. The government, perhaps Homeland Security, would
probably have to pay for the systems, even though they would be run by the ISPs and maybe
systems integrator companies. The signatures of the malware that the black box scanners would
look for would come from Internet security companies such as Symantec and McAfee, which
have elaborate global systems to look for malware. The ISPs and government agencies could
also provide signatures.
The black box inspectors would have to be connected to each other on a closed network,
what is called “out-of-band communications” (not on the Internet), so that they could be updated
quickly and reliably even if the Internet were experiencing difficulties. Imagine that a new piece of
attack software enters into cyberspace, one that no one has ever seen before. This “Zero Day”
malware begins to cause a problem by attacking some sites. The deep-packet inspection system
would be tied into Internet security companies, research centers, and government agencies that
are looking for Zero Day attacks. Within minutes of the malware being seen, its signature would
be flashed out to the scanners, which would start blocking it and would contain the attack.
A precursor to this kind of deep-packet inspection system is already being deployed. Verizon
and AT&T can, at some locations, scan for signatures that they have identified, but they have
been reluctant to “black hole” (or kill) malicious traffic because of the risk that they might be sued
by customers whose service is interrupted. The carriers would probably win any such suit
because their service-level agreements (SLAs) with their customers usually state that they have
the right to deny service if the customer’s activity is illegal or disruptive to the network.
Nonetheless, because of the typical abundance of caution from their lawyers, the companies are
doing less than they could to secure cyberspace. Legislation or regulation is probably needed to
clarify the issue.
The Department of Homeland Security’s “Einstein” system, discussed in chapter 4, has been
installed at some of the locations where government departments connect to the Tier 1 ISPs.
Einstein only monitors government networks. The Defense Department has a similar system at the
sixteen locations where the unclassified DoD intranet connects to the public Internet.
A more advanced system, with higher speed capacity, more memory and processing
capabilities, and out-of-band connectivity, could help to minimize or deter a large-scale cyber
attack if it were broadly deployed to protect not just the government, but the backbone on which
all networks rely. By defending the backbone in this way, we should be able to stop most attacks
against our key government and private-sector systems. The independent Federal
Communications Commission has the authority today to issue regulations requiring the Tier 1
ISPs to establish such a protective system. The Tier 1’s could pass along the costs to their
customers and to smaller ISPs that peer with them. Alternatively, Congress could appropriate
funds for some or all of the system. So far, the government is only beginning to move in this
direction, and then only to protect itself, not the private-sector networks on which our economy,
government, and national security rely.
ISPs should also be required to do more to keep our nation’s portion of the cyber ecosystem
clean. Ed Amoroso, the chief security officer at AT&T, told me that his security operations
center watches as computers that have been taken over by a botnet spew out DDOS and spam.
Page 80
ABC Amber ePub Converter Trial version, http://www.processtext.com/abcepub.html
Documents you may be interested
Documents you may be interested