美国《防务新闻》网站2月22日报道，美国国防预研计划局（DARPA）官员已经开始敦促国防部管理人员，采用闲置未使用的DARPA网络安全工具，以预防关键项目中的黑客攻击和事故。

DARPA信息创新办公室主任凯瑟琳·费舍尔表示，近年来发生的一系列备受瞩目的事件凸显了国防官员在面对所造成的损害时的一种消极态度。她说，该部门认为系统无法避免由软件漏洞引起的灾难性网络事件，因此经常将重点放在被动修复上。但本月早些时候，她在该机构位于弗吉尼亚州阿灵顿总部的演示日上表示，五角大楼的对策库中已经存在用于构建更具弹性软件的主动工具。攻击软件漏洞费舍尔说：“我们有许多关键任务系统都存在此类漏洞，我们学会的处理方式是，在它们受到攻击后，在我们了解到'好吧，这是一个糟糕的问题'之后，我们就会去修复它。我们在事后支付了数十亿美元来解决这些问题。”2017年，俄罗斯对乌克兰进行了一次网络攻击，使用了现在称为NotPetya的勒索病毒软件。虽然这次攻击针对的是乌克兰的电力基础设施，但它最终蔓延到国外，影响了整个欧洲的基础设施和企业，包括一家丹麦物流公司马士基。该公司负责全球约20%的集装箱运输。在7分钟内，这次攻击摧毁了该公司的5万台计算机，并几乎摧毁了跟踪其集装箱船的Active Directory系统。该公司估计损失约为3亿美元。七年后的2024年7月，安全公司CrowdStrike的错误软件，导致数百万台政府和私营部门计算机离线，延误了数千个商业航班，并取消了医疗程序，这是全球中断的一部分。中断很普遍，但根本原因被确定为事故，即通过例行更新传播的软件故障。像这样的事件（对抗性的或偶然的）近年来变得越来越普遍。根据费舍尔的说法，它们强调了关键基础设施中令人不安的软件漏洞。作为回应，美国防部和更广泛的美国政府在解决软件漏洞方面产生了一种“习得性无助”的感觉。“正式方法”在过去的10到15年里，DARPA已经证明，一种称为“正规方法”（formal methods）的软件设计方法，可以在编码错误或攻击利用这些漏洞之前解决这些漏洞。“正规方法”不是仅仅通过在编写后对其进行测试来验证软件代码的安全性，而是通过严格的数学分析来设计软件，在构建之前和构建时验证其性能。DARPA开发的一些工具已进入国防部“记录项目”，但采用率有限。现在，随着对军事武器系统网络安全的担忧日益增加，该机构正试图提高国防采购界对这些解决方案存在并可供使用的认识。“我们可以想象一个没有这些软件漏洞的世界，在那里我们可以消除整个国防部的'习得性无助感'，我们可以快速保护关键系统，以及我们可以创建一个可持续的'正规方法'工具生态系统，这些工具已经准备好了，供人们使用。”费舍尔说。DARPA演示一个展示“正规方法”效用的早期DARPA计划，是“高确保网络军事系统”（High-Assurance Cyber Military Systems，即HACMS计划）工作。该计划从2012年持续到2016年，并以两次演示告终。第一次使用小型四轴飞行无人机，然后在2017年使用波音的自主直升机“无人小鸟”（Unmanned Little Bird）。

柯林斯宇航公司首席研究员达伦·科弗表示，在第二次演示期间，一支由黑客组成的红队试图渗透到飞机中，但没有成功，柯林斯宇航公司的前身罗克韦尔·柯林斯公司是HACMS的承包商。“在HACMS中，我们展示了可以使用'正规方法'来消除真实飞机嵌入式系统中的重要安全漏洞。”科弗在DARPA演示日上说。此后，该机构还开展了其他几项努力，以提高国防部平台“正规方法”的可用性。其中一个名为SafeDocs的程序解决了解析器中的漏洞，解析器是将数据转换为可用格式的软件工具。另一项努力是Assured Micro Patching（或AMP）工作，它提供了一种无需源代码即可修复软件错误的方法，并确保修复本身不会造成更大的损害。这些工具都已以有限的能力过渡到国防部计划项目，DARPA还有其他几项正在进行的努力，旨在进一步改进“正规方法”。费舍尔指出，由于问题尚未完全解决，因此项目往往会推迟采用它。但DARPA认为，这些技术现在有可能得到更广泛的应用——既可以保护安装在旧平台上的现有国防部软件，也可以为未来的系统设计软件。“我们有很多技术已经为黄金时段做好准备，我们应该现在就开始过渡并使用这些技术，因为它将大大提高我们系统的安全性。”她说，“我们不能等到解决了整个问题后才使用我们现在拥有的技术。”传播信息美国防部采用这些工具的速度和范围取决于许多因素，包括各军种部内部的资金和优先次序。为了帮助传播信息并解决采用障碍，DARPA去年启动了“穹顶石”（Capstone）计划。通过与国防部负责研究和工程的副部长以及作战测试和鉴定主任合作，该机构正在与各军种合作，以确定可以从“正规方法”中受益的平台。DARPA正在提供一些配套资金来提供这些工具，据项目经理史蒂夫·库恩称，预计将在5月之前确定这些平台。一旦选择了Capstone计划，该机构将帮助识别和修复其中的软件漏洞，并收集经验教训，并将其汇编成所有计划都可以访问的最佳实践指南。库恩说，DARPA的希望是，该指南将帮助美国防部项目办公室了解弹性软件工具的应用情况，并提供帮助实施的资源。库恩说：“我们一直在着手的战略的一部分实际上是一项采用计划，将这些有弹性的软件工具引入我们的国防工业基础、我们的合作伙伴和军种本身。我们不会解决所有问题，但我们真的能获得将这些工具带给大众所需的条件吗？”