مجلس نمایندگان در نسخهٔ جدید بودجهٔ دفاعی ۲۰۲۶ از پنتاگون خواسته یک گزارش آماده کند: چگونه می‌توان به هکرهای دولتی که زیرساخت‌های دفاعی را هدف می‌گیرند، هزینه تحمیل کرد تا دست از حمله بردارند.

مطالعه باید تا اول دسامبر ۲۰۲۶ تحویل شود و مسئولان اصلی‌اش معاون وزیر دفاع در سیاست‌گذاری و رئیس ستاد مشترک هستند. آن‌ها باید روش‌هایی را بررسی کنند که شامل عملیات سایبری تهاجمی به‌تنهایی یا ترکیب آن با ابزارهای غیراسایبری می‌شود، و مشخص کنند کدام اقدامات می‌تواند نتیجهٔ واقعی در تغییر رفتار دشمن داشته باشد.

این دستور کار دقیق است: پنتاگون باید توانایی‌ها و نیت دشمن را ارزیابی، اهداف کلیدی را اولویت‌بندی، فهرست قابلیت‌های دفاعی را آماده و با سایر نهادها و متحدان هماهنگ کند. همچنین باید بررسی شود چه اختیارات قانونی برای پاسخ‌های هدف‌دار وجود دارد.

یک ایدهٔ مهم که در متن مطرح شده، «تحمیل هزینه» با استفاده از ابزارهایی شبیه اثباتِ کار است؛ یعنی به مهاجم سختی و هزینهٔ بیشتری تحمیل کنیم تا حمله‌کردن برایش مقرون‌به‌صرفه نباشد. این ایده در بحث‌های امنیتی با عنوان SoftWar مطرح شده و حتی پیشنهاد شده در نقاط حساس شبکه از معماهای محاسباتی یا اعتبارسنجیِ هزینه‌دار استفاده شود تا تلاشِ مهاجم گران تمام شود.

اخبار اخیر دربارهٔ بدافزار BRICKSTORM نشان می‌دهد عاملان دولتی می‌توانند ماه‌ها یا بیشتر در سامانه‌های کلیدی مانند VMware پنهان بمانند. بخش ۱۵۴۳ می‌خواهد راه‌هایی طراحی کند که چنین پیش‌موقعیت‌یابی‌هایی هزینه‌زا شود — از جمله ترکیب حملات سایبری تهاجمی، افشای عمومی و تحریم‌های هماهنگ.

برای پیگیریِ اثرگذاری، متن پیشنهاد چند شاخص اندازه‌گیری کرده: هزینهٔ افزایشی مهاجم برای هر هزار اقدام محافظت‌شده، نیمه‌عمر ماندگاریِ نفوذ پس از اعلام عمومی، و میزان استفادهٔ رسمی از زبان «تحمیل هزینه» در اسناد دولتی. این شاخص‌ها کمک می‌کنند بفهمیم آیا اقدامات واقعاً مهاجم را خارج می‌کنند یا فقط نمودارها را تغییر می‌دهند.

در عمل، اقدامات پیشنهادی می‌تواند شامل پیاده‌سازی مهرهای اثباتِ کار تطبیقی روی رابط‌های حساس، قیمت‌گذاری دسترسی‌های گروهی API، و استفاده از مکانیسم‌هایی باشد که اتوماسیون مهاجم را به مصرف منابع واقعی و قابل‌سنجش وادار کند. هدف این است که اتوماسیونِ ارزان از مزیت خارج شود و دفاعِ اقتصادی علیه حملات شکل بگیرد.