美国网络司令部计划向网络防御部队提供联合网络狩猎套件

美国网络司令部通过国防创新机构（DIU）已开始标准化防御网络团队执行任务所用的装备。

此项工作现在还将把网络保护团队使用的设备与网络国家任务部队（CNMF）执行的狩猎行动套件结合起来，网络国家任务部队是美国网络司令部的精英部队，其任务是保卫国家免遭重大数字威胁。“前出狩猎”行动的概念是在5年前提出的，包括应东道国的邀请，向外国实际派遣防御型网络保护团队，搜寻其网络上的威胁。

自美国网络司令部成立以来，尽管过去曾努力创建网络保护团队（寻找美国防部网络上的恶意活动并响应事件的团队），但从未有过标准化的防御性网络工具包。这些系统被称为可部署任务支持系统（DMSS），在所有军种中都有所不同。按照美国网络司令部部队的构建方式，每个军种都负责向该司令部提供一定数量的进攻和防御团队来执行行动。

这些 DMSS 套件是独立的系统，由硬件和软件组成，能够调查、保障和保护军事网络以及执行漏洞分析和事件响应。根据预算文件，上述套件的设计目的是在几乎没有通知的情况下被带到事件现场，连接到网络，以定位、遏制和击败试图或已经破坏国防部系统的恶意网络活动。

尽管设计目的是在美国防部信息网络上为防御团队提供相同的训练和设备，为进攻团队提供相同的训练，但各军种为各自的网络保护团队提供的DMSS系统略有不同，从而造成装备和部队的不一致以及互操作性问题。

美国防部最接近的一次是在几年前，要求各军种提供的所有DMSS套件中都包含一套基本工具。当前，美军正在努力标准化这些工作。

美国国防创新机构（DIU）4月29日发布的一份招标书旨在将 DMSS 套件与“前出狩猎”设备结合起来，在整个部队中创建一个单一的标准化防御性网络狩猎系统。

美国国防创新机构（DIU）表示，新的“联合网络狩猎套件”（JCHK）将是一个移动的“盒子里的安全运营中心（SOC）”。该套件必须能够由9人团队携带到世界任何地方，并且可以放入手提箱中，以便轻松航空旅行。

2025 财年预算文件指出，“与DMSS和‘前出狩猎行动’（HFO）套件一样，JCHK 将成为网络保护团队（CPT）任务单位使用的独立飞行功能，通过在蓝色、灰色和红色网络空间中执行狩猎、清除、启用强化和评估任务来保护军事网络和数据中心。由对手快速发展的进攻性网络战术、技术和程序驱动的CPT防御性网络空间行动的动态性质需要随着JCHK的发展而具有预算活动8的灵活性。能力的合并将促进训练、维护后勤和部队防护的标准化，并将促进基于规模经济的资源高效执行。”

为开展“前出狩猎”行动，美国国家网络保护团队前往其他国家并接入其网络。最引人注目的是俄乌战争爆发前在乌克兰开展的行动，两国政府都认为这些行动帮助乌克兰加强了抵御俄罗斯潜在网络攻击的能力。这些与网络保护团队在国防部网络上执行的任务不同。

新系统必须灵活才能执行独立操作，因为它通常会在不允许连接到互联网或将数据发送到异地进行分析的环境中运行。招标书称，这些工具包必须能够执行与发现高级持续威胁活动并分析其策略、技术和程序相关的所有活动。美国国防创新机构（DIU）多年来一直致力于装备美国网络司令部。此外，该司令部还于2022年授予了一份价值近6000万美元的合同，为“前出狩猎”行动提供设备。

美国网络司令部的最高采购主管在预览标准化DMSS套件的想法时指出，在竞争期间，各军种将有2年的时间来维护其单独的军种套件。

同时担任美国网络司令部网络采购和技术部门（J9）主管的阮奎（Khoi Nguyen）在 1 月份的一次会议上表示，“我们将提出一个需求建议书和一种通用套件的承包方式，至少在硬件级别，然后是一些软件层，通用软件，这将在所有军种中通用。然后可以在此基础上添加军种的独特需求。”

当时，阮奎表示该司令部希望业界提供反馈，共同努力提供最好的系统。他称，“我们的目标是让这个行业日得以实现，然后我们希望进行积极的原型设计。我们可能会再授予2到3个原型设计合同，给团队一些时间来进行原型设计，然后交付硬件。然后我们和部队有3个月的时间来尝试它。然后我们将选出获胜者。我的目的是，就像真正进行竞争一样，允许竞争，这就是为什么我们要给……新供应商或新供应商团队足够的时间来构建新套件，而不是原型期非常小，现任者获胜的机会更高。这就是目标。我们将把它以需求建议书或信息邀请书的形式提出。请回来告诉我们我是否不切实际或其他什么。我们需要知道这一点。但我们的目标是尽可能为用户提供最好的套件。”

根据 2025 财年预算文件，美国网络司令部和DIU将依靠其他交易机构授予原型协议，以支持JCHK原型的快速开发，目标是在2026财年初将网络保护团队（CPT）过渡到新系统。

附：联合网络狩猎套件招标书

联合网络狩猎套件（JCHK）项目介绍

美国防部在国防部和国际或国内合作伙伴网络上开展狩猎行动，以发现高级持续威胁（APT），并分析其策略、技术和程序（TTP）。这些狩猎行动需要下一代可部署的联合网络狩猎套件（JCHK），该套件具有尖端的商业现成（COTS）和免费开源软件（FOSS）功能。

理想的 JCHK 解决方案最好被描述为一个可移动的“盒子里的安全运营中心（SOC）”，可以由9人团队运输到世界任何地方。该狩猎套件必须能够独立运行，因为它通常会在不允许连接到互联网且不允许将数据发送到异地进行分析的环境中运行。该狩猎套件还必须能够在不需要合作伙伴的本地基础设施提供额外的处理或存储资源下执行所有狩猎操作活动。此外，该狩猎套件必须能够作为随身行李携带，满足国际商业航空公司的重量和尺寸限制，并且与发展中国家有限的瓦数和条件较差的电源兼容。除所描述的“盒装 SOC”功能外，JCHK 还应是一个模块化系统，随着未来需求的实现，允许使用额外的处理器、存储、软件和功能包。

主要狩猎活动包括：确定放置网络传感器的最佳位置；确定通往敏感信息的所有可能路径；使用网络流量文件验证和扩充网络地图；扫描网络中的软件、固件和配置漏洞；确定可能的攻击载体及其可能性；分析PCAP文件以确定正常行为模式；确定异常行为的原因；发现APT用于访问网络的TTP；发现APT用于在网络内移动的TTP；发现APT在网络中准备的基础设施；发现APT用于基础设施命令与控制（C&C）的TTP；发现并分析APT用于攻击目标的TTP；发现APT用于窃取数据或拒绝网络内关键服务的TTP；发现APT用于保护其基础设施或活动免遭网络防御检测或削弱的TTP；确定网络防御者可以用来阻止、破坏和击败APT活动的TTP。

该狩猎套件需要能够执行与发现APT活动和分析其TTP相关的所有活动。这包括扩展检测和响应（XDR）应用中通常包含的所有功能，包括端点检测和响应（EDR）以及网络检测和响应（NDR）功能。它还包括案例管理和工作流管理应用程序中通常包含的许多功能，包括在团队调查问题、凑集TTP、编写报告以及与领导层和其他利益相关者沟通时管理整个团队的所有狩猎活动。当团队执行任务时，该狩猎套件还提供团队的所有信息技术（IT）资源，包括用于通信和制定报告的桌面IT资源。

最后，虽然有一些与该狩猎套件在美国防部网络上运行的能力相关的安全相关要求，例如《美国贸易协定法（TAA）》合规性，但美国防部还希望该狩猎套件的组件没有国际武器贩运（ITAR）或出口管理条例（EAR）出口限制，以便与美国合作狩猎的外国政府可以根据需要采购相同的狩猎套件。

供应商必须能够在收到其他交易（OT）授予后的4个月内完成用于政府测试的原型狩猎套件。

在本次采购的原型阶段，供应商将提供完全集成的硬件/软件解决方案，配置软件以最好地利用硬件资源，并集成软件以改进工作流程、数据流和用户体验（UX）。软件集成和改进的要求不会由政府指定，而是由供应商选择作为其战略的一部分。该政府的狩猎套件目前混合使用商业现成（COTS）软件和免费开源软件（FOSS），政府将在此次采购的原型阶段评估替代软件负载。然而，在此次采购的任何后续生产阶段，如果没有投标引人注目的软件解决方案，政府可能会选择仅采购硬件、软件集成和维护服务。

供应商的安装脚本或映像需要与联合网络战架构 （JCWA）软件配置解决方案（JSPS）兼容，该解决方案使用基础设施即代码（IaC）技术。IaC被定义为任何自动化的软件配置/软件部署机制，不需要具有管理权限的人员参与，并且可以存储在存储库中。这包括Ansible部署脚本、VMware部署脚本、Kubernetes部署脚本和类似技术。为原型设计工作的目的，供应商可以使用其想要的任何方法将软件配置到其硬件上。请注意，如果供应商在原型设计阶段展示的供应解决方案具有足够的优点，并且符合政府的最佳利益，则有可能将其添加到JSPS权衡研究中。

如果政府确定原型项目成功完成并决定授予生产其他交易（OT）或合同，则可能适用以下规定：

• 美国网络司令部和军种网络部门 （SCC），包括陆军网络司令部（ARCYBER）、舰队网络司令部/第十舰队（FCC/10F）、空军网络司令部/第16航空队（AFCYBER）、海军陆战队网络空间司令部（MARFORCYBER）和海岸警卫队网络司令部（CGCYBER）可以在无限期交付、无限定数量（IDIQ）的基础上采购狩猎套件。

• 最终数量未知，但出于设计和生产可行性分析的目的，应假设每年大约100个狩猎套件，并能够扩展到每年约250个狩猎套件，在整个套件的生命周期中根据需要升级关键技术，每3至5年更换一次整个系统，并能够在2至4周内根据需要库存或采购零件来维修和翻新系统。

• 政府将购买软件许可证并将其作为政府提供的设备（GFE）提供给供应商。政府也可能会提供少量政府现成（GOTS）应用程序作为GFE。供应商将负责集成和维护所有软件。然而，政府将拥有所有许可证，控制许可证的分配/优先级，并承担所有软件最终用户许可协议（EULA）执行风险。

美国防部的要求分为5个部分：最低硬件要求、可选硬件首选项、最低软件要求、可选软件首选项和供应商支持要求。政府可能会在未来阶段进一步完善或详细说明任何规范。

1、最低硬件要求

硬件解决方案必须是：

• 可在堆叠的运输箱内展开；并且可以以架顶或机架安装的方式进行部署，而不会因电磁干扰或信号串扰而出现任何性能下降。

• 可在 100 VAC 至 240 VAC、50 至 60 Hz 的国际电源上运行。

• 能够在炎热的室内温度、较差的电源、频繁的停电和偶尔的电涌下运行。

• 能够轻松地放大或缩小到所搜索网络的规模，并且能够连接到待定义（TBD）的功能扩展包，从而将美国防部的搜索能力扩展到以下领域：如工业控制系统 （ICS）/监控和数据采集（SCADA）系统、物联网（IOT）、无线和云，或通过人工智能/机器学习（AI/ML）、存储或带外（OOB）通信解决方案扩展JCHK的功能。作为单独定价的选项，JCHK原型和生产时间表内可用的商业现成（COTS）功能扩展包的提案可以与JCHK提案一起提交。能力包设备不属于9人运输限制的一部分，但国际航班上的随身运输仍然需要。

• 拥有在至少3个“狩猎站点”中挖掘和处理所有PCAP、日志和元数据所需的所有设备，每个站点都有1x10 Gbps全双工摄取线路或2x1 Gbps全双工摄取线路。该狩猎套件必须能够作为独立系统以完全饱和的数据速率全天时处理该数据，而无需利用分流网络设备上的SPAN端口。 

• 拥有使至少9名主机分析员和/或网络分析员能够在“分析员站点”执行狩猎活动所需的所有设备。该设备必须包括屏幕尺寸约为17英寸的笔记本电脑；RJ45、HDMI、USB-A和USB-C连接端口。存在的任何无线通信、记录或摄像功能必须能够通过硬件禁用，并且不能通过软件或网络通信启用。

• 拥有通过白名单互联网协议（IP）地址和虚拟专用网络（VPN）加密通信连接所有3个狩猎站点和分析站点所需的所有设备。连接还必须能够支持使用带外（OOB）通道对所有网络分流器和防火墙进行远程管理；并且必须能够连接到分析站点的另一个接入层交换机。设备必须能够同时满足所有这3个条件。 

• 拥有对驱动器和内存执行数字取证分析所需的所有设备，包括克隆驱动器和内存所需的设备以及防止回写所需的设备。

• 能够使用所有常见的虚拟专用网络（VPN）协议，包括互联网协议安全（IPsec）、OpenVPN和WireGuard。

• 网络分流器必须是无源和再生式的，以免干扰所连接网络的正常运行，并且仅使用板载电池即可运行至少1小时。

• 拥有传感器、服务器和笔记本电脑，允许将所有美国防部标准狩猎软件负载集应用程序安装在具有原始设备制造商（OEM）推荐资源的虚拟机（VM）上，传感器、服务器和笔记本电脑级别的处理器利用率不超过75%，内存利用率不超过75%，存储利用率不超过50%。出于调整目的，假设美国防部标准狩猎软件负载集可以是基于Splunk或Elastic的负载集，总共大约有25个应用程序。

• 能够在每台服务器上存储从至少3x10 Gbps全双工线路收集的至少7天的PCAP以及90天的日志和元数据。

• 支持独立磁盘冗余阵列（RAID）1、5、6或10；使用RAID 1管理操作系统数据；如果发生站点电源故障，至少1小时内不会丢失排队的任务数据。

• 拥有允许该狩猎套件使用铜线、多模光纤或单模光纤传输线连接到站点网络的所有设备。

• 在可行的情况下，在构成该狩猎套件的所有独立组件间使用带有RJ45连接器的铜缆布线，以便在现场轻松创建自定义长度的电缆。如果这不可行，该狩猎套件必须包括制作定制电缆长度所需的拼接工具。

• 具有聚合来自所有网络分流器的所有数据的功能，使其可供任何传感器或服务器进行分析。不需要数据包代理中通常包含的负载平衡功能。

• 拥有网络分流器和防火墙，但没有任何类型的带内管理功能或将其关闭的能力。

• 所有运输箱和独立狩猎套件组件都应能够通过临时检查发现物理篡改的方式进行固定。美国防部至少要求所有运输箱和独立组件在运输和操作过程中都能够使用扎带和/或2.5英寸x9英寸防篡改胶带轻松固定。具有相同或更好的篡改检测能力的替代解决方案是可以接受的。

• 对于涉及处理任务、网络或安全数据的所有驱动器，仅拥有符合最新版本的联邦信息处理标准（FIPS）规范140（安全级别2或更高）的自加密驱动器（SED）。

• 对于涉及处理任务、网络或安全数据的每个独立程序集，拥有一个已通过国家信息保障合作伙伴关系（NIAP）认证的带有密码模块的可信平台模块（TPM）。

• 拥有在《美国贸易协定法（TAA）》成员国中生产的涉及处理任务、网络或安全数据的所有电子组件。

• 仅拥有可作为商业现成（COTS）商品购买的独立组件，对于《美国贸易协定法（TAA）》指定国家/地区没有任何国际武器贩运（ITAR）或出口管理条例（EAR）出口限制。

• 具有极高的可靠性、高水平的可修复性以及良好的零件可用性。

• 为所有设备配备轮式旅行箱，使得6英尺高的人员在拖着箱子时舒适地行走，并在鹅卵石街道上轻松滚动；笔记本电脑除外，笔记本电脑可能配有可放在飞机座位下的背包式旅行箱。

• 具有一个工具包，其中包含执行以下操作所需的所有工具：删除处理任务、网络或安全数据的所有驱动器；配置狩猎套件以适应旅行或不同的部署选项（机架顶部、机架安装、箱装）；以及在现场维护或进行维修和/或部件更换。 

2、可选硬件首选项

最优选的硬件解决方案是：

• 将最大的吞吐速度、处理能力和存储容量融入到一个外形尺寸中，可供9名人员在标准国际航班上作为随身行李运输。

• 对于存储任务、网络或安全数据的所有驱动器：仅具有无需工具即可轻松拆卸的驱动器。

• 能够根据美国国家标准与技术研究所（NIST）特别出版物（SP）800-88 使用 ATA、SCSI、NVMe、TCG Opal或TCG Enterprise加密擦除命令清除非易失性存储器（NVM）；或者能够使用常用存储卡轻松替换不可清除的NVM。

• 能够在部署时自动检测篡改，并向网络防御者发出警报。

• 能够自动检测运输过程中的篡改，并使用无线技术向网络防御者发出警报，这些技术可以在部署前轻松删除，并在任务结束时轻松更换以进行运输。

• 能够将所有小型可插拔（SFP）收发器替换为符合多源协议（MSA）的SFP，而不会丢失任何功能。

• 需要最少数量的备件和维修工具来确保95%的现场可用性水平。

• 当狩猎套件装满时，笔记本电脑背包中至少有50%

• 具有硬边旅行箱，可以稳定地堆叠在宽面上，防止翻倒。

3、最低软件要求

软件解决方案必须是： 

• 能够从Splunk安全信息和事件管理（SIEM）软件和转发器获取数据，并将数据提供给Splunk SIEM。

• 能够从Elastic SIEM 和转发器获取数据，并将数据提供给Elastic SIEM。

• 具有主动（即：通过网络监控/日志分析工具可检测到的询问或扫描技术）检测网络漏洞、已知恶意软件和入侵迹象的能力。

• 能够关联网络地图、配置数据、漏洞扫描和敏感信息位置，并确定可能的攻击路径以及攻击者如何确定它们的优先级。

• 能够自动从网络设备和主机获取NetFlow、日志和元数据数据，并通过良好的检测和低误报率来确定正常与异常。

• 能够自动提取各种数据源中的网络威胁情报（CTI） 和失陷指标（IOC），并将其纳入漏洞、威胁和攻击分析中。

• 能够处理分布在一组传感器上的分析。

• 能够自动链接、关联、比较、时间线显示、趋势显示和展现来自网络设备和主机的NetFlow、日志和元数据数据，从而非常有效地分析攻击者TTP。

• 能够协调整个狩猎团队的事件分析数据和活动，允许团队成员使用电话会议和多用户可编辑文件进行协作分析。

• 能够使用结构化查询语言（SQL）或类似语言查询任何狩猎应用程序中的任何数据，或编写在任何狩猎应用程序中产生操作的触发器。

• 能够跨狩猎应用程序自动化工作流程和数据流，或者仅使用狩猎应用程序的应用程序编程接口（API）调用查询或触发器。

• 能够创建结合2级和3级拓扑图子集的自定义网络拓扑图，并将攻击者TTP的证据合并为SIEM数据的注释和链接。

• 出于测试目的，能够轻松创建虚拟化环境，该环境是在合作伙伴站点分析的IT环境的数字孪生。

• 能够根据任何常见哈希类型的已知哈希自动验证文件。

• 能够检测文件、二进制文件和可寻址内存中的恶意软件，检测水平高，误报率低。

• 能够执行恶意软件分析活动，包括识别、分类、静态分析、动态分析和逆向工程，所有这些活动都在沙盒环境中执行。

• 能够执行网络威胁模拟（CTE）活动，包括探测、渗透、扭转、规避和协调攻击，这些活动可以打包以模拟特定APT的TTP。

• 能够将狩猎应用程序中的数据、分析、注释、仪表板、表格、图表或图形的链接插入到Microsoft (MS) Word、MS Excel、MS PowerPoint、MS Visio或Adobe PDF文档中。

• 无需连接到外部互联网即可运行。

• 能够在Linux、VMware或Docker/Kubernetes环境中运行。

• 能够仅使用狩猎套件中的处理和存储资源来运行。

• 能够快速、轻松地进行配置，以满足在美国防部网络上运行的所有适用于软件的安全控制要求。

• 拥有一种许可模式，允许政府每年为每个狩猎套件许可证支付固定费用，并允许使用狩猎套件在设备和数据流数量未知的网络上开展狩猎。

4、可选软件首选项

最受青睐的软件解决方案是：

• 能够检测不可寻址内存、固件和集成电路（IC）中的恶意软件，检测水平高，误报率低。

• 能够被动（即：不执行任何传出通信）检测网络漏洞、已知恶意软件和入侵迹象。

• 具有自动化或向导/工作辅助功能，允许初级分析师像中级分析师一样彻底地执行恶意软件分析活动。 

• 具有自动化或向导/工作辅助功能，允许初级分析师像中级分析师一样彻底地执行网络威胁模拟（CTE）活动。

• 能够从安全信息和事件管理（SIEM）中搜索恶意软件和网络威胁模拟（CTE）分析中的信息，并将恶意软件和网络威胁模拟（CTE）分析中的信息集成到网络地图中。

5、供应商支持要求

美国防部要求狩猎套件供应商满足以下条件：

• 有能力仅使用1986年《美国移民改革和控制法案 （IRCA）》修订版所定义的美国人人员以及仅使用位于美国的设施、IT 设备和人员来支持原型和生产合同。

• 有能力在所需的时间内交付所需数量的狩猎套件，并具有高水平的质量保证，并且成本、进度和狩猎套件性能风险较低。

• 能够在快节奏的用户驱动的DevSecOps环境中提供软件集成、配置和优化服务，包括开发数据流脚本和插件以及生产力增强工具。

• 能够在硬件配置、软件配置、搜索软件使用、站点集成故障排除和数据流故障排除等领域提供全天时帮助台支持。

• 有能力提供系统翻新服务，包括符合美国国家标准与技术研究所（NIST）特别出版物（SP）800-88的非易失性存储器（NVM）清理、硬件维修、升级和性能测试。

• 有能力为位于美国各地的硬件组件提供系统物流服务和库存管理。

• 有能力在部署技术规划、硬件/软件系统优化、软件套件改进以及故障/根本原因分析等领域提供系统工程支持。

• 有能力提供获得操作授权（ATO）将系统连接到国防部网络（包括机密网络）所需的安全工程和系统文档，并支持特定于站点的安全查询。

• 具有开发培训材料的能力，包括：硬件配置和管理手册、软件配置和管理手册以及基于活动的软件使用视频。

各公司请注意，根据本次招标授予的任何原型其他交易（OT）协议可能会导致直接授予后续生产合同或协议，而无需使用进一步的竞争程序。原型的成功完成将带来后续的生产活动。

后续生产合同或协议将可供美国防部内的一个或多个组织使用。因此，后续生产合同或协议的规模可能明显大于原型OT协议的规模。