美国防部发布指令明确军事网络红队三项主要职责

美国防部首席信息官办公室于1月11日发布《美国防部第8585.01指示：国防部网络红队》文件，建立了五角大楼网络评估计划，并弥补了之前发现的评估和暴露内部网络漏洞的国防部网络红队（DCRT）治理中存在的漏洞。

该指示文件涉及“DCRT活动的治理、优先级排序、运作、去冲突和报告”，并概述了各个机构和官员在监督网络红队的工作和风险缓解活动方面的职责。

新指示文件旨在“解决现有指南中的缺陷”，这些缺陷是在美国防部监察长办公室先前在2020年3月进行的审计以及根据《2020财年国防授权法》授权对DCRT的能力、容量、需求和未来要求的评估中发现的。

该文件称，除非另有通知，作为国防部防御性网络空间部队的一部分，DCRT必须发挥三种独特的作用，包括对采购进行“对抗性网络测试”、评估“实时运行网络”以及充当假想敌部队侵略者“开展演习，模拟并在可能的情况下复制特定关键网络威胁行为者的能力以及策略、技术和程序（TTP）。”

文件内容摘译如下：

美国防部第8585.01指示：国防部网络红队

本发布适用于：

1、美国防部部长办公室（OSA）、军事部门（任何时候都包括海岸警卫队，包括经与国土安全部达成协议而成为该部的一个部门时）、参谋长联席会议主席办公室和联合参谋部、各作战司令部（CCMD）、国防部监察长办公室、国防部机构、国防部外勤机构以及国防部内的所有其他组织实体（在本发布中统称为“国防部组成部分”）。

2、美国防部网络红队（DCRT）的操作和活动经美国家安全局（NSA）认证并经美国网络司令部(USCYBERCOM)认可，可在国防部信息网络（DoDIN）上开展网络操作，以支持并经以下授权：

（1）适当的美国防部组成机构；

（2）DoDIN作战区域（DAO）指挥官；

（3）DAO主管；或者

（4）根据美国防部第8510.01指示为相关网络地形指派的组成机构授权官员(AO)。

1、美国防部网络评估团队（DCAT）在专门环境中开展网络合作性、对抗性评估，以确定国防部在竞争激烈和拥挤不堪的网络空间中开展行动时面临的网络风险。

（1）DCAT是一个以网络为中心的人员（军事人员、文职人员或合同制人员）团体，被组织和授权来支持与DoDIN网络态势密切相关的各种角色。DCAT可以执行支持培训、评估、测试、检查和其他网络风险确定的操作。

（2）DCAT操作须经组成机构指定的授权官员授权才能访问特定事件的网络和系统。

2、DCRT是DCAT的一种特殊类型。DCRT将遵循本发布、美国防部第8500.01指示、美国防部第8530.01指示、美国防部第8531.01指示和美国防部第8530.01手册中的指导，以：

（1）解决DCRT活动的治理、优先级排序、运作、去冲突和报告问题。

（2）解决现有指南中确定的差距：

（a）《美国防部监察长2020-067审计报告》。

（b）根据《2020财年国防授权法》第1660条向美国国会提交的关于DCRT能力、数量、需求和要求联合评估的报告。

3、资助一个或多个DCRT的美国防部组成机构将指定一名官员负责实施这一发布。上述组成部分的DCRT协调将按照美国网络司令部基本规则（SGR）和本发布第三部分中的规定进行。

（略译：涉及美国防部首席信息官、美国防信息系统局局长、负责研究和工程的美国防部副部长、负责采购和维持的国防部副部长、负责政策的美国防部副部长、负责人事和战备的美国防部副部长、负责情报和安全的美国防部副部长、美国防情报局局长、美国国家安全局局长/中央安全局局长、美国国防部作战测试和评估主任、美军各军种部长、美国海岸警卫队指挥官、拥有DCRT的美国国防机构和国防部外勤机构主官、美军参谋长联席会议主席、美军作战指挥官）

1、DCRT是一种特殊类型的DCAT，为美国防部执行大量网络任务。DCRT操作须经组成部分指定的授权官员授权才能访问特定事件的飞地和系统。

2、DCRT是一个由多学科人员（军事人员、文职人员或合同制人员）组成的团队，其被组织和授权的目的是：

（1）模拟潜在对手针对目标任务或能力的利用或攻击能力。

（2）突出脆弱性并展示对改善网络空间联合作战和国防部信息网络网络安全态势的作战影响。

3、DCRT被授权在履行以下角色时跨DoDIN边界开展网络操作：

（1）采购测试员

（2）操作漏洞评估员

（3）网络假想敌（OPFOR）侵略者。

4、DCRT可以支持网络、系统或资源的运行和开发测试，以查找内部或外部行为者可能利用来影响国防部信息或系统机密性、完整性和可用性的漏洞。

5、DCRT操作涉及所有数据格式，包括互联网协议和其他数据格式，以及专门技术和能力（例如射频、控制系统、跨域解决方案、武器系统、非互联网协议数据格式和数据链路）。

作为美国防部防御性网络空间部队的一部分，DCRT必须履行三个独特的角色（除非被国防部首席信息官放弃）。

1、采购测试员

（1）DCRT与操作测试机构、开发测试组织或项目管理办公室（PMO）协调，利用已识别的漏洞和其他弱点，对系统、服务或飞地进行对抗性网络测试，或者通过系统、服务或飞地进行对抗性网络测试。

（2）在参与时，DCRT行动可以公开进行并与系统或任务所有者合作。基于威胁的能力和严格的方法用于评估具有操作代表性的威胁环境中的采购系统、飞地和网络。这些通过识别和利用采办测试中系统中的漏洞来产生操作效果。

2、操作漏洞评估员

（1）DCRT对实时运行网络进行评估，以支持任务评估或支持测试组织或PMO的特定采购测试。

（2）DCRT在模仿对手时发挥这一作用，评估运行网络、系统和网络安全服务提供机构的保护态势。当参与时，只有受信任的代理才了解正在执行的具体DCRT操作。

3、网络假想敌（OPFOR）侵略者

（1）DCRTS在与演习控制单位密切合作的网络上操作，并在演习既定的交战规则（ROE）范围内，按照适合训练受众和目标的节奏开展操作。

（2）侵略者充当演习的网络假想敌（OPFOR），模拟并在可能的情况下复制特定关键网络威胁行为者的能力和策略、技术和程序（TTP）。必要时，侵略者将根据演习控制单位的授权施加任务效果，以拒止、破坏或削弱操作。网络假想敌（OPFOR）根据需要向部队提供绩效反馈，以最大限度地提高训练效果。

1、当DCRT服务不与网络任务部队（CMF）重叠时（例如，用于测试和评估或其他离散事件），客户可以直接与DCRT进行安排。

2、当DCRT服务可能与CMF重叠时，美国防部客户应根据美国网络司令部一般行政信息22-0120向美国网络司令部提出支持请求，以消除DCRT和CMF任务的冲突。联合部队总部-国防部信息网络（JFHQ-DoDIN）将负责由美国网络司令部部队管理办公室提供采购解决方案。

3、DCRT将雇用值得信赖的代理来协助DCRT活动的高级规划、协调或评估。

1、DCRT将遵守联合部队总部-国防部信息网络（JFHQ-DoDIN）操作命令8600附件R附录4中概述的报告要求，以提供评估、攻击、检查和测试（A2IT）操作、活动和行动（OAA）态势感知，并消除A2ITOAA与现实世界和对抗性活动的冲突。

2、DCRT评估结果和任务报告强调了对手如何利用已知和未知的系统或网络漏洞来拒止、降低、破坏或摧毁国防部的作战功能。DCRT评估结果为指挥官、指挥员和其他关键决策者提供关键威胁和漏洞信息，以制定有效的缓解和防御行动和计划。

3、DCRT评估结果和报告必须按照以下规定提交：

（1）本发布。

（2）参谋长联席会议主席（CJCS）手册6510.01。

（3）美国网络司令部基本规则（SGR）。

4、DCRT活动完成后，必须将DCRT评估结果报告给美国防部组成机构或请求组织。该报告将详细描述已发现的弱点、漏洞、方法以及评估期间实现的任何任务效果。

演习或活动完成后，美国防部部门和适用的可信代理将：

1、根据任务交战规则中概述的批准协议以及美国网络司令部基本规则（SGR）制定并提交所有报告。

2、将所有评估报告提交给美国防部首席信息官首席信息安全官和国防部网络安全服务提供机构，以验证调查结果是否已得到有效补救和缓解。

3、从DCRT接收有关预期网络空间安全的正式反馈（例如简报、报告），以支持组织的演习或网络评估目标。

4、创建行动计划和里程碑，其中包括风险缓解计划，强调组织将如何以及何时纠正DCRT的调查结果。

5、根据美国网络司令部基本规则（SGR）和本次发布，发送正式的DCRT行动后报告，包括行动计划和里程碑。

6、确保网络已重置以供将来的演习或网络评估使用，包括销毁在DCRT活动期间创建的列出DCRT互联网协议和签名以及任何DCRT互联网协议地址块的技术参考。

7、根据美国网络司令部基本规则（SGR）的规定，向JFHQ-DoDIN报告所有重置行动均已完成。