美國國防部將開展更多安全眾測活動
美國國防部於10月24日釋出訊息,稱剛與位於矽谷的三傢俬營公司(HackerOne、Synack和Bugcrowd)簽訂總金額高達3400萬美元的合同,將在已成功舉辦“入侵五角大樓”系列活動的基礎上進行拓展,進一步提升開展“漏洞獎勵計劃”安全眾測活動的能力,以期加強對國防部資產的安全防護。
由於網路安全威脅持續存在且不斷演進,美國防部致力於以創新方式加強網路安全、應對惡意行為,並與私營機構加強合作。美國的很多知名技術公司,包括許多位列《財富》500強的大公司,都採用漏洞打賞這種低成本眾測方式加強自身網路安全,向報告漏洞的任何人發放獎金——而不是挑選某些廠商進行測試——已成為一種常見的商業模式。
美國防部的“漏洞獎勵計劃”安全眾測系列活動始於2016年春季的“入侵五角大樓”,該活動由美國防部數字服務署主導,也是美國聯邦政府的首次漏洞獎勵計劃活動。幾個月之後,國防部出臺了《漏洞披露政策》,為網路安全研究人員發現並報告國防部各種公開系統的安全漏洞提供了合法渠道。自“入侵五角大樓”以來,美國防部又公開開展了“入侵陸軍”、“入侵空軍”等六次漏洞獎勵計劃,其範圍和強度不斷增大,累計有數千名黑客高手參與,共報告有效漏洞8000多個。
在此次簽訂合同的這三家公司中,HackerOne是一家知名度很高的公司,包括“黑掉五角大樓”在內的國防部多項公開漏洞獎勵計劃活動都由該公司具體承辦,已幫助國防部從多個.mil網站或其它公開系統中查找出眾多安全漏洞。Synack公司也曾幫國防部組織白帽黑客挖掘安全漏洞,而且國防部支付給該公司的費用更多,但這些活動鮮有公開報道(這意味著更重要)。該公司為國防部組織的此類活動人數較少但水平更高,曾以六個關鍵或敏感內部系統(具體細節未透露)為攻擊目標,包括涉密網路之間的檔案傳輸機制。Bugcrowd公司則是首次與國防部合作。
事實上,廣招黑客高手的安全眾測活動經常能挖出傳統安全廠商未發現的漏洞,而且這種眾測活動的成本非常低。Synack公司稱,其組織的眾測活動在開始後數小時內就收到了第一份漏洞報告,單個漏洞獲得的賞金最高達3萬美元。HackerOne公司主要召集更多黑客對國防部的各種網站和其它相對不重要的系統進行安全眾測,該公司稱已在國防部的各種系統中挖出5000多個漏洞,支付賞金約50萬美元——平均每個漏洞僅500美元。
“我們必須以創新方式發現漏洞、加強網路安全,這一工作的重要性前所未有。” 美國防部數字服務署主任Chris Lynch稱,“敵方在實施惡意攻擊時,從不畏手畏腳,他們總是大膽創新。通過拓展安全眾測活動,國防部可以匯聚更多技術精英,從不同角度對我們的資產進行保護和防禦。我們高興地看到,漏洞打賞眾測活動在不斷拓展,國防部從中獲益頗豐。”
(編譯:齊義勝)
(注:是多篇原文綜合編譯而得。)