導讀:當地時間12月14日,美國國土安全部部長亞曆杭德羅·馬約卡斯表示,美國國土安全部 (DHS) 推出了一項名為“Hack DHS”的漏洞賞金計劃,旨在識别某些DHS系統中的潛在網絡安全漏洞并提高網絡安全彈性,允許黑客報告其系統中的漏洞,以換取金錢獎勵。
詳細内容
“作為聯邦政府的網絡安全四分衛,國土安全部必須以身作則,不斷尋求加強我們自己的系統的安全性,”部長亞曆杭德羅·N·馬約卡斯 (Alejandro N. Mayorkas) 說。“Hack DHS 計劃激勵高技能黑客在我們系統中的網絡安全弱點被不良行為者利用之前識别它們。該計劃是該部門如何與社群合作以幫助保護我們國家的網絡安全的一個例子。”
Hack DHS 将在 2022 财年分三個階段進行,其目标是開發一種模型,可供各級政府的其他組織使用,以提高其自身的網絡安全彈性。在第一階段,黑客将對某些 DHS 外部系統進行虛拟評估。在第二階段,黑客将參加現場的、面對面的黑客活動。在第三個也是最後一個階段,國土安全部将确定和審查吸取的教訓,并計劃未來的漏洞賞金。
Hack DHS 将利用該部門網絡安全和基礎設施安全局 (CISA) 建立的平台,将受多項參與規則的限制,并由 DHS 首席資訊官辦公室進行監控。黑客将向 DHS 系統所有者和上司層披露他們的發現,包括漏洞是什麼、他們如何利用它以及它如何允許其他參與者通路資訊。識别每個錯誤的賞金是通過使用滑動比例确定的,黑客在識别最嚴重的錯誤時獲得最高的賞金。
根據馬約卡斯在彭博科技峰會上讨論的“入侵國土安全部”(Hack DHS)計劃,道德黑客将根據漏洞的嚴重程度獲得500至5000美元的獎勵。該部将在48小時内驗證漏洞,并在15天内修複它們,或者對于複雜的漏洞,會制定一個在限定時間内完成的計劃。
Hack DHS 并不是美國政府和軍方發起的唯一漏洞賞金計劃,聯邦政府的類似舉措包括“ Hack the Pentagon ”和“ Hack the Army”計劃。
“這次擴充證明了政府網絡安全方法的轉變,并超越了目前國防部的技術狀态,”國防數字服務主管Brett Goldstein說。
然而,對漏洞賞金計劃持批評态度的人認為,這些計劃将重點放在組織在其整體安全設定中過于依賴的較小漏洞上,無助于整體網絡安全的改進,此外還有其他潛在的不良副作用。國土安全部今年建立了一個漏洞披露計劃,設定了道德黑客如何向國土安全部通報漏洞的條款。去年,它還釋出了一項指令,要求聯邦機構設立此類項目。
注:本文由E安全編譯報道。
![【網絡安全】網絡安全“漫漫”看[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)