美國國防部擴展漏洞獎勵工作 眾測平臺擴展到三家
責編:gltian |2018-10-30 13:55:10自2016年起美國國防部(DoD)便積極鼓勵黑客去黑五角大樓,以期發(fā)現(xiàn)國防部系統(tǒng)中的軟件漏洞。由于這兩年與黑客的合作帶來了價值,如今其眾包安全工作還將繼續(xù)深入,合作對象擴展到3家——HackerOne、Synack和bugcrowd。
上周,DoD宣布將擴大其漏洞獎勵項目,將合約授予3家托管漏洞獎勵供應(yīng)商:HackerOne、Synack和Bugcrowd。HackerOne和Synack在2016年時已參與到了DoD的漏洞獎勵項目中,現(xiàn)在這一漏洞獎勵合約再被更新,項目中新納入了Bugcrowd。
該合約是一份IDIQ(無限期不定數(shù)量)合約,是政府機構(gòu)用以加速新技術(shù)在不同部門中應(yīng)用的。DDS(國防數(shù)字服務(wù))團隊很好地在DoD中宣傳了這一概念,目前各項工作正在有序推進中。
通過漏洞獎勵項目,公司企業(yè)或政府機構(gòu)能夠以獎金換取安全研究人員的私下漏洞披露服務(wù)。2016年以來美國國防部執(zhí)行了多項漏洞獎勵,包括“黑了五角大樓”、“黑掉空軍”、“黑了海軍陸戰(zhàn)隊”和“黑掉陸軍”等。比如說,今年2月的“黑掉空軍2.0”就是個為期20天的挑戰(zhàn),期間有106個漏洞被發(fā)現(xiàn)并修復。DoD在漏洞獎勵上給安全研究人員放出了10.3883萬美元的獎金。“黑掉空軍”就是HackerOne承辦的,“黑掉陸軍”和“黑了海軍陸戰(zhàn)隊”中也有它的身影。
“黑了五角大樓”合約包含兩個部分。功能區(qū) 1 (FA1)是HackerOne最初被選中的原因,與面向公眾的資產(chǎn)相關(guān),HackerOne與陸軍、空軍、國防旅行系統(tǒng)和海軍陸戰(zhàn)隊合作的項目與之類似。
我們已經(jīng)執(zhí)行了6項與面向公眾的資產(chǎn)相關(guān)的挑戰(zhàn),且未來還會執(zhí)行更多。功能區(qū) 2 (FA2)是‘黑了五角大樓’合約的第二部分,是今天才宣布的,對HackerOne來說是個新鮮事物,與非公共領(lǐng)域的政府資產(chǎn)相關(guān)。
Synack
與HackerOne管理面向公眾資產(chǎn)的漏洞獎勵項目不同,Synack執(zhí)行的是私密、托管的“黑了五角大樓”項目。
Synack創(chuàng)始人兼首席執(zhí)行官 Jay Kaplan 表示:他們?yōu)榘绹哲姟㈥戃娫趦?nèi)的軍方和DoD機關(guān)的敏感內(nèi)部系統(tǒng)執(zhí)行過一系列眾包安全項目。鑒于工作的敏感屬性,包括在模擬的非機密環(huán)境中仿真機密系統(tǒng)等,大多數(shù)項目細節(jié)都是保密的。
Kaplan稱,該項目擴展有助于滿足DoD各部門不斷增長的對通過眾包安全引入新視角的需求。漏洞獎勵項目的新擴展將使DoD各部門能夠執(zhí)行貫穿全年的延續(xù)性高價值資產(chǎn)評估。另外,硬件和物理系統(tǒng)之類的其他資產(chǎn)也在新眾包安全項目的范疇之中。
Bugcrowd
Bugcrowd的加入可被視為這家公司在過去兩年中市場牽引力的明證。
過去兩年中Bugcrowd的市場牽引力發(fā)生了重大變化,包括與更傳統(tǒng)和專業(yè)的客戶的合作,專注增強自身平臺與白帽子客戶的價值與能力。DoD觀察到了Bugcrowd這段時間的進步,Bugcrowd加入‘黑了五角大樓’項目是雙方都樂見其成的。
雖然Bugcrowd被認為是漏洞獎勵公司,該公司為DoD所做的工作卻與該公司更為低調(diào)的“眾包安全”業(yè)務(wù)沒有什么不同。目前Bugcrowd的業(yè)務(wù)都是眾包安全,也就是私下交付的、高度可信、經(jīng)嚴格審查的眾包安全測試。
對Bugcrowd而言,拿下DoD的漏洞獎勵合約最令人興奮的部分,是該公司的主要業(yè)務(wù)本就落在這一領(lǐng)域,且該合約倍增了其黑客的工作機會。
企業(yè)能從中學到什么
DoD持續(xù)擴展漏洞獎勵和眾包安全工作的事實,在供應(yīng)商看來是商業(yè)公司值得學習的一個案例研究。如果DoD這樣的大型國家核心部門都能理解眾包模式的力量,那么企業(yè)自然也可以,而且很多企業(yè)已經(jīng)了解到了眾包安全的潛力。
認為黑客天生邪惡的誤解,是公司企業(yè)從更好的黑客反饋中獲益的主要阻礙。“黑了五角大樓”項目的擴展傳遞出黑客是互聯(lián)網(wǎng)修鎖匠而不是入室劫匪的信息。企業(yè)可從中學到很多。
眾包安全可高效測試所有數(shù)字資產(chǎn),從面向公眾的系統(tǒng)到內(nèi)部系統(tǒng)都可以。不過,眾包安全需賦予客戶健壯的控制措施,包括有平臺可以利用測試結(jié)果及情報,還有過程可以輔助擴展安全操作而不是增加團隊的負擔。
另外,應(yīng)盡早在開發(fā)周期中引入眾包安全測試。比如DoD就在其系統(tǒng)的開發(fā)過程中執(zhí)行了眾包安全測試,將漏洞在系統(tǒng)部署并造成負面影響之前就揪出來。
DoD的經(jīng)驗清晰可見,表明了任何組織機構(gòu)都免不了漏洞的出現(xiàn),公司企業(yè)能從DoD的經(jīng)驗中學到很多。
政府機構(gòu)裝載著一些世界上最為安全的防御系統(tǒng),經(jīng)常成為對手的攻擊目標。但黑客仍能挖掘出5000多個對DoD來說很有價值的漏洞。
無論公共領(lǐng)域還是私營產(chǎn)業(yè),總有些東西會被挖掘出來。目前,沒有漏洞披露項目簡直就是失職。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準,覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地無人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標準化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!