首页 最新 国内 国际 数据泄露 网络战 行业 报告 观点 预警 安全意识 人工智能 招聘 云计算 大数据 程序员 系统 专家 融资 人物 工具 安全基础设施 推广 公告 教育

美国众议院小组推进国务院Bug赏金法案

E安全5月12日讯  美众议院外交事务委员会于2018年5月9日提出一项名为“Hack Your State Department ”的法案,建议美国国务院建立一项 Bug 赏金计划。立法者与安全专家们希望通过这一努力,鼓励政府机构借助白帽黑客的力量保护其业务网络。

Bug 赏金计划

此项法案要求美国国务卿设立一项漏洞披露规程,以便研究人员搜寻并披露该部门面向公众的网站及应用程序中存在的安全漏洞。该项目将仿效美国国防部2016年执行的“Hack the Pentagon(入侵五角大楼)”项目,例如将向发现政府尚未察觉的安全漏洞的安全研究人员支付奖励。

美国众议院小组推进国务院Bug赏金法案-E安全

加利福尼亚州民主党众议员 (Ted Lieu)作为此项法案的支持者,在采访中表示“任何机构或私营企业都应该拥有独立的安全测试方法,例如借助道德黑客的力量,由其独立检查网络安全系统的实际水平。”

Lieu 同时补充称,无论多么精心的设计,大部分此类系统当中仍可能存在可被黑客利用的漏洞。网络安全测试厂商 Synack 公司联合创始人兼 CTO 马克·库尔解释称,五角大楼的 Bug 赏金计划涵盖各类敏感 IT 资产,而这也启发了他“利用这种众包安全测试方式解决实际问题”。他建议应该在项目审查工作当中引入最熟练且最值得信赖的高水平黑客,并随时间推移减少漏洞数量,从而提升系统的攻击难度。

Lieu 的法案呼吁美国政府在一年之内建立起 Bug 赏金计划。

Bug 赏金计划或为补充措施

Bug 赏金专业咨询企业 Luta Security 公司创始人凯蒂·穆苏里斯则表示,实现此类计划往往需要更长时间,联邦机构要确定 Bug 赏金计划的具体时间表,最重要是“美国国会应资助内部职能改革工作”,从而提升各部门安全水平。

曾参与“入侵五角大楼”计划的穆苏里斯在采访中表示,Bug 赏金计划无法替代尽职调查与流程,或者专业渗透测试,首要选择仍是尽力自行发现并解决问题,而后才求助于 Bug 赏金计划。

“Hack Your State Department”法案本身亦是一系列新立法活动中的组成部分,旨在引导联邦机构接受已经在私营部门当中得到普遍实行的 Bug 赏金活动。上个月,美国参议院已经通过立法,将在国土安全部(DHS)设立一项25万美元的 Bug 赏金计划。

Lieu 已经向白宫提交了一项配套法案,Lieu 认为通过此轮大规模立法,联邦政府网络应将道德黑客力量引入自身安全保障体系。他表示,之所以提出这个法案,很大部分原因在于他想通过这种方式,全面提升相关问题的受重视程度。

近年来,恶意黑客已经开始将矛头指向美国国务院网络。2014年,该部门被迫暂时关闭了其未保密电子邮件系统,并表示俄罗斯黑客可能已经成功对其实施入侵。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。