新闻快讯
< >

美国国防部将开展更多安全众测活动

美国国防部于10月24日发布消息,称刚与位于硅谷的三家私营公司(HackerOne、Synack和Bugcrowd)签订总金额高达3400万美元的合同,将在已成功举办“入侵五角大楼”系列活动的基础上进行拓展,进一步提升开展“漏洞奖励计划”安全众测活动的能力,以期加强对国防部资产的安全防护。

由于网络安全威胁持续存在且不断演进,美国防部致力于以创新方式加强网络安全、应对恶意行为,并与私营机构加强合作。美国的很多知名技术公司,包括许多位列《财富》500强的大公司,都采用漏洞打赏这种低成本众测方式加强自身网络安全,向报告漏洞的任何人发放奖金——而不是挑选某些厂商进行测试——已成为一种常见的商业模式。

美国防部的“漏洞奖励计划”安全众测系列活动始于2016年春季的“入侵五角大楼”,该活动由美国防部数字服务署主导,也是美国联邦政府的首次漏洞奖励计划活动。几个月之后,国防部出台了《漏洞披露政策》,为网络安全研究人员发现并报告国防部各种公开系统的安全漏洞提供了合法渠道。自“入侵五角大楼”以来,美国防部又公开开展了“入侵陆军”、“入侵空军”等六次漏洞奖励计划,其范围和强度不断增大,累计有数千名黑客高手参与,共报告有效漏洞8000多个。

在此次签订合同的这三家公司中,HackerOne是一家知名度很高的公司,包括“黑掉五角大楼”在内的国防部多项公开漏洞奖励计划活动都由该公司具体承办,已帮助国防部从多个.mil网站或其它公开系统中查找出众多安全漏洞。Synack公司也曾帮国防部组织白帽黑客挖掘安全漏洞,而且国防部支付给该公司的费用更多,但这些活动鲜有公开报道(这意味着更重要)。该公司为国防部组织的此类活动人数较少但水平更高,曾以六个关键或敏感内部系统(具体细节未透露)为攻击目标,包括涉密网络之间的文件传输机制。Bugcrowd公司则是首次与国防部合作。

事实上,广招黑客高手的安全众测活动经常能挖出传统安全厂商未发现的漏洞,而且这种众测活动的成本非常低。Synack公司称,其组织的众测活动在开始后数小时内就收到了第一份漏洞报告,单个漏洞获得的赏金最高达3万美元。HackerOne公司主要召集更多黑客对国防部的各种网站和其它相对不重要的系统进行安全众测,该公司称已在国防部的各种系统中挖出5000多个漏洞,支付赏金约50万美元——平均每个漏洞仅100美元。

 “我们必须以创新方式发现漏洞、加强网络安全,这一工作的重要性前所未有。” 美国防部数字服务署主任Chris Lynch称,“敌方在实施恶意攻击时,从不畏手畏脚,他们总是大胆创新。通过拓展安全众测活动,国防部可以汇聚更多技术精英,从不同角度对我们的资产进行保护和防御。我们高兴地看到,漏洞打赏众测活动在不断拓展,国防部从中获益颇丰。”

(编译:齐义胜)