美国土安全部将启动新的漏洞赏金计划
安全内参12月15日发布,美国国土安全部部长亚历杭德罗·马约卡斯当地时间12月14日表示,国土安全部正在启动一项漏洞赏金计划,拟邀请研究人员挖掘其系统的漏洞。
根据马约卡斯在彭博科技峰会上讨论的“入侵国土安全部”(Hack DHS)计划,道德黑客将根据漏洞的严重程度获得500至5000美元的奖励。该部将在48小时内验证漏洞,并在15天内修复它们,或者对于复杂的漏洞,会制定一个在限定时间内完成的计划。
马约卡斯透露,DHS不仅关注保护和增强私营部门和联邦政府的网络安全,作为一个政府部门必须以身作则, 他们非常关注的是识别漏洞和解决或修复这些漏洞。
国土安全部在这方面已经落后了,往往比其他一些联邦机构更晚发现漏洞。早在2016年,国防部就启动了“入侵五角大楼”(Hack the Pentagon)试点。同年,美国国税局开始了第一个民用联邦机构的漏洞赏金计划。
2019年1月,唐纳德·特朗普总统签署了一项法案,要求国土安全部在六个月内制定一个测试漏洞的赏金计划。虽然梅奥卡斯没有说“入侵国土安全部”将花费多少钱,但议会预算办公室估计,一年的试点项目将花费25万美元。
马约卡斯表示,DHS将投入大量的资金,并将主要精力集中在这个项目上,并称这是一个潜在的永久性项目。国土安全部发言人没有立即回应有关该项目的持续成本、启动日期等具体问题。
DHS在官网的声明中称,“Hack DHS”计划将利用由网络安全和基础设施安全局(CISA)创建的一个平台,将会受到几条规则的约束,并由国土安全部首席信息官办公室监督。黑客将向国土安全部系统所有者和领导层披露他们的发现,包括漏洞是什么,如何利用它,以及它如何允许其他威胁行为者访问信息。识别每个漏洞的奖励是通过使用可变比例来确定的,黑客识别最严重的漏洞可以获得最高的奖励。
国土安全部借鉴了私营部门和联邦政府广泛实施的类似行动的最佳做法,例如国防部的“入侵五角大楼”计划。作为《安全技术法案》的一部分,美国国土安全部于2019年建立了第一个漏洞奖励试点计划,该计划由参议员Maggie Hassan(新罕布什尔州)、参议员Rob Portman(俄亥俄州)、众议员Ted Lieu(加利福尼亚州)和众议员Scott Taylor(弗吉尼亚州)起草并成为法律。这项法律允许国土安全部通过模仿黑客行为来奖励被挑选来评估该部信息系统的个人。
根据国土安全部的声明,该项目将在10月开始的2022财政年度进行。
根据这项漏洞悬赏试点的设想,国土安全部首席信息官将负责这个项目,哪些信息系统适用该项计划,将由DHS来决定。国土安全部表示,对于更全面的计划,黑客将分三个阶段进行工作,首先对一些外部系统进行评估,然后进行现场攻击测试活动,最后给出“教训”部分和未来事件的计划。CIO将与网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)一起监督该项目的实施。
国防部对其类似的漏洞赏金项目(Hack the Pentagon)的成效感到满意,并不断扩展该项目以授权黑客测试新的目标。今年5月份,该项目向所有可公开访问的国防部信息系统、工业控制系统、物联网等开放。在其存在期间,该项目已收到超过29000份漏洞报告,其中70%已经过国防部验证。
“这次扩展证明了政府网络安全方法的转变,并超越了目前国防部的技术状态,”国防数字服务主管Brett Goldstein说。
然而,对漏洞赏金计划持批评态度的人认为,这些计划将重点放在组织在其整体安全设置中过于依赖的较小漏洞上,无助于整体网络安全的改进,此外还有其他潜在的不良副作用。
国土安全部今年建立了一个漏洞披露计划,设定了道德黑客如何向国土安全部通报漏洞的条款。去年,它还发布了一项指令,要求联邦机构设立此类项目。
参考资源
1、https://www.bleepingcomputer.com/news/security/dhs-announces-hack-dhs-bug-bounty-program-for-vetted-researchers/
2、https://www.cyberscoop.com/hack-dhs-alejandro-mayorkas-bug-bounty/
3、https://www.dhs.gov/news/2021/12/14/dhs-announces-hack-dhs-bug-bounty-program-identify-potential-cybersecurity