美国国防部正在计划其“黑掉五角大楼”计划的第三次迭代,重点是找出维持标志性建筑和地面运行的操作技术中的漏洞。
国防部于 2016 年启动了黑客入侵五角大楼计划,供应商 HackerOne 协调了该部门公共网站上的漏洞赏金计划。超过 1,400 名黑客参加了第一轮,发现了 138 个独特的漏洞并获得了 75,000 美元的赏金奖励。
该计划在 2018 年扩大到包括另外两家供应商:Synack 和 Bugcrowd。
在周五发布的征求意见稿中,国防部宣布了第三次尝试的计划,并对管理该项目的供应商提出了期望。
在 Hack the Pentagon 3.0 下,负责管理五角大楼和部分国防部后台资源的华盛顿总部服务部希望在设施相关控制系统 (FRCS) 网络上释放白帽黑客。该网络用于管理五角大楼保留区内的机械操作,例如主楼内的供暖和空调、五角大楼供暖和制冷厂、模块化办公大楼和停车场等。
“总体目标是通过众包获得一批创新信息安全研究人员的支持,以进行漏洞发现、协调和披露活动,并评估 FRCS 网络当前的网络安全状况,找出弱点和漏洞,并提供改进和加强的建议总体安全态势,”根据绩效工作说明草案。
该文件草案指出,黑客将只能访问未分类的 IT 和 OT 系统。
由于该计划的第三阶段将侧重于操作技术,因此实际的黑客攻击将在持续不超过 72 小时的“挑战阶段”中亲自进行。
虽然 Hack the Pentagon 计划在技术上是关于利用大型开源社区,但国防部行动的敏感性意味着该队列必须仅限于“一个由熟练且值得信赖的研究人员组成的私人社区,这可能仅限于美国人只有符合国防部制定的资格标准,”PWS 表示。
获胜的供应商将能够聚集和组织这样一个社区,并为黑客提供平台以安全的方式调查和记录任何发现的漏洞。
漏洞赏金框架——在已故国防部长阿什·卡特 (Ash Carter ) 领导下的政府中开始——已经传播到其他政府机构,包括服务部门、国土安全部和总务管理局。
2016 年,国防部与 HackerOne 合作开展第一个联邦政府漏洞赏金计划 本月早些时候,美国国防部 (DoD) 宣布了一项新的漏洞赏金计划“黑掉五角大楼”,该计划将奖励能够在五角大楼公共网页上发现漏洞的安全研究人员。 从今天开始,感兴趣的安全研究人员现在可以正式注册以测试他们针对 DoD 的黑客技能。 该计划通过与漏洞赏金平台提供商 HackerOne 合作开展,是联邦政府历史上的首创。 总部位于旧金山的 HackerOne 提供一个软件即服务平台,该平台提供技术和自动化来帮助组织运行他们自己的漏洞管理和漏洞赏金计划。 黑客入侵五角大楼漏洞赏金试点将于 4 月 18 日星期一开始,5 月 12 日星期四结束。 几个面向公众的 DoD 公共网站将开放供黑客测试攻击,这些网站将在项目开放时向参与者识别。“关键的、面向任务的计算机系统将不会参与该计划,”国防部表示。 要获得资格,参与者必须是美国人,并且不在美国财政部的特别指定国民名单上,该名单涉及从事恐怖主义、贩毒和其他犯罪的人员和组织——本质上是国防部的“顽皮”名单。 国防部表示,提交符合条件的错误报告的安全研究人员将接受基本的犯罪背景筛查,以“确保纳税人的钱用得其所”。 |
根据周五发布的征求意见稿,作为黑客攻击五角大楼 3.0 的一部分,国防部将依靠道德黑客来识别 FRCS 中的漏洞。
DoD 的 FRCS 包括用于监视和控制与不动产设施相关的设备和系统的控制系统,例如 HVAC、公用事业、物理安全系统以及消防和安全系统。
“总体目标是通过众包获得创新信息安全研究人员的支持,以进行漏洞发现、协调和披露活动,并评估 FRCS 网络当前的网络安全状况,找出弱点和漏洞,并提供改进和加强的建议整体安全态势,”草案写道。
根据该文件,国防部正在寻求与在商业众包方面具有专业知识的私人组织合作,以选择“一个由熟练且值得信赖的研究人员组成的私人社区,可能仅限于美国人”参与该计划。
对于之前的漏洞赏金计划——其中还包括入侵空军、入侵陆军、入侵海军陆战队和入侵国防旅行系统——除了与 HackerOne 和 Bugcrowd 合作外,国防部还与 Synack 合作审查参与的研究人员。
来源:https://www.nextgov.com/等网站
>>>等级保护<<< >>>工控安全<<< >>>数据安全<<< >>>供应链安全<<<
>>>其他<<<
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...