美國國防部擴展漏洞獎勵工作 眾測平臺擴展到三家
責編:gltian |2018-10-30 13:55:10自2016年起美國國防部(DoD)便積極鼓勵黑客去黑五角大樓,以期發現國防部系統中的軟件漏洞。由于這兩年與黑客的合作帶來了價值,如今其眾包安全工作還將繼續深入,合作對象擴展到3家——HackerOne、Synack和bugcrowd。
上周,DoD宣布將擴大其漏洞獎勵項目,將合約授予3家托管漏洞獎勵供應商:HackerOne、Synack和Bugcrowd。HackerOne和Synack在2016年時已參與到了DoD的漏洞獎勵項目中,現在這一漏洞獎勵合約再被更新,項目中新納入了Bugcrowd。
該合約是一份IDIQ(無限期不定數量)合約,是政府機構用以加速新技術在不同部門中應用的。DDS(國防數字服務)團隊很好地在DoD中宣傳了這一概念,目前各項工作正在有序推進中。
通過漏洞獎勵項目,公司企業或政府機構能夠以獎金換取安全研究人員的私下漏洞披露服務。2016年以來美國國防部執行了多項漏洞獎勵,包括“黑了五角大樓”、“黑掉空軍”、“黑了海軍陸戰隊”和“黑掉陸軍”等。比如說,今年2月的“黑掉空軍2.0”就是個為期20天的挑戰,期間有106個漏洞被發現并修復。DoD在漏洞獎勵上給安全研究人員放出了10.3883萬美元的獎金。“黑掉空軍”就是HackerOne承辦的,“黑掉陸軍”和“黑了海軍陸戰隊”中也有它的身影。
“黑了五角大樓”合約包含兩個部分。功能區 1 (FA1)是HackerOne最初被選中的原因,與面向公眾的資產相關,HackerOne與陸軍、空軍、國防旅行系統和海軍陸戰隊合作的項目與之類似。
我們已經執行了6項與面向公眾的資產相關的挑戰,且未來還會執行更多。功能區 2 (FA2)是‘黑了五角大樓’合約的第二部分,是今天才宣布的,對HackerOne來說是個新鮮事物,與非公共領域的政府資產相關。
Synack
與HackerOne管理面向公眾資產的漏洞獎勵項目不同,Synack執行的是私密、托管的“黑了五角大樓”項目。
Synack創始人兼首席執行官 Jay Kaplan 表示:他們為包括美國空軍、陸軍在內的軍方和DoD機關的敏感內部系統執行過一系列眾包安全項目。鑒于工作的敏感屬性,包括在模擬的非機密環境中仿真機密系統等,大多數項目細節都是保密的。
Kaplan稱,該項目擴展有助于滿足DoD各部門不斷增長的對通過眾包安全引入新視角的需求。漏洞獎勵項目的新擴展將使DoD各部門能夠執行貫穿全年的延續性高價值資產評估。另外,硬件和物理系統之類的其他資產也在新眾包安全項目的范疇之中。
Bugcrowd
Bugcrowd的加入可被視為這家公司在過去兩年中市場牽引力的明證。
過去兩年中Bugcrowd的市場牽引力發生了重大變化,包括與更傳統和專業的客戶的合作,專注增強自身平臺與白帽子客戶的價值與能力。DoD觀察到了Bugcrowd這段時間的進步,Bugcrowd加入‘黑了五角大樓’項目是雙方都樂見其成的。
雖然Bugcrowd被認為是漏洞獎勵公司,該公司為DoD所做的工作卻與該公司更為低調的“眾包安全”業務沒有什么不同。目前Bugcrowd的業務都是眾包安全,也就是私下交付的、高度可信、經嚴格審查的眾包安全測試。
對Bugcrowd而言,拿下DoD的漏洞獎勵合約最令人興奮的部分,是該公司的主要業務本就落在這一領域,且該合約倍增了其黑客的工作機會。
企業能從中學到什么
DoD持續擴展漏洞獎勵和眾包安全工作的事實,在供應商看來是商業公司值得學習的一個案例研究。如果DoD這樣的大型國家核心部門都能理解眾包模式的力量,那么企業自然也可以,而且很多企業已經了解到了眾包安全的潛力。
認為黑客天生邪惡的誤解,是公司企業從更好的黑客反饋中獲益的主要阻礙。“黑了五角大樓”項目的擴展傳遞出黑客是互聯網修鎖匠而不是入室劫匪的信息。企業可從中學到很多。
眾包安全可高效測試所有數字資產,從面向公眾的系統到內部系統都可以。不過,眾包安全需賦予客戶健壯的控制措施,包括有平臺可以利用測試結果及情報,還有過程可以輔助擴展安全操作而不是增加團隊的負擔。
另外,應盡早在開發周期中引入眾包安全測試。比如DoD就在其系統的開發過程中執行了眾包安全測試,將漏洞在系統部署并造成負面影響之前就揪出來。
DoD的經驗清晰可見,表明了任何組織機構都免不了漏洞的出現,公司企業能從DoD的經驗中學到很多。
政府機構裝載著一些世界上最為安全的防御系統,經常成為對手的攻擊目標。但黑客仍能挖掘出5000多個對DoD來說很有價值的漏洞。
無論公共領域還是私營產業,總有些東西會被挖掘出來。目前,沒有漏洞披露項目簡直就是失職。