當(dāng)?shù)貢r(shí)間12月14日，美國國土安全部部長亞歷杭德羅·馬約卡斯表示，美國國土安全部 (DHS) 推出了一項(xiàng)名為“Hack DHS”的漏洞賞金計(jì)劃，旨在識別某些DHS系統(tǒng)中的潛在網(wǎng)絡(luò)安全漏洞并提高網(wǎng)絡(luò)安全彈性，允許黑客報(bào)告其系統(tǒng)中的漏洞，以換取金錢獎(jiǎng)勵(lì)。

[[440948]]

詳細(xì)內(nèi)容

“作為聯(lián)邦政府的網(wǎng)絡(luò)安全四分衛(wèi)，國土安全部必須以身作則，不斷尋求加強(qiáng)我們自己的系統(tǒng)的安全性，”部長亞歷杭德羅·N·馬約卡斯 (Alejandro N. Mayorkas) 說。“Hack DHS 計(jì)劃激勵(lì)高技能黑客在我們系統(tǒng)中的網(wǎng)絡(luò)安全弱點(diǎn)被不良行為者利用之前識別它們。該計(jì)劃是該部門如何與社區(qū)合作以幫助保護(hù)我們國家的網(wǎng)絡(luò)安全的一個(gè)例子。”

Hack DHS 將在 2022 財(cái)年分三個(gè)階段進(jìn)行，其目標(biāo)是開發(fā)一種模型，可供各級政府的其他組織使用，以提高其自身的網(wǎng)絡(luò)安全彈性。在第一階段，黑客將對某些 DHS 外部系統(tǒng)進(jìn)行虛擬評估。在第二階段，黑客將參加現(xiàn)場的、面對面的黑客活動。在第三個(gè)也是最后一個(gè)階段，國土安全部將確定和審查吸取的教訓(xùn)，并計(jì)劃未來的漏洞賞金。

Hack DHS 將利用該部門網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 創(chuàng)建的平臺，將受多項(xiàng)參與規(guī)則的約束，并由 DHS 首席信息官辦公室進(jìn)行監(jiān)控。黑客將向 DHS 系統(tǒng)所有者和領(lǐng)導(dǎo)層披露他們的發(fā)現(xiàn)，包括漏洞是什么、他們?nèi)绾卫盟约八绾卧试S其他參與者訪問信息。識別每個(gè)錯(cuò)誤的賞金是通過使用滑動比例確定的，黑客在識別最嚴(yán)重的錯(cuò)誤時(shí)獲得最高的賞金。

根據(jù)馬約卡斯在彭博科技峰會上討論的“入侵國土安全部”(Hack DHS)計(jì)劃，道德黑客將根據(jù)漏洞的嚴(yán)重程度獲得500至5000美元的獎(jiǎng)勵(lì)。該部將在48小時(shí)內(nèi)驗(yàn)證漏洞，并在15天內(nèi)修復(fù)它們，或者對于復(fù)雜的漏洞，會制定一個(gè)在限定時(shí)間內(nèi)完成的計(jì)劃。

Hack DHS 并不是美國政府和軍方發(fā)起的唯一漏洞賞金計(jì)劃，聯(lián)邦政府的類似舉措包括“ Hack the Pentagon ”和“ Hack the Army”計(jì)劃。

“這次擴(kuò)展證明了政府網(wǎng)絡(luò)安全方法的轉(zhuǎn)變，并超越了目前國防部的技術(shù)狀態(tài)，”國防數(shù)字服務(wù)主管Brett Goldstein說。

然而，對漏洞賞金計(jì)劃持批評態(tài)度的人認(rèn)為，這些計(jì)劃將重點(diǎn)放在組織在其整體安全設(shè)置中過于依賴的較小漏洞上，無助于整體網(wǎng)絡(luò)安全的改進(jìn)，此外還有其他潛在的不良副作用。國土安全部今年建立了一個(gè)漏洞披露計(jì)劃，設(shè)定了道德黑客如何向國土安全部通報(bào)漏洞的條款。去年，它還發(fā)布了一項(xiàng)指令，要求聯(lián)邦機(jī)構(gòu)設(shè)立此類項(xiàng)目。