據(jù)悉，美國國防部一項旨在根除承包商數(shù)字漏洞的試點項目在一年內(nèi)發(fā)現(xiàn)了數(shù)百個漏洞。

在美國國防部網(wǎng)絡(luò)犯罪中心和國防反情報與安全局協(xié)調(diào)的國防工業(yè)基地漏洞披露計劃中，漏洞賞金團(tuán)隊HackerOne的網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)數(shù)十家公司存在約400個問題。

漏洞披露計劃的臨時主管Melissa Vice在一份聲明中說：“該項目早已認(rèn)識到利用眾包道德黑客為國防部信息網(wǎng)絡(luò)增加深度防御保護(hù)的好處。該試點項目旨在確定中小型已批準(zhǔn)和未批準(zhǔn)的國防工業(yè)基地公司是否存在類似的關(guān)鍵高危漏洞，對美國關(guān)鍵基礎(chǔ)設(shè)施和供應(yīng)鏈有潛在的風(fēng)險?！?/p>

這一項目于2021年4月啟動，共有14家公司和141項可公開獲取的資產(chǎn)接受審查。人們對該項目的興趣迅速提升。最終有41家公司和近350項資產(chǎn)通過了審查，結(jié)果已于5月2日公布。這一數(shù)字僅是美國國防部200,000家承包商中的一部分，引發(fā)了人們對更多網(wǎng)絡(luò)漏洞的關(guān)注。

在美國國防部實施的漏洞披露計劃中，專家們尋找漏洞并將其標(biāo)記出來進(jìn)行修復(fù)。網(wǎng)絡(luò)犯罪中心稱這可以提高網(wǎng)絡(luò)防御能力，促進(jìn)主動網(wǎng)絡(luò)管理。

HackerOne的聯(lián)合創(chuàng)始人兼首席技術(shù)官Alex Rice表示：“每個組織都應(yīng)該優(yōu)先考慮保護(hù)其軟件供應(yīng)鏈，這對于保護(hù)國家安全的聯(lián)邦機(jī)構(gòu)來說更為重要?！盚ackerOne是國防部漏洞報告和審查的主要來源。

美國國防工業(yè)基地不斷受到黑客攻擊和外國勢力的威脅。美國國防部在2018年的網(wǎng)絡(luò)戰(zhàn)略中指出，雖然國際競爭對手可能不會直接與美國作戰(zhàn)，但他們正在利用數(shù)字領(lǐng)域竊取美國技術(shù)，擾亂美國政府和商業(yè)，挑戰(zhàn)美國民主進(jìn)程，并威脅美國關(guān)鍵基礎(chǔ)設(shè)施。

在2月24日俄烏沖突開始前發(fā)布的一份聯(lián)合網(wǎng)絡(luò)安全公告中，美國聯(lián)邦調(diào)查局、國家安全局和網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局警告稱，多年來，俄羅斯黑客一直以美國國防承包商為目標(biāo)，攜帶武器和通信基礎(chǔ)設(shè)施相關(guān)的重要數(shù)據(jù)潛逃。

相關(guān)報告指出，這些目標(biāo)公司從事國防和情報工作，包括導(dǎo)彈開發(fā)、車輛和飛機(jī)的設(shè)計以及指揮和控制技術(shù)，支持美國陸軍、空軍、海軍、太空部隊和國家安全項目。

美國政府問責(zé)辦公室在2021年12月的分析報告中表示，國防部已采取措施改善國防工業(yè)基地的網(wǎng)絡(luò)安全，但還有更多工作需要做。文件顯示，國防部同意該報告的調(diào)查結(jié)果和建議。