當?shù)貢r間12月14日，美國國土安全部部長亞歷杭德羅·馬約卡斯表示，美國國土安全部 (DHS) 推出了一項名為“Hack DHS”的漏洞賞金計劃，旨在識別某些DHS系統(tǒng)中的潛在網(wǎng)絡安全漏洞并提高網(wǎng)絡安全彈性，允許黑客報告其系統(tǒng)中的漏洞，以換取金錢獎勵。

[[440948]]

詳細內(nèi)容

“作為聯(lián)邦政府的網(wǎng)絡安全四分衛(wèi)，國土安全部必須以身作則，不斷尋求加強我們自己的系統(tǒng)的安全性，”部長亞歷杭德羅·N·馬約卡斯 (Alejandro N. Mayorkas) 說。“Hack DHS 計劃激勵高技能黑客在我們系統(tǒng)中的網(wǎng)絡安全弱點被不良行為者利用之前識別它們。該計劃是該部門如何與社區(qū)合作以幫助保護我們國家的網(wǎng)絡安全的一個例子。”

Hack DHS 將在 2022 財年分三個階段進行，其目標是開發(fā)一種模型，可供各級政府的其他組織使用，以提高其自身的網(wǎng)絡安全彈性。在第一階段，黑客將對某些 DHS 外部系統(tǒng)進行虛擬評估。在第二階段，黑客將參加現(xiàn)場的、面對面的黑客活動。在第三個也是最后一個階段，國土安全部將確定和審查吸取的教訓，并計劃未來的漏洞賞金。

Hack DHS 將利用該部門網(wǎng)絡安全和基礎設施安全局 (CISA) 創(chuàng)建的平臺，將受多項參與規(guī)則的約束，并由 DHS 首席信息官辦公室進行監(jiān)控。黑客將向 DHS 系統(tǒng)所有者和領導層披露他們的發(fā)現(xiàn)，包括漏洞是什么、他們?nèi)绾卫盟约八绾卧试S其他參與者訪問信息。識別每個錯誤的賞金是通過使用滑動比例確定的，黑客在識別最嚴重的錯誤時獲得最高的賞金。

根據(jù)馬約卡斯在彭博科技峰會上討論的“入侵國土安全部”(Hack DHS)計劃，道德黑客將根據(jù)漏洞的嚴重程度獲得500至5000美元的獎勵。該部將在48小時內(nèi)驗證漏洞，并在15天內(nèi)修復它們，或者對于復雜的漏洞，會制定一個在限定時間內(nèi)完成的計劃。

Hack DHS 并不是美國政府和軍方發(fā)起的唯一漏洞賞金計劃，聯(lián)邦政府的類似舉措包括“ Hack the Pentagon ”和“ Hack the Army”計劃。

“這次擴展證明了政府網(wǎng)絡安全方法的轉(zhuǎn)變，并超越了目前國防部的技術狀態(tài)，”國防數(shù)字服務主管Brett Goldstein說。

然而，對漏洞賞金計劃持批評態(tài)度的人認為，這些計劃將重點放在組織在其整體安全設置中過于依賴的較小漏洞上，無助于整體網(wǎng)絡安全的改進，此外還有其他潛在的不良副作用。國土安全部今年建立了一個漏洞披露計劃，設定了道德黑客如何向國土安全部通報漏洞的條款。去年，它還發(fā)布了一項指令，要求聯(lián)邦機構(gòu)設立此類項目。