[[442082]]

美國國土安全部(DHS)邀請安全研究人員尋找漏洞并侵入其系統(tǒng)，以期加強自身面對惡意攻擊的防御能力。

美國國土安全部啟動“黑掉國土安全部”(Hack DHS)漏洞賞金計劃，意圖“發(fā)現(xiàn)國土安全部某些系統(tǒng)中的潛在網(wǎng)絡安全漏洞，提升部門的網(wǎng)絡安全彈性。”

美國國土安全部部長亞歷杭德羅·馬約卡斯(Alejandro Mayorkas)在彭博技術(shù)峰會上宣布了該計劃，稱“黑掉國土安全部”將分為三個階段：

• 黑客對國土安全部某些外部系統(tǒng)進行線上虛擬評估。
• 黑客親身參與現(xiàn)場攻擊活動。
• 國土安全部識別和審查暴露出來的問題，規(guī)劃未來的漏洞賞金。

美國國土安全部部長馬約卡斯表示，將根據(jù)漏洞的嚴重程度，為所發(fā)現(xiàn)的每個漏洞支付500~5000美元的賞金。想要獲得獎勵，安全研究人員必須向國土安全部披露漏洞的全部細節(jié)，包括漏洞利用方式，以及惡意黑客會怎么利用此漏洞來竊取信息。

當然，漏洞賞金也不是什么近些年才出現(xiàn)的新鮮事物。許多私營部門公司開展漏洞賞金計劃推動負責任的漏洞披露，近年來，美國陸軍和國防部等機構(gòu)為預先批準的安全研究人員參與漏洞搜尋提供了經(jīng)濟獎勵。

“黑掉國土安全部”漏洞賞金計劃不打算重新發(fā)明輪子，而是似乎想要吸取此類漏洞眾測計劃的經(jīng)驗，確保制定強有力的指導方針，防止隨之而來的混亂。

因此，預期“黑掉國土安全部”會跟隨“黑掉五角大樓”(Hack the Pentagon)漏洞賞金計劃的腳步，參考以下規(guī)則：

• 白帽子黑客必須預先注冊，并獲得批準，才能參與此項計劃。
• 參與者必須具有在美國工作的資格。如果你居住在目前正遭受美國貿(mào)易制裁的國家或地區(qū)，那你就不具備參與該計劃的資格。所以，該計劃不歡迎敘利亞黑客和朝鮮黑客!
• 參與者不能出現(xiàn)在美國財政部的涉恐、涉毒、涉其他犯罪的邪惡個人與團伙黑名單上。
• 每個參與者都必須同意接受背景調(diào)查。

此外，美國國土安全部將就納入眾測的系統(tǒng)范圍和接受報告的漏洞類型設置嚴格的條件。

視野放寬，最高5000美元的漏洞賞金并不算特別慷慨，尤其是考慮到企業(yè)為其他漏洞搜尋計劃支付的賞金時。但可以想見，如果能夠幫助美國國土安全部消除其系統(tǒng)中潛藏的高危安全漏洞，一些安全研究人員應該會珍視由此獲得的榮譽和成就感。