五角大樓正在進行一項眾包工程,吸引了大約500名安全研究人員報名,查找五角大樓網站上的漏洞。
該項目的管理方HackerOne公司稱,五角大樓上線的漏洞賞金項目在上周已經進行過半,目前來看,該活動在一定程度上已經取得了成功。超過500名安全研究人員和黑客通過了背景審查,加入了搜尋安全漏洞的大軍中。
“入侵五角大樓”試驗項目最初在三月宣布。它是歷史上首次借助私營企業的眾包服務幫助搜索政府信息系統漏洞的活動。
該項目獎金額度為15萬美金,目前已經進行了兩周,未來還有兩周的期限。五角大樓和HackerOne公司迄今為止尚未披露任何關于此項活動的結果,但HackerOne公司首席技術官、漏洞項目管理服務聯合創始人亞歷克斯·萊斯(Alex Rice)強調,如果沒有任何研究人員找到重大漏洞,這將是“統計學上的奇跡”。
他對媒體表示:“我能說的內容不多:類似項目、甚至是參與者更少的項目也從沒有出現過參與者沒有找到任何漏洞的情況。只要啟動了這種賞金項目,就一定能找到一些漏洞。”
漏洞賞金項目組織商BugCrowd公司CEO、創始人凱西·埃利斯(Casey Ellis)表示,五角大樓的項目是聯邦政府歷史上首次資助漏洞賞金項目,但應該不會是最后一次。因為企業和政府機構正處在不平衡的安全方程式錯誤的一邊:盡管防御者必須雇傭足夠的安全工作人員,找到并消除其軟件和系統中的某個漏洞,攻擊者僅需要找到一個就能成功。
▲凱西·埃利斯
“政府目前所處的境況非常糟糕,面對大量對手寡不敵眾。他們雇傭安全專家的速度還不夠快,與此同時他們還在遭到入侵。”
他認為,將安全工作的一部分眾包出去抵消了一些方程式的不平衡性。
不過,國防部開展的這一項目規模比一些盈利性項目大得多。一般的項目只有數十位安全研究人員參加,而不是數百。
五角大樓應當能夠拿到不錯的結果,因為數量上占絕對優勢的參與者可以覆蓋更廣范圍的漏洞。
哪怕是雇用你能找到最棒的安全專家,其規模也遠不及將全世界或全國的人都問一遍。除非你考慮到攻擊者下手的每個角度,否則很難高效地實現安全。
美國國防部副部長阿什·卡特(Ash Carter)將這次活動描述為政府挫敗網絡攻擊的新途徑。
他在曾發表的一份聲明中說:“我經常鼓勵我們的人從五角大樓之外的角度思考問題。讓負責任的黑客測試我們的網絡安全性顯然屬于這樣的舉措。”
國防部聲明稱,這一漏洞賞金試驗項目開始于3月18日,并將于5月12日結束。HackerOne估計,最晚在6月10日之前發放賞金。美國國防部對該項目給出的賞金額度是15萬美金。
國防部將此項目稱為響應奧巴馬政府《網絡安全國家行動計劃》的一大舉措。《計劃》于今年2月9日發布,呼吁政府提起重視,盡快采取措施鞏固網絡安全防御。該項目的運營方是國防部“國防數字服務”部門,它由卡特在2015年11月建立。
孟茲·梅爾扎 (Monzy Merza)是數據分析企業Splunk的網絡安全研究主管,他在媒體的電郵采訪中回復稱,盡管尋找并修復漏洞十分重要,該項目同時也開辟了聯邦政府招募安全工作人員的新渠道。
“尋找并修復漏洞是好事。為個人創造測試能力、學習知識的機會也很重要。總的來看,資深安全專家比較緊缺。綜上所述,漏洞賞金項目能夠為人們創造學習的機會,也同時在這個高度受限的市場中開辟了新的人力資源池。”
攻擊政府系統可能會讓一些黑客感到擔心,甚至有些人根本不敢前來參與,但該項目的實際情況與之前由HackerOne組織的漏洞賞金項目有所不同。
HackerOne之前的一些項目,外加BugCrowd和TippingPoint (現已被趨勢科技收購)的零日實驗項目,都會在研究人員和黑客正式對企業服務和網站發起攻擊之前進行一些審查,對生產性網站而言尤其如此。對五角大樓的此次項目而言,背景審查更為嚴格。
歸根結底,此類項目能夠幫助企業更有效地實現安全,僅對結果付款,而不用招募難尋蹤跡的安全工作者。
“企業不安全,但這并不是因為缺乏資金。在安全方面投入的資金去向既不經濟,也不有效,其數量大得近乎荒謬。哪怕是我們雇到了臨近地區所有的安全研究人員,也完全無法將安全性提升到足以應對黑客們的高度。”
京公網安備 11010502049343號