近日,美国空军一个为期8个月,价值7500万元美元的渗透测试服务采购合同引起广泛关注。往常,美军数千万美元渗透测试采购合同都需要数年的服务时间,像这样近亿美元服务时间却不足一年的合同极为罕见。

3月底,负责这一项目的美国空军首席转型官Lauren Knausenberger(劳伦·诺森伯格)在接受媒体采访时表示,这次的采购授权白帽黑客们“真正放开手来”,模拟战时网络对抗,打破了以往“特定任务”(mission-specific)形式、设置范围的渗透测试。

2020年2月,美国国防部官网公告称,美国安全公司Dark Wolf Solutions获得美国空军一份价值7500万美元的网络创新服务采购订单,将为犹他州的希尔空军基地提供软件渗透测试和对抗评估服务。这项工作预计在今年10月19日前完成,为期8个月。

对照以往美军的渗透测试采购合同,金额与服务时间是成比例对应的,一般千万级项目对应的服务时长以年为单位计算,像新合同这样,在短短8个月就完成近亿美金的服务非常罕见。

诺森伯格介绍,这次的创新服务采购,要求服务方不论订单任务大小,要支撑所有空军士兵的需求,打破传统渗透测试圈定范围和时间做测试的“特定任务”形式,模拟战时网络攻击的对抗评估,模拟高级威胁对手,放开范围和时间,长时间针对非特定目标进行渗透,真正将渗透测试变成日常标准流程,授权白帽黑客们“真正放开手来”寻找弱点。

作为全球数字化程度最领先的军队组织之一,美军很早就使用了内部网络红队、漏洞赏金计划、外部渗透测试服务等手段,但圈定范围、时间、人力的测试形式,效果有限,难以真正保障内部安全。新合同以发现最坏结果为导向,以丰厚资金招募外部测试攻击力量,或将成为未来检验高安全机构网络安全建设水平的重要手段。

这次采购,展现出美军的网络安全建设,正在快速从合规思维迈向风险管理思维。2019年,美国空军发布快速通道操作授权(Fast-Track Authorization to Operate)指令,当某系统满足安全基线,开通渗透测试和持续监控服务后,可以通过快速通道优先上线。渗透测试服务可以发现漏洞并预先修复,持续监控服务能保证线上没有已知漏洞存在。快速通道流程,可以视为美军网络安全建设从合规思维迈向风险管理思维的标志,过去一个软件或系统要获得试用授权,需要一年甚至几年时间,现在最快几周内就可以获批上线。同样一个系统,快速通道流程用了5周时间就完成上线,发现并修复了一个漏洞,传统流程上线历时9个月,且没有发现漏洞。

Dark Wolf Solutions的采购订单,正是快速通道流程的第一批合同之一,未来还将签订更大的订单,以满足全球各地士兵的需求。

参考资料

https://www.defense.gov/Newsroom/Contracts/Contract/Article/2089858/#DARKWOLF022020

https://www.fedscoop.com/air-force-hackers-testing-white-hat/

https://www.fedscoop.com/fast-track-ato-air-force-wanda-jones-heath/

作者:安全内参小编

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。