自2016年起美国国防部(DoD)便积极鼓励黑客去黑五角大楼,以期发现国防部系统中的软件漏洞。由于这两年与黑客的合作带来了价值,如今其众包安全工作还将继续深入,合作对象扩展到3家——HackerOne、Synack和bugcrowd。

上周,DoD宣布将扩大其漏洞奖励项目,将合约授予3家托管漏洞奖励供应商:HackerOne、Synack和Bugcrowd。HackerOne和Synack在2016年时已参与到了DoD的漏洞奖励项目中,现在这一漏洞奖励合约再被更新,项目中新纳入了Bugcrowd。

该合约是一份IDIQ(无限期不定数量)合约,是政府机构用以加速新技术在不同部门中应用的。DDS(国防数字服务)团队很好地在DoD中宣传了这一概念,目前各项工作正在有序推进中。

通过漏洞奖励项目,公司企业或政府机构能够以奖金换取安全研究人员的私下漏洞披露服务。2016年以来美国国防部执行了多项漏洞奖励,包括“黑了五角大楼”、“黑掉空军”、“黑了海军陆战队”和“黑掉陆军”等。比如说,今年2月的“黑掉空军2.0”就是个为期20天的挑战,期间有106个漏洞被发现并修复。DoD在漏洞奖励上给安全研究人员放出了10.3883万美元的奖金。“黑掉空军”就是HackerOne承办的,“黑掉陆军”和“黑了海军陆战队”中也有它的身影。

“黑了五角大楼”合约包含两个部分。功能区 1 (FA1)是HackerOne最初被选中的原因,与面向公众的资产相关,HackerOne与陆军、空军、国防旅行系统和海军陆战队合作的项目与之类似。

我们已经执行了6项与面向公众的资产相关的挑战,且未来还会执行更多。功能区 2 (FA2)是‘黑了五角大楼’合约的第二部分,是今天才宣布的,对HackerOne来说是个新鲜事物,与非公共领域的政府资产相关。

Synack

与HackerOne管理面向公众资产的漏洞奖励项目不同,Synack执行的是私密、托管的“黑了五角大楼”项目。

Synack创始人兼首席执行官 Jay Kaplan 表示:他们为包括美国空军、陆军在内的军方和DoD机关的敏感内部系统执行过一系列众包安全项目。鉴于工作的敏感属性,包括在模拟的非机密环境中仿真机密系统等,大多数项目细节都是保密的。

Kaplan称,该项目扩展有助于满足DoD各部门不断增长的对通过众包安全引入新视角的需求。漏洞奖励项目的新扩展将使DoD各部门能够执行贯穿全年的延续性高价值资产评估。另外,硬件和物理系统之类的其他资产也在新众包安全项目的范畴之中。

Bugcrowd

Bugcrowd的加入可被视为这家公司在过去两年中市场牵引力的明证。

过去两年中Bugcrowd的市场牵引力发生了重大变化,包括与更传统和专业的客户的合作,专注增强自身平台与白帽子客户的价值与能力。DoD观察到了Bugcrowd这段时间的进步,Bugcrowd加入‘黑了五角大楼’项目是双方都乐见其成的。

虽然Bugcrowd被认为是漏洞奖励公司,该公司为DoD所做的工作却与该公司更为低调的“众包安全”业务没有什么不同。目前Bugcrowd的业务都是众包安全,也就是私下交付的、高度可信、经严格审查的众包安全测试。

对Bugcrowd而言,拿下DoD的漏洞奖励合约最令人兴奋的部分,是该公司的主要业务本就落在这一领域,且该合约倍增了其黑客的工作机会。

企业能从中学到什么

DoD持续扩展漏洞奖励和众包安全工作的事实,在供应商看来是商业公司值得学习的一个案例研究。如果DoD这样的大型国家核心部门都能理解众包模式的力量,那么企业自然也可以,而且很多企业已经了解到了众包安全的潜力。

认为黑客天生邪恶的误解,是公司企业从更好的黑客反馈中获益的主要阻碍。“黑了五角大楼”项目的扩展传递出黑客是互联网修锁匠而不是入室劫匪的信息。企业可从中学到很多。

众包安全可高效测试所有数字资产,从面向公众的系统到内部系统都可以。不过,众包安全需赋予客户健壮的控制措施,包括有平台可以利用测试结果及情报,还有过程可以辅助扩展安全操作而不是增加团队的负担。

另外,应尽早在开发周期中引入众包安全测试。比如DoD就在其系统的开发过程中执行了众包安全测试,将漏洞在系统部署并造成负面影响之前就揪出来。

DoD的经验清晰可见,表明了任何组织机构都免不了漏洞的出现,公司企业能从DoD的经验中学到很多。

政府机构装载着一些世界上最为安全的防御系统,经常成为对手的攻击目标。但黑客仍能挖掘出5000多个对DoD来说很有价值的漏洞。

无论公共领域还是私营产业,总有些东西会被挖掘出来。目前,没有漏洞披露项目简直就是失职。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。