时间:2016-05-08 21:00:07 来源: 复制分享
五角大楼正在进行一项众包工程,吸引了大约500名安全研究人员报名,查找五角大楼网站上的漏洞。
该项目的管理方HackerOne公司称,五角大楼上线的漏洞赏金项目在上周已经进行过半,目前来看,该活动在一定程度上已经取得了成功。超过500名安全研究人员和黑客通过了背景审查,加入了搜寻安全漏洞的大军中。
“入侵五角大楼”试验项目最初在三月宣布。它是历史上首次借助私营企业的众包服务帮助搜索政府信息系统漏洞的活动。
该项目奖金额度为15万美金,目前已经进行了两周,未来还有两周的期限。五角大楼和HackerOne公司迄今为止尚未披露任何关于此项活动的结果,但HackerOne公司首席技术官、漏洞项目管理服务联合创始人亚历克斯莱斯(Alex Rice)强调,如果没有任何研究人员找到重大漏洞,这将是“统计学上的奇迹”。
他对媒体表示:“我能说的内容不多:类似项目、甚至是参与者更少的项目也从没有出现过参与者没有找到任何漏洞的情况。只要启动了这种赏金项目,就一定能找到一些漏洞。”
漏洞赏金项目组织商BugCrowd公司CEO、创始人凯西埃利斯(Casey Ellis)表示,五角大楼的项目是联邦政府历史上首次资助漏洞赏金项目,但应该不会是最后一次。因为企业和政府机构正处在不平衡的安全方程式错误的一边:尽管防御者必须雇佣足够的安全工作人员,找到并消除其软件和系统中的某个漏洞,攻击者仅需要找到一个就能成功。
▲凯西埃利斯
“政府目前所处的境况非常糟糕,面对大量对手寡不敌众。他们雇佣安全专家的速度还不够快,与此同时他们还在遭到入侵。”
他认为,将安全工作的一部分众包出去抵消了一些方程式的不平衡性。
不过,国防部开展的这一项目规模比一些盈利性项目大得多。一般的项目只有数十位安全研究人员参加,而不是数百。
五角大楼应当能够拿到不错的结果,因为数量上占绝对优势的参与者可以覆盖更广范围的漏洞。
哪怕是雇用你能找到最棒的安全专家,其规模也远不及将全世界或全国的人都问一遍。除非你考虑到攻击者下手的每个角度,否则很难高效地实现安全。
美国国防部副部长阿什卡特(Ash Carter)将这次活动描述为政府挫败网络攻击的新途径。
他在曾发表的一份声明中说:“我经常鼓励我们的人从五角大楼之外的角度思考问题。让负责任的黑客测试我们的网络安全性显然属于这样的举措。”
国防部声明称,这一漏洞赏金试验项目开始于3月18日,并将于5月12日结束。HackerOne估计,最晚在6月10日之前发放赏金。美国国防部对该项目给出的赏金额度是15万美金。
国防部将此项目称为响应奥巴马政府《网络安全国家行动计划》的一大举措。《计划》于今年2月9日发布,呼吁政府提起重视,尽快采取措施巩固网络安全防御。该项目的运营方是国防部“国防数字服务”部门,它由卡特在2015年11月建立。
孟兹梅尔扎(Monzy Merza)是数据分析企业Splunk的网络安全研究主管,他在媒体的电邮采访中回复称,尽管寻找并修复漏洞十分重要,该项目同时也开辟了联邦政府招募安全工作人员的新渠道。
“寻找并修复漏洞是好事。为个人创造测试能力、学习知识的机会也很重要。总的来看,资深安全专家比较紧缺。综上所述,漏洞赏金项目能够为人们创造学习的机会,也同时在这个高度受限的市场中开辟了新的人力资源池。”
攻击政府系统可能会让一些黑客感到担心,甚至有些人根本不敢前来参与,但该项目的实际情况与之前由HackerOne组织的漏洞赏金项目有所不同。
HackerOne之前的一些项目,外加BugCrowd和TippingPoint (现已被趋势科技收购)的零日实验项目,都会在研究人员和黑客正式对企业服务和网站发起攻击之前进行一些审查,对生产性网站而言尤其如此。对五角大楼的此次项目而言,背景审查更为严格。
归根结底,此类项目能够帮助企业更有效地实现安全,仅对结果付款,而不用招募难寻踪迹的安全工作者。
“企业不安全,但这并不是因为缺乏资金。在安全方面投入的资金去向既不经济,也不有效,其数量大得近乎荒谬。哪怕是我们雇到了临近地区所有的安全研究人员,也完全无法将安全性提升到足以应对黑客们的高度。”