Michael Gariffo Staff Writer
Michael er en erfaren teknologiskribent, som har dækket forretnings- og forbrugerfokuseret hardware og software i over et årti.
Fuld biografisk den 15. december 2021 | Emne: Sikkerhed
Det amerikanske Department of Homeland Security lancerer sit eget bug bounty-program for at hjælpe med at finde og rette huller i dets systemer.
Det nye “Hack DHS”-program blev gjort officielt af Homeland Security Secretary Alejandro Mayorkas i en pressemeddelelse på agenturets hjemmeside, efter at det blev afsløret på det nylige Bloomberg Technology Summit og dækket af The Record. Programmet lover at udbetale mellem $500 og $5.000 til “godkendte cybersikkerhedsforskere, der er blevet inviteret til at få adgang til udvalgte eksterne DISH-systemer.” Den faktiske udbetaling vil være baseret på sværhedsgraden af den specifikke opdagede sårbarhed.
Som bemærket af DHS bygger dette nye dusørprogram på lignende indsatser fra den private sektor og “Hack the Pentagon”, et første af sin slags program, der blev lanceret i 2016, der i sidste ende var ansvarlig for at identificere over 100 sårbarheder på tværs af forskellige aktiver i forsvarsministeriet. DHS oprettede selv et lignende pilotprogram i 2019 på baggrund af et lovforslag om to partier. Det fulgte relaterede indsatser fra forsvarsministeriet, luftvåbenet og hæren.
“Hack DHS-programmet tilskynder højtuddannede hackere til at identificere cybersikkerhedssvagheder i vores systemer, før de kan udnyttes af dårlige aktører,” bemærkede Mayorkas.
Indsatsen vil omfatte tre faser, der løber gennem hele regnskabsåret 2022. I den første fase vil hackere blive opfordret til at udføre “virtuel vurdering” på udvalgte DHS-systemer. Dette vil blive efterfulgt af en “live, in-person hacking-begivenhed” under fase to og en identifikations- og gennemgangsproces i den tredje og sidste fase.
DHS bemærkede, at det vil bruge de data, der er indsamlet under denne proces til både at planlægge fremtidige bug-bounties og til at udvikle “en model, der kan bruges af andre organisationer på tværs af alle regeringsniveauer til at øge deres egen cybersikkerhedsresiliens.”
Ligesom tidligere regeringsprogrammer af lignende karakter vil dette blive styret af regler orkestreret af DHS' Cybersecurity and Infrastructure Security Agency (CISA), hvor alle deltagere er forpligtet til fuldt ud at afsløre alle oplysninger, der kan være nyttige til at afbøde og rette op på de sårbarheder, de opdage.
Håbet for programmer som dette er at privat opdage og lappe huller uden at stole på eksterne sikkerhedsforskere eller tilfældige opdagere til at gøre det omhyggelige og informere leverandøren/bureauet, før en sårbarhed frigives i naturen. Denne indsats dukker især op i en verden, hvor regeringer, virksomheder og næsten alle, der ejer en computer, fortsætter med at håndtere konsekvenserne af selve offentliggørelsen og den hurtige udnyttelse af Log4j-sårbarheden.
Fremhævede
Log4j-trusler: Hvad du behøver at vide, og hvordan du beskytter dig selv 2022: En stor revolution inden for robotteknologi Covid-test: De bedste hurtige testsæt derhjemme Det bedste teknologiske produkter fra 2021 Security TV | Datastyring | CXO | Datacentre