skriven av Michael Gariffo, personalförfattaren 
Michael Gariffo Staff Writer
Michael är en erfaren teknikskribent som har täckt affärs- och konsumentfokuserad hårdvara och mjukvara i över ett decennium.
Fullständig bio den 15 december 2021 | Ämne: Säkerhet
USA:s Department of Homeland Security lanserar sitt eget program för buggstöd för att hjälpa till att hitta och korrigera luckor i sina system.
Det nya “Hack DHS”-programmet gjordes officiellt av inrikessäkerhetssekreteraren Alejandro Mayorkas i ett pressmeddelande på byråns hemsida efter att det avslöjades vid det senaste Bloomberg Technology Summit och täcktes av The Record. Programmet lovar att betala ut mellan $500 och $5 000 till “bevakade cybersäkerhetsforskare som har bjudits in att få tillgång till utvalda externa DISH-system.” Den faktiska utbetalningen kommer att baseras på hur allvarlig den specifika sårbarheten som upptäckts är.
Som påpekats av DHS bygger detta nya bounty-program på liknande insatser från den privata sektorn och “Hack the Pentagon”, ett första program i sitt slag som lanserades 2016 och som ytterst var ansvarigt för att identifiera över 100 sårbarheter i olika tillgångar från försvarsdepartementet. DHS skapade själv ett liknande pilotprogram 2019 på baksidan av ett tvåpartisk lagförslag. Det följde relaterade ansträngningar från försvarsdepartementet, flygvapnet och armén.
“Hack DHS-programmet uppmuntrar högutbildade hackare att identifiera cybersäkerhetssvagheter i våra system innan de kan utnyttjas av dåliga aktörer”, noterade Mayorkas.
Insatsen kommer att omfatta tre faser som kommer att pågå under hela FY 2022. I den första fasen kommer hackare att uppmanas att utföra “virtuell bedömning” på utvalda DHS-system. Detta kommer att följas av en “live, in-person hacking-event” under fas två, och en identifierings- och granskningsprocess under den tredje och sista fasen.
DHS noterade att de kommer att använda data som samlats in under denna process för att både planera för framtida bugg-utgifter och för att utveckla “en modell som kan användas av andra organisationer på alla nivåer av förvaltningen för att öka sina egna cybersäkerhetsförmåga.”
Liksom tidigare statliga program av liknande karaktär kommer detta att styras av regler som är orkestrerade av DHS Cybersecurity and Infrastructure Security Agency (CISA), där alla deltagare måste avslöja all information som kan vara användbar för att mildra och korrigera de sårbarheter de Upptäck.
Hoppet för program som detta är att privat upptäcka och lappa hål utan att förlita sig på externa säkerhetsforskare eller slumpmässiga upptäckare för att göra det noggranna och informera leverantören/byrån innan en sårbarhet släpps ut i naturen. Denna ansträngning dyker upp särskilt läglig i en värld där regeringar, företag och nästan alla som äger en dator fortsätter att ta itu med följderna från det mycket offentliga avslöjandet och det snabba utnyttjandet av Log4j-sårbarheten.
Utvalda
Log4j zero-day-fel: Vad du behöver veta och hur du skyddar dig Covid-testning: De bästa snabbtestsatserna hemma Din Windows 11-uppgradering är klar . Ska du göra det? Bästa tekniska produkter 2021: ZDNets mest rekommenderade prylar Säkerhets-TV | Datahantering | CXO | Datacenter