Jonathan Greig är journalist baserad i New York City.
Fullständig bio den 22 december 2021 | Ämne: Regering: USA
Cybersecurity and Infrastructure Security Agency (CISA) chef Jen Easterly och inrikessäkerhetssekreterare Alejandro Mayorkas tillkännagav utbyggnaden av “Hack DHS”-bugbountyprogrammet och noterade på Twitter att det nu kommer att inkludera sårbarheter relaterade till Log4J.
“Vi öppnade vårt HackDHS bug-bounty-program för att hitta och korrigera Log4j-relaterade sårbarheter i våra system,” sa Easterly. “Ett stort tack till forskargemenskapen som deltar i detta program. Log4j är ett globalt hot och det är fantastiskt att ha några av världens bästa som hjälper oss att hålla organisationer säkra.”
Den 14 december tillkännagav Homeland Security Department bug Bounty-programmet som ett sätt att identifiera cybersäkerhetsluckor och sårbarheter i sina system. De gav “kontrollerade” cybersäkerhetsforskare tillgång till “utvalda externa DHS-system” och bad dem att hitta buggar.
Sekreterare Alejandro Mayorkas kallade DHS “den federala regeringens cybersäkerhetsquarterback” och sa att programmet “uppmuntrar högutbildade hackare att identifiera cybersäkerhetssvagheter i våra system innan de kan utnyttjas av dåliga aktörer.”
“Detta program är ett exempel på hur avdelningen samarbetar med samhället för att hjälpa till att skydda vår nations cybersäkerhet,” sa Mayorkas.
I den ursprungliga konturen av programmet planerade DHS att buggpremieinsatsen skulle ske i tre olika faser 2022. När hackarna avslutat med att genomföra en virtuell bedömning av DHS externa system kommer de att bjudas in att delta i en live, in- personhackningshändelse.
Den sista fasen innebar att DHS tog rekommendationerna och planerade för nästa bugg-bounty-program. DHS har för avsikt att göra programmet till något som alla statliga myndigheter kan göra.
“Hack DHS, som kommer att utnyttja en plattform skapad av avdelningens Cybersecurity and Infrastructure Security Agency (CISA), kommer att styras av flera regler för engagemang och övervakas av DHS Office of Chief Information Officer. Hackare kommer att avslöja sina resultat till DHS-systemet ägare och ledarskap, inklusive vad sårbarheten är, hur de utnyttjade den och hur det kan tillåta andra aktörer att få tillgång till information”, förklarade DHS.
“Belöningen för att identifiera varje bugg bestäms genom att använda en glidande skala, där hackare tjänar de högsta prispengarna för att identifiera de allvarligaste buggarna. Hack DHS bygger på de bästa praxis som lärts från liknande, brett implementerade initiativ inom den privata sektorn och den federala regeringen , såsom försvarsdepartementets “Hack the Pentagon”-program.”
Detta kommer inte att vara det första bugg-bounty-programmet som drivs av DHS. De körde ett pilotprogram för insatsen 2019 efter att lagstiftning antagits tack vare den tvåpartiska koalitionen bakom SECURE Technology Act. DHS förklarade att lagen tillåter dem att betala personer som valts ut för att utvärdera DHS-system genom att efterlikna hackers beteende.
Säkerhet
Log4j-hot:10 frågor du behöver ställa Apache-släpper nya 2.17.0 patch för Log4j, löser DoS-sårbarhet Polisen hittar 225 miljoner stulna lösenord på en hackad server. Är din en av dem? Hur detta företag inte betalade när det drabbades av ransomware De bästa VPN:erna för små och hembaserade företag 2021 Säkerhet | CXO | Innovation | Smarta städer