Jonathan Greig er journalist baseret i New York City.
Fuld bio den 22. december 2021 | Emne: Regering: USA
Direktør for Cybersecurity and Infrastructure Security Agency (CISA) Jen Easterly og Homeland Security Secretary, Alejandro Mayorkas, annoncerede udvidelsen af ”Hack DHS” bug-bounty-programmet og bemærkede på Twitter, at det nu vil inkludere sårbarheder relateret til Log4J.
“Vi åbnede vores HackDHS bug bounty-program for at finde og lappe Log4j-relaterede sårbarheder i vores systemer,” sagde Easterly. “Kæmpe tak til forskersamfundet, der deltager i dette program. Log4j er en global trussel, og det er fantastisk at have nogle af verdens bedste, der hjælper os med at holde organisationer sikre.”
Den 14. december annoncerede Homeland Security Department bug-bounty-programmet som en måde at identificere cybersikkerhedshuller og sårbarheder i deres systemer. De gav “godkendte” cybersikkerhedsforskere adgang til “udvælge eksterne DHS-systemer” og bad dem om at finde fejl.
Sekretær Alejandro Mayorkas kaldte DHS for “den føderale regerings cybersikkerheds-quarterback” og sagde, at programmet “incitamenter højtuddannede hackere til at identificere cybersikkerhedssvagheder i vores systemer, før de kan udnyttes af dårlige aktører.”
“Dette program er et eksempel på, hvordan afdelingen samarbejder med samfundet for at hjælpe med at beskytte vores nations cybersikkerhed,” sagde Mayorkas.
I den oprindelige oversigt over programmet planlagde DHS, at bug bounty-indsatsen skulle finde sted i tre forskellige faser i 2022. Når hackerne var færdige med at udføre en virtuel vurdering af DHS eksterne systemer, vil de blive inviteret til at deltage i en live, in- person hacking begivenhed.
Den sidste fase indebar, at DHS tog anbefalingerne og planlagde de næste bug bounty-programmer. DHS har til hensigt at gøre programmet til noget ethvert regeringsorgan kunne gøre.
“Hack DHS, som vil udnytte en platform skabt af ministeriets Cybersecurity and Infrastructure Security Agency (CISA), vil blive styret af adskillige regler for engagement og overvåget af DHS Office of Chief Information Officer. Hackere vil afsløre deres resultater til DHS-systemet ejere og ledelse, herunder hvad sårbarheden er, hvordan de udnyttede den, og hvordan den kan give andre aktører adgang til information,” forklarede DHS.
“Døden for at identificere hver fejl bestemmes ved at bruge en glidende skala, hvor hackere optjener den højeste dusør for at identificere de mest alvorlige fejl. Hack DHS bygger på bedste praksis lært fra lignende, bredt implementerede initiativer på tværs af den private sektor og den føderale regering , såsom forsvarsministeriets 'Hack the Pentagon'-program.”
Dette vil ikke være det første bug bounty-program, der drives af DHS. De kørte et pilotprogram for indsatsen i 2019, efter at lovgivningen blev vedtaget takket være den topartiske koalition bag SECURE Technology Act. DHS forklarede, at loven tillader dem at betale folk, der er udvalgt til at evaluere DHS-systemer ved at efterligne hackeradfærd.
Sikkerhed
Log4j-trussel:10 spørgsmål, du skal stille Apache-udgivelser nye 2.17.0 patch til Log4j, løser DoS-sårbarhed Politiet finder 225 millioner stjålne adgangskoder på en hacket server. Er din en af dem? Hvordan dette firma ikke betalte, da det blev ramt af ransomware De bedste VPN'er til små og hjemmebaserede virksomheder i 2021 Sikkerhed | CXO | Innovation | Smarte byer