Jonathan Greig er en journalist basert i New York City.
Full Bio 22. desember 2021 | Emne: Regjeringen : USA
Direktør for Cybersecurity and Infrastructure Security Agency (CISA) Jen Easterly og hjemmesikkerhetssekretær Alejandro Mayorkas kunngjorde utvidelsen av «Hack DHS»-bug-premieprogrammet, og bemerket på Twitter at det nå vil inkludere sårbarheter knyttet til Log4J.
“Vi åpnet vårt HackDHS-bug-bounty-program for å finne og lappe Log4j-relaterte sårbarheter i systemene våre,” sa Easterly. “En stor takk til forskermiljøet som deltar i dette programmet. Log4j er en global trussel, og det er flott å ha noen av verdens beste som hjelper oss med å holde organisasjoner trygge.”
14. desember kunngjorde Homeland Security Department bug-bounty-programmet som en måte å identifisere cybersikkerhetshull og sårbarheter i systemene deres. De ga “godkjente” cybersikkerhetsforskere tilgang til “utvalgte eksterne DHS-systemer” og ba dem finne feil.
Sekretær Alejandro Mayorkas kalte DHS “den føderale regjeringens cybersikkerhets-quarterback” og sa at programmet “oppmuntrer svært dyktige hackere til å identifisere cybersikkerhetssvakheter i systemene våre før de kan utnyttes av dårlige aktører.”
“Dette programmet er et eksempel på hvordan departementet samarbeider med samfunnet for å hjelpe til med å beskytte nasjonens nettsikkerhet,” sa Mayorkas.
I den opprinnelige oversikten av programmet planla DHS at bug-bounty-innsatsen skulle skje i tre forskjellige faser i 2022. Når hackerne var ferdige med å gjennomføre en virtuell vurdering av DHS eksterne systemer, vil de bli invitert til å delta i en live, in- person hacking-hendelse.
Den siste fasen innebar at DHS tok anbefalingene og planla de neste bug-bounty-programmene. DHS har til hensikt å gjøre programmet til noe ethvert offentlig organ kan gjøre.
“Hack DHS, som vil utnytte en plattform opprettet av avdelingens Cybersecurity and Infrastructure Security Agency (CISA), vil bli styrt av flere engasjementsregler og overvåket av DHS-kontoret til Chief Information Officer. Hackere vil avsløre funnene sine til DHS-systemet eiere og lederskap, inkludert hva sårbarheten er, hvordan de utnyttet den, og hvordan den kan tillate andre aktører å få tilgang til informasjon,” forklarte DHS.
“Grunnen for å identifisere hver feil bestemmes ved å bruke en glidende skala, med hackere som tjener de høyeste premiene for å identifisere de mest alvorlige feilene. Hack DHS bygger på beste praksis lært fra lignende, vidt implementerte initiativer i privat sektor og den føderale regjeringen , slik som forsvarsdepartementets “Hack the Pentagon”-program.”
Dette vil ikke være det første bug-bounty-programmet som drives av DHS. De kjørte et pilotprogram for innsatsen i 2019 etter at lovgivningen ble vedtatt takket være den todelte koalisjonen bak SECURE Technology Act. DHS forklarte at loven tillater dem å betale folk som er valgt for å evaluere DHS-systemer ved å etterligne hackeratferd.
Sikkerhet
Log4j-trussel:10 spørsmål du må stille Apache-utgivelser nye 2.17.0-oppdatering for Log4j, løser DoS-sårbarhet Politiet finner 225 millioner stjålne passord på en hacket server. Er din en av dem? Hvordan dette selskapet ikke betalte når det ble rammet av løsepengevare De beste VPN-ene for små og hjemmebaserte virksomheter i 2021 Sikkerhet | CXO | Innovasjon | Smarte byer