国土安全部 (DHS) 的漏洞赏金计划的结果已经公布,对于一个与网络安全同义的政府机构来说,这并不是特别令人鼓舞的消息。
国土安全部首个漏洞赏金计划“Hack DHS”的参与者证实,他们发现了数量令人担忧的安全漏洞。
据The Register和Bleeping Computer报道,他们在外部 DHS 系统中总共发现了 122 个安全漏洞。 27 个错误被认为是“严重严重”的缺陷。
在 Hack DHS 计划中,超过 450 名安全研究人员参与了该计划。为了他们的努力,政府机构支付了 125,600 美元的总奖励,分配给了道德黑客。
正如 The Register 恰当地强调的那样,与其他组织支付给漏洞赏金猎人的费用相比,上述支付数字相形见绌。
例如,英特尔此前曾为成功发现特定漏洞提供高达 100,000 美元的奖金。
微软等其他科技巨头为寻找漏洞提供了数十万美元,而苹果公司则向个人支付了几乎全部的 Hack DHS 赏金,给他 100,000 美元用于破解 Mac 。
与此同时,谷歌已经向参与其自己的漏洞赏金计划的个人奖励了近 3000 万美元。在一个特定的案例中,该公司给了一名自学成才的青少年黑客 36,000 美元,用于报告某个漏洞。
考虑到国土安全部的一项关键职责涉及网络安全这一事实,许多人可能会担心一开始就发现了如此大量的安全漏洞,这是可以理解的。此外,与 Hack DHS 相关的有些低迷的支付等级可能会对未来的相关方产生潜在的威慑作用。
综合考虑,国土安全部似乎并不像许多美国人所希望的那样安全。
国土安全部寻求变得更加安全
Hack DHS 最初于 2021 年 12 月推出。任何加入该计划的黑客都必须提供他们发现的任何漏洞的全面细分。他们还必须详细说明潜在威胁行为者如何针对和利用该漏洞,并解释如何专门利用它来访问和提取 DHS 系统中的数据。
一旦这些安全缺陷通过“DHS 安全专家”的验证流程,在检测到并提交漏洞后需要 48 小时进行分析,通常会在 15 天左右进行修补。在某些情况下,政府机构需要半个月以上的时间来修复更复杂的缺陷。
政府机构的漏洞赏金计划将通过由三个阶段组成的分层推出来进行。第一阶段,支付,已经完成,而即将到来的第二阶段将看到国土安全部精心挑选的安全研究人员参加现场黑客活动。
至于最后阶段,The Register 报告称,国土安全部将分享希望影响其他漏洞赏金计划的信息。
在网络犯罪分子一直在加紧试图渗透大公司的时代,特别是在技术领域,漏洞赏金计划的受欢迎程度越来越突出。
例如,英特尔推出了 Project Circuit Breaker ,这是其漏洞赏金计划的扩展,旨在招募“精英黑客”。谷歌去年还更新了漏洞奖励计划, 推出了一个新的漏洞平台。
在其他地方,谷歌最近证实,在 2021 年发现了创纪录数量的危险零日攻击,而网络犯罪比以往任何时候都更加普遍。