10月14日,与美国防部合作开展渗透测试的商业黑客企业HackerOne公司宣布,该公司已完成美国防部近期举行、旨在让外部白帽黑客测试其虚拟专用网络(VPN)、虚拟桌面和代理服务器安全性的“入侵代理服务(Hack the Proxy)”项目,共发现了31个漏洞,其中9个为“高风险级”,剩余为“中/低风险级”;该项目吸引了来自全球的81名黑客,美国防部已在9月3日至18日期间向提交有效漏洞信息的黑客提供了总计33750美元的奖金,单笔奖金最多为5000美元,一名美国黑客得到了近半奖金总额的16000美元。但HackerOne公司没有披露此次活动所发现漏洞的技术细节。
由美国网络司令部赞助的“入侵代理服务器”项目是美国防部、国防数字署(Defense Digital Service)和HackerOne公司三方参与的合作项目,也是首个关注于美国防部公网代理服务器安全性的漏洞众测项目。HackerOne公司之前已与美国防部及其下属部门合作开展了旨在发现美国防部信息网络(Department of Defense Information Network,DodIN)对外接口之安全漏洞的若干次安全众测活动,去年美国陆军的一个安全文件共享网站就是因为在同类活动中发现一个漏洞而被关闭。
HackerOne公司首席执行官马丁.米科斯(Marten Mickos)指出,美国防部目前已接受“黑客驱动之安全”这个理念,并持续地与全球白帽黑客合作来发现其网络的安全风险——这不单增强了美国防部的网络安全状态,也是“信任外部黑客”可带来网络防御能力持续提升的一个例子。
美国防部国防数字署专家亚历克斯.罗密欧(Alex Romero)认为,通过与HackerOne公司合作开展的这些漏洞众测活动,美国防部“增强了自身防御恶意对手的能力”;随着美国潜在对手提升其网络攻击水平,美国防部“必须在保护国防系统及美国民众之网络安全方面更进一步”。美国网络司令部作战局(Directorate of Operations)军士长麦克.梅斯温(Michael Methven)则认为,“入侵代理服务器”项目是一个利用群众智慧、从外部发现美国防部网络漏洞的重要措施,美国防部“只需付出较小代价就能更有效地识别和处置漏洞,并让美国防部网络更具弹性,保障美国防部网络和数据免遭恶意网络行为者的攻击”。
声明:本文来自国际安全简报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
