8个月7500万美元，美国空军采购实网渗透测试引关注

近日，美国空军一个为期8个月，价值7500万元美元的渗透测试服务采购合同引起广泛关注。往常，美军数千万美元渗透测试采购合同都需要数年的服务时间，像这样近亿美元服务时间却不足一年的合同极为罕见。

3月底，负责这一项目的美国空军首席转型官Lauren Knausenberger（劳伦·诺森伯格）在接受媒体采访时表示，这次的采购授权白帽黑客们“真正放开手来”，模拟战时网络对抗，打破了以往“特定任务”（mission-specific）形式、设置范围的渗透测试。

2020年2月，美国国防部官网公告称，美国安全公司Dark Wolf Solutions获得美国空军一份价值7500万美元的网络创新服务采购订单，将为犹他州的希尔空军基地提供软件渗透测试和对抗评估服务。这项工作预计在今年10月19日前完成，为期8个月。

对照以往美军的渗透测试采购合同，金额与服务时间是成比例对应的，一般千万级项目对应的服务时长以年为单位计算，像新合同这样，在短短8个月就完成近亿美金的服务非常罕见。

诺森伯格介绍，这次的创新服务采购，要求服务方不论订单任务大小，要支撑所有空军士兵的需求，打破传统渗透测试圈定范围和时间做测试的“特定任务”形式，模拟战时网络攻击的对抗评估，模拟高级威胁对手，放开范围和时间，长时间针对非特定目标进行渗透，真正将渗透测试变成日常标准流程，授权白帽黑客们“真正放开手来”寻找弱点。

作为全球数字化程度最领先的军队组织之一，美军很早就使用了内部网络红队、漏洞赏金计划、外部渗透测试服务等手段，但圈定范围、时间、人力的测试形式，效果有限，难以真正保障内部安全。新合同以发现最坏结果为导向，以丰厚资金招募外部测试攻击力量，或将成为未来检验高安全机构网络安全建设水平的重要手段。

这次采购，展现出美军的网络安全建设，正在快速从合规思维迈向风险管理思维。2019年，美国空军发布快速通道操作授权（Fast-Track Authorization to Operate）指令，当某系统满足安全基线，开通渗透测试和持续监控服务后，可以通过快速通道优先上线。渗透测试服务可以发现漏洞并预先修复，持续监控服务能保证线上没有已知漏洞存在。快速通道流程，可以视为美军网络安全建设从合规思维迈向风险管理思维的标志，过去一个软件或系统要获得试用授权，需要一年甚至几年时间，现在最快几周内就可以获批上线。同样一个系统，快速通道流程用了5周时间就完成上线，发现并修复了一个漏洞，传统流程上线历时9个月，且没有发现漏洞。

Dark Wolf Solutions的采购订单，正是快速通道流程的第一批合同之一，未来还将签订更大的订单，以满足全球各地士兵的需求。

参考资料

https://www.defense.gov/Newsroom/Contracts/Contract/Article/2089858/#DARKWOLF022020

https://www.fedscoop.com/air-force-hackers-testing-white-hat/

https://www.fedscoop.com/fast-track-ato-air-force-wanda-jones-heath/

作者：安全内参小编

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。