美众议院外交事务委员会于2018年5月9日提出一项名为“Hack Your State Department ”的法案,建议美国国务院建立一项 Bug 赏金计划。立法者与安全专家们希望通过这一努力,鼓励政府机构借助白帽黑客的力量保护其业务网络。
Bug 赏金计划
此项法案要求美国国务卿设立一项漏洞披露规程,以便研究人员搜寻并披露该部门面向公众的网站及应用程序中存在的安全漏洞。该项目将仿效美国国防部2016年执行的“Hack the Pentagon(入侵五角大楼)”项目,例如将向发现政府尚未察觉的安全漏洞的安全研究人员支付奖励。
加利福尼亚州民主党众议员 (Ted Lieu)作为此项法案的支持者,在采访中表示“任何机构或私营企业都应该拥有独立的安全测试方法,例如借助道德黑客的力量,由其独立检查网络安全系统的实际水平。”
Lieu 同时补充称,无论多么精心的设计,大部分此类系统当中仍可能存在可被黑客利用的漏洞。网络安全测试厂商 Synack 公司联合创始人兼 CTO 马克·库尔解释称,五角大楼的 Bug 赏金计划涵盖各类敏感 IT 资产,而这也启发了他“利用这种众包安全测试方式解决实际问题”。他建议应该在项目审查工作当中引入最熟练且最值得信赖的高水平黑客,并随时间推移减少漏洞数量,从而提升系统的攻击难度。
Lieu 的法案呼吁美国政府在一年之内建立起 Bug 赏金计划。
Bug 赏金计划或为补充措施
Bug 赏金专业咨询企业 Luta Security 公司创始人凯蒂·穆苏里斯则表示,实现此类计划往往需要更长时间,联邦机构要确定 Bug 赏金计划的具体时间表,最重要是“美国国会应资助内部职能改革工作”,从而提升各部门安全水平。
曾参与“入侵五角大楼”计划的穆苏里斯在采访中表示,Bug 赏金计划无法替代尽职调查与流程,或者专业渗透测试,首要选择仍是尽力自行发现并解决问题,而后才求助于 Bug 赏金计划。
“Hack Your State Department”法案本身亦是一系列新立法活动中的组成部分,旨在引导联邦机构接受已经在私营部门当中得到普遍实行的 Bug 赏金活动。上个月,美国参议院已经通过立法,将在国土安全部(DHS)设立一项25万美元的 Bug 赏金计划。
Lieu 已经向白宫提交了一项配套法案,Lieu 认为通过此轮大规模立法,联邦政府网络应将道德黑客力量引入自身安全保障体系。他表示,之所以提出这个法案,很大部分原因在于他想通过这种方式,全面提升相关问题的受重视程度。
近年来,恶意黑客已经开始将矛头指向美国国务院网络。2014年,该部门被迫暂时关闭了其未保密电子邮件系统,并表示俄罗斯黑客可能已经成功对其实施入侵。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
