编者按

美国防部3月15日宣布,已通过漏洞披露计划(VDP)受理了50000份漏洞报告。

漏洞披露计划(VDP)于2016年11月由美国防部长设立,旨在利用众包道德黑客的持续漏洞报告改善美军网络防御并增强任务保证。VDP的主要作用包括:通过协调一致的漏洞披露、众包测试和风险评估来促进全生命周期的网络安全,从而提高利用或攻击前的弹性;加强美国防部和计算机安全研究人员社区间的合作伙伴关系,通过快速发现和修复漏洞来增强美国防部的安全性来建立积极的反馈循环;缩短“发现漏洞-告知漏洞-缓解漏洞”流程时间;提供向美国防部报告漏洞的开放渠道和合法安全港;通过提升美国防部网络空间资产的弹性支持美国国防战略提出的“建立一支更具杀伤力的力量”。VDP针对由美国防部拥有、运维或控制的可公开访问的信息系统、网络财产或数据,范围从高价值硬件和物理资产到面向网络的网站和应用程序、暖通空调、公共设施、物理安全系统、工业控制系统等。漏洞报告内容包括:问题类型;含有漏洞的软件的产品、版本和配置;重现问题的分步说明;概念验证;问题影响;酌情建议的缓解或补救措施。

在启动VDP后,美国防部与HackerOne、Bugcrowd和Synack合作运行了40多个漏洞赏金计划,并启动了持续的“黑掉五角大楼”漏洞赏金计划,使得白帽黑客能够全年持续提交漏洞报告。2018年夏,VDP推出“漏洞报告管理网络”(VRMN)系统,通过提供自动化、跟踪和处理所有报告的服务创建了一个更加高效的流程。从2021年开始,美国防部网络犯罪中心(DC3)与国防反情报和安全局合作创建了为期12个月的“国防工业基础-漏洞批露计划”(DIB-VDP)试点项目。该试点项目利用了低成本、众包的道德黑客,处理了1019份漏洞报告,发现并修复了400多个活跃漏洞以及国防工业基础受控非机密信息泄露威胁,预计节省了约6100万美元资金。2023年,美国防部推出了“黑掉五角大楼”网站,帮助国防部内的组织启动漏洞赏金计划并招募安全研究人员。

根据美国防部指示文件,美国防部网络犯罪中心(DC3)主任负责:管理美国防部的VDP公众参与工作;接收漏洞报告并与支持VDP的研究人员互动;与联络部队总部-国防部信息网络(JFHQ-DODIN)协调,确保向系统所有者交付报告并尽快帮助修复团队;根据美国防部政策和程序,在发布研究人员公开披露漏洞的请求前协调并获得美国网络司令部的批准;与JFHQ-DODIN协调,确保VDP中发现的漏洞被考虑通过美国网络司令部提交给漏洞公平裁决程序(VEP);操作、维护VRMN平台并提供用户培训;作为美国防部VEP国防部代表参加机构间会议;指定向VEP提交漏洞的联络人,以便与VEP执行秘书处进行协调;向国防工业基础传播通过VEP批准的补救和缓解方案。

奇安网情局编译有关情况,供读者参考。

美国防部网络犯罪中心(DC3)3月15日宣布,已处理2016年11月启动的持续漏洞披露计划(VDP)中收到的50000份报告。

美国防部网络犯罪中心(DC3)漏洞披露计划(VDP)是联邦政府历史上的首次,是在HackerOne上成功运行“黑掉五角大楼”漏洞赏金计划后启动的。此后,美国防部与HackerOne、Bugcrowd和Synack合作运行了40多个漏洞赏金计划,并启动了持续的“黑掉五角大楼”漏洞赏金计划,允许白帽黑客全年提交漏洞报告。

通过扩大项目数量,美国防部允许安全研究人员针对更广泛的系统进行漏洞搜寻,范围从高价值硬件和物理资产到面向网络的网站和应用程序、暖通空调、公共设施、物理安全系统、工业控制系统等。

与短期漏洞赏金不同,作为深度防御方法的一部分,漏洞披露计划(VDP)的众包道德黑客会持续报告漏洞。通过作为接收漏洞报告的联络点,该计划持续为国防部的整体安全做出重大贡献。

2018年夏天,漏洞披露计划(VDP)推出了名为“漏洞报告管理网络”(VRMN)的系统,该系统开始提供自动化、跟踪和处理所有报告的服务,从而创建了一个更加高效的流程。该计划的进步使VDP能够扩大其缓解范围,不仅处理美国防部网站和应用程序上的调查结果,还包括美国网络司令部下属的联合部队总部-国防部信息网络(JFHQ-DODIN)拥有和运营的所有可公开访问和/或可用的信息技术资产。

根据美国防部2020年9月15日发布的《美国防部第8531.01指示:国防部漏洞管理》。

美国空军部长通过美国防部网络犯罪中心(DC3)主任:

1. 管理美国防部的VDP公众参与工作;

2. 作为接收漏洞报告并与支持VDP的研究人员互动的单一联络人;

3. 与联络部队总部-国防部信息网络(JFHQ-DODIN)协调,确保向系统所有者交付报告并尽快帮助修复团队;

4. 根据美国负责政策的副国防部长、国防部长公共事务助理以及负责情报和安全的国防部副部长批准的政策和程序(视情况而定),在发布研究人员公开披露漏洞的请求前,协调并获得美国网络司令部/联络部队总部-国防部信息网络(JFHQ-DODIN)的批准;

5. 与联络部队总部-国防部信息网络(JFHQ-DODIN)协调,确保VDP中发现的漏洞被考虑通过美国网络司令部提交给漏洞公平裁决程序(VEP);

6. 操作、维护漏洞报告管理网络(VRMN)平台并提供用户培训,以供DC3、JFHQ-DODIN及美国防部组成机构使用;

7. 担任美国国家安全委员会工作人员VEP的四名国防部代表之一,参加机构间会议,例如公平审查委员(ERB)。

8. 指定一名VEP联系人作为从DC3向VEP提交漏洞的联络人,以便与VEP执行秘书处进行协调。

9. 向国防工业基础传播通过VEP批准的补救和缓解方案。

从2021年开始,美国防部网络犯罪中心(DC3)与国防反情报和安全局合作创建了为期12个月的国防工业基础-漏洞批露计划(DIB-VDP)试点项目。该试点项目发现并修复了400多个活跃漏洞以及对手对国防工业基础(DIB)参与者面向公众的资产造成的受控非机密信息泄露威胁,预计为纳税人节省了6100万美元。DIB-VDP团队利用低成本、众包的道德黑客,处理了1019份漏洞报告,以确保中小型参与者DIB公司免受已识别的威胁。

凭借在2022年DIB-VDP试点期间的努力,美国防部网络犯罪中心(DC3)获得了享有盛誉的美国防部首席信息官年度奖。美国防部网络犯罪中心(DC3)VDP主管梅丽莎·维斯表示,“基于美国防部VDP为所有政府组织制定的成功的七年基准,这个概念验证试点提供了世界一流的速度和敏捷性,确保自愿的DIB公司参与者受到保护。VDP得到了业界、联邦政府、学术界和‘五眼’合作伙伴的认可。”

截至2022年底,参与美国防部VDP的约4000名研究人员收到了近45000份漏洞报告。根据美国防部网络犯罪中心《2022年度漏洞披露项目报告》,其中超过25000份报告可采取行动,其中6000份已成功缓解。

2023年,美国防部推出了“黑掉五角大楼”网站,帮助国防部内的组织启动漏洞赏金计划并招募安全研究人员。新的网站由美国防部首席数字和人工智能办公室(CDAO)下属的数字服务机构(DDS)推出,旨在作为国防部长期运行的同名漏洞赏金计划的配套。

根据美国防部在HackerOne上的VDP页面,自该计划启动以来,已解决了27000多个漏洞报告,向黑客致谢2630次。

HackerOne创始人兼首席技术官亚历克斯·赖斯表示,“DC3 VDP的成功有力地证明了与全球道德黑客社区的牢固关系如何转化为网络防御的持续加强。作为自豪的合作伙伴,我们期待与道德黑客继续合作,进一步加强国家安全。”

附:美国防部漏洞披露计划(计划)情况

1. 概述

漏洞披露计划(VDP)由美国防部长于2016年设立,旨在通过为纵深防御网络安全战略提供额外的一层来加强国防部信息网络(DoDIN)的安全。VDP的使命是充当接收漏洞报告并与支持DoDIN的众包网络安全研究人员互动的单一联络点。VDP通过利用以前被忽视但不可或缺的资源,即私营部门白帽研究人员,改善了网络防御并增强了任务保证。

2. 能力

  • 通过使用协调一致的漏洞披露、众包测试和风险评估来促进全生命周期的网络安全,从而提高利用或攻击前的弹性;

  • 加强美国防部和计算机安全研究人员社区间的合作伙伴关系,通过快速发现和修复漏洞来增强美国防部的安全性来建立积极的反馈循环;

  • 缩短从发现漏洞到通知系统所有者再到成功缓解漏洞所用的时间;

  • 为漏洞发现者向美国防部报告漏洞提供开放的渠道和合法的安全港;

  • 通过提高国防部网络空间资产的弹性,促进美国国防战略提出的“建立一支更具杀伤力的力量”。

3. 范围

由美国防部拥有、运维或控制的可公开访问的信息系统、网络财产或数据。

4. 提交方式

提供漏洞的详细摘要,包括:问题类型;含有漏洞的软件的产品、版本和配置;重现问题的分步说明;概念验证;该问题的影响;酌情建议的缓解或补救措施。

声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。