当地时间12月14日,美国国土安全部部长发起了一项名为“HackDHS”的漏洞赏金计划,旨在识别潜在的某些国土安全部系统中的网络安全漏洞并提高网络安全弹性,允许黑客报告其系统中的漏洞以换取金钱奖励。阅读更多“作为联邦政府的网络安全四分卫,国土安全部必须以身作则,不断寻求加强我们自己系统的安全性,”亚历杭德罗·N·马约卡斯部长解释说。“HackDHS计划激励高技能的黑客在我们系统中的网络安全弱点被不良行为者利用之前识别出来。该计划是该部门如何与社区合作以帮助确保我们国家网络安全安全的一个例子。”HackDHS将在2022财年分三个阶段进行,目标是开发一种模型,供各级政府的其他组织使用,以提高自身的网络安全弹性。在第一阶段,黑客将对某些国土安全部外部系统进行虚拟评估。在第二阶段,黑客们将参加现场面对面的黑客会议。在第三个也是最后一个阶段,国土安全部将确定和审查吸取的教训,并为未来的漏洞赏金计划。HackDHS将利用该部门的网络安全和基础设施安全局(CISA)创建的平台,将遵守多项参与规则,并将由国土安全部首席信息官办公室进行监控。黑客将向DHS系统所有者和领导层披露他们的发现,包括漏洞是什么、他们如何利用它以及它如何允许其他参与者访问信息。识别每个错误的赏金是通过使用滑动比例来确定的,黑客通过识别最严重的错误获得最高赏金。根据HackDHS计划,道德黑客将获得500到5,000美元的奖励,具体取决于漏洞的严重程度,Mayorkas在彭博技术峰会上讨论了该计划。工信部将在48小时内验证漏洞并在15天内修复,或者对于复杂的漏洞,制定一个有时限的时间表。HackDHS并不是美国政府和军方发起的唯一漏洞赏金计划,联邦政府也有类似的举措,包括“黑掉五角大楼”和“黑掉陆军”计划。“这种扩展表明政府对网络安全的方法发生了转变,并超越了国防部技术的现状,”国防数字服务主任布雷特戈德斯坦说。然而,漏洞赏金计划的批评者认为,他们关注的是组织在整体安全设置中过于依赖的较小漏洞,对改善整体网络安全无济于事,而且还有其他潜在威胁。不利的副作用。国土安全部今年制定了漏洞披露计划,规定了道德黑客如何向国土安全部报告漏洞的条款。去年,它还发布了一项指令,要求联邦机构制定此类计划。
