编者按
美国防部1月13日宣布将发起“黑掉五角大楼3.0”计划,重点是发现维持五角大楼和相关场地运行操作技术中的漏洞。
美国防部提出,国防部计算机网络和系统支持国家的防御,对于日常业务运营和关键任务活动都至关重要;维护美国防部网络和系统的安全性、机密性、可用性和完整性事关国家安全,需要不断识别和修复可能被恶意网络行为者利用的漏洞;为支持国防部始终处于技术发展的最前沿,并保持其IT基础设施所需的最高水平的完整性和安全性,国防部选择通过众包方法来利用多元化的创新信息安全研究人员,以开展发现、协调和披露漏洞活动。
“黑掉五角大楼3.0”计划寻求在五角大楼设施相关控制系统(FRCS)网络上执行众包实践,该网络用于管理五角大楼保留区内的机械操作,如主楼内的供暖和空调、五角大楼供暖和制冷厂、模块化办公大楼和停车场等。该计划的总体目标是通过众包获得创新信息安全研究人员的支持,以开展漏洞发现、协调和披露活动,并评估FRCS网络当前的网络安全状况,找出弱点和漏洞,同时提供改善和加强整体安全态势的建议。该计划仅涉及五角大楼FRCS网络中所包含的非机密信息系统和操作技术。鉴于资产的敏感性,参与该计划承包商需要利用技术娴熟且值得信赖的研究人员,相关人员仅限于美国人,且必须符合美国防部制定的资格标准。
奇安网情局编译有关情况,供读者参考。
美国防部正在计划其“黑掉五角大楼”计划的第三次迭代,重点是找出维持五角大楼和相关场地运行的操作技术中的漏洞。
美国防部于2016年启动了“黑掉五角大楼”计划,供应商HackerOne协调了国防部公共网站上的漏洞赏金计划。超过1400名黑客参加了第一轮,发现了138个独特的漏洞并获得了75000美元的赏金奖励。
该计划在2018年扩大到包括另外两家供应商:Synack和Bugcrowd。
美国防部1月13日发布征求意见稿,宣布了第三次尝试计划,并对管理该计划的供应商提出了期望。
背景
美国防部的计算机网络和系统支持国家的防御,对于日常业务运营和关键任务活动都至关重要。维护美国防部网络和系统的安全性、机密性、可用性和完整性事关国家安全,需要不断识别和修复可能被恶意网络行为者利用的漏洞。作为对广大公众负责的一部分,美国防部不断考虑创新和多样化的方法来实现这一目标。
为了支持美国防部不断努力保持在快速发展的技术的最前沿,并保持其IT基础设施所需的最高水平的完整性和安全性,美国防部确定了通过众包方法来利用多元化的创新信息安全研究人员以开展发现、协调和披露漏洞活动的新兴需求。
众包是一种现代商业实践,截至2010年,美国联邦政府已采用这种做法,通过向一大群人而非传统雇员或供应商征集贡献来获取所需的服务、想法或内容。众包激励解决以任务为中心问题的创新。在任何环境中,保持领先于当前和新兴网络威胁都是一项重大责任。对于美国防部来说,责任被放大了,因为与安全故障相关的影响是严重的。
美国政府华盛顿总部服务处(WHS)设施服务部门(FSD)负责为国家首都地区(NCR)提供设施管理支持。FSD还为美国防部的大量活动提供行政和运营支持。在FSD内有许多计划旨在支持在由WHS监督的管理和租赁建筑物中工作的所有人员。在这些计划中,联邦设施部门(FFD)负责运营和维护五角大楼保留区和国家首都地区(NCR)。
FFD由两个建筑管理现场办公室组成,其中一个办公室是五角大楼楼宇管理办公室(PBMO)。PBMO负责五角大楼的所有运营和维护,包括但不限于设施、垂直运输系统、消防系统和设施相关控制系统(FRCS)网络。“黑掉五角大楼3.0”请求在五角大楼FRCS网络上执行众包实践。该网络用于管理五角大楼保留区内的机械操作,例如主楼内的供暖和空调、五角大楼供暖和制冷厂、模块化办公大楼和停车场等。
PBMO的运营和维护计划将作为FSD的五角大楼FRCS网络众包漏洞发现和披露活动的政府联络点。
目标
在私营部门的协助下,美国政府打算利用现有的商业众包专业知识和最佳实践,为政府量身定制,支持美国防部应用众包方法来增强其信息安全。为支持这一目标,美国防部打算与在管理众包漏洞发现和披露活动即服务方面拥有丰富经验的商业公司合作。根据最终合同,相关公司将代表美国防部主持众包安全活动。在美国防部内,国防数字服务机构(DDS)根据美国防部长办公室/国防部指令5105.87授权管理技术风险和漏洞,并打算通过该计划解决这些风险和漏洞。总体目标是通过众包获得一批创新信息安全研究人员的支持,以开展漏洞发现、协调和披露活动,并评估FRCS网络当前的网络安全状况,找出弱点和漏洞,同时提供改善和加强整体安全态势的建议。
范围
华盛顿总部服务处(WHS)设施服务部门(FSD)希望执行一项关键的赏金(黑客网络)计划,该计划将涉及五角大楼FRCS网络中包含的非机密信息系统和操作技术。承包商应提供评估FRCS网络当前网络安全态势所需的所有劳动力、材料、设备、硬件、软件和培训,找出弱点和漏洞,并提供改善和加强整体安全态势的建议。
这些是敏感的政府资产;因此,承包商将需要利用由技术娴熟且值得信赖的研究人员组成的私人社区,研究人员可能仅限于美国人,符合美国防部制定的资格标准。研究人员必须具备多种技能,能够进行源代码分析、逆向工程以及网络和系统利用。赏金执行或“挑战阶段”本身预计不会超过72小时。授予合同后,将向承包商提供访问资产和资产所有者的权限。
网络国防知识库
产业发展前哨站
开源情报信息源
奇安网情局