美國國土安全部推出“Hack DHS”計劃或嘗試與黑客合作

導讀：當地時間12月14日，美國國土安全部部長亞歷杭德羅·馬約卡斯表示，美國國土安全部 (DHS) 推出了一項名為“Hack DHS”的漏洞賞金計劃，旨在識別某些DHS系統中的潛在網絡安全漏洞并提高網絡安全彈性，允許黑客報告其系統中的漏洞，以換取金錢獎勵。

詳細內容

“作為聯邦政府的網絡安全四分衛，國土安全部必須以身作則，不斷尋求加強我們自己的系統的安全性，”部長亞歷杭德羅·N·馬約卡斯 (Alejandro N. Mayorkas) 說。“Hack DHS 計劃激勵高技能黑客在我們系統中的網絡安全弱點被不良行為者利用之前識別它們。該計劃是該部門如何與社區合作以幫助保護我們國家的網絡安全的一個例子。”

Hack DHS 將在 2022 財年分三個階段進行，其目標是開發一種模型，可供各級政府的其他組織使用，以提高其自身的網絡安全彈性。在第一階段，黑客將對某些 DHS 外部系統進行虛擬評估。在第二階段，黑客將參加現場的、面對面的黑客活動。在第三個也是最后一個階段，國土安全部將確定和審查吸取的教訓，并計劃未來的漏洞賞金。

Hack DHS 將利用該部門網絡安全和基礎設施安全局 (CISA) 創建的平臺，將受多項參與規則的約束，并由 DHS 首席信息官辦公室進行監控。黑客將向 DHS 系統所有者和領導層披露他們的發現，包括漏洞是什么、他們如何利用它以及它如何允許其他參與者訪問信息。識別每個錯誤的賞金是通過使用滑動比例確定的，黑客在識別最嚴重的錯誤時獲得最高的賞金。

根據馬約卡斯在彭博科技峰會上討論的“入侵國土安全部”（Hack DHS）計劃，道德黑客將根據漏洞的嚴重程度獲得500至5000美元的獎勵。該部將在48小時內驗證漏洞，并在15天內修復它們，或者對于復雜的漏洞，會制定一個在限定時間內完成的計劃。

Hack DHS 并不是美國政府和軍方發起的唯一漏洞賞金計劃，聯邦政府的類似舉措包括“ Hack the Pentagon ”和“ Hack the Army”計劃。

“這次擴展證明了政府網絡安全方法的轉變，并超越了目前國防部的技術狀態，”國防數字服務主管Brett Goldstein說。

然而，對漏洞賞金計劃持批評態度的人認為，這些計劃將重點放在組織在其整體安全設置中過于依賴的較小漏洞上，無助于整體網絡安全的改進，此外還有其他潛在的不良副作用。國土安全部今年建立了一個漏洞披露計劃，設定了道德黑客如何向國土安全部通報漏洞的條款。去年，它還發布了一項指令，要求聯邦機構設立此類項目。