危機四伏！五角大樓承包商被曝數百個漏洞，威脅美國國防情報工作

據悉，美國國防部一項旨在根除承包商數字漏洞的試點項目在一年內發現了數百個漏洞。

在美國國防部網絡犯罪中心和國防反情報與安全局協調的國防工業基地漏洞披露計劃中，漏洞賞金團隊HackerOne的網絡安全研究人員發現數十家公司存在約400個問題。

漏洞披露計劃的臨時主管Melissa Vice在一份聲明中說：“該項目早已認識到利用眾包道德黑客為國防部信息網絡增加深度防御保護的好處。該試點項目旨在確定中小型已批準和未批準的國防工業基地公司是否存在類似的關鍵高危漏洞，對美國關鍵基礎設施和供應鏈有潛在的風險。”

這一項目于2021年4月啟動，共有14家公司和141項可公開獲取的資產接受審查。人們對該項目的興趣迅速提升。最終有41家公司和近350項資產通過了審查，結果已于5月2日公布。這一數字僅是美國國防部200,000家承包商中的一部分，引發了人們對更多網絡漏洞的關注。

在美國國防部實施的漏洞披露計劃中，專家們尋找漏洞并將其標記出來進行修復。網絡犯罪中心稱這可以提高網絡防御能力，促進主動網絡管理。

HackerOne的聯合創始人兼首席技術官Alex Rice表示：“每個組織都應該優先考慮保護其軟件供應鏈，這對于保護國家安全的聯邦機構來說更為重要。”HackerOne是國防部漏洞報告和審查的主要來源。

美國國防工業基地不斷受到黑客攻擊和外國勢力的威脅。美國國防部在2018年的網絡戰略中指出，雖然國際競爭對手可能不會直接與美國作戰，但他們正在利用數字領域竊取美國技術，擾亂美國政府和商業，挑戰美國民主進程，并威脅美國關鍵基礎設施。

在2月24日俄烏沖突開始前發布的一份聯合網絡安全公告中，美國聯邦調查局、國家安全局和網絡安全和基礎設施安全局警告稱，多年來，俄羅斯黑客一直以美國國防承包商為目標，攜帶武器和通信基礎設施相關的重要數據潛逃。

相關報告指出，這些目標公司從事國防和情報工作，包括導彈開發、車輛和飛機的設計以及指揮和控制技術，支持美國陸軍、空軍、海軍、太空部隊和國家安全項目。

美國政府問責辦公室在2021年12月的分析報告中表示，國防部已采取措施改善國防工業基地的網絡安全，但還有更多工作需要做。文件顯示，國防部同意該報告的調查結果和建議。