編者按
美國防部1月13日宣布將發(fā)起“黑掉五角大樓3.0”計劃,重點是發(fā)現(xiàn)維持五角大樓和相關(guān)場地運行操作技術(shù)中的漏洞。
美國防部提出,國防部計算機(jī)網(wǎng)絡(luò)和系統(tǒng)支持國家的防御,對于日常業(yè)務(wù)運營和關(guān)鍵任務(wù)活動都至關(guān)重要;維護(hù)美國防部網(wǎng)絡(luò)和系統(tǒng)的安全性、機(jī)密性、可用性和完整性事關(guān)國家安全,需要不斷識別和修復(fù)可能被惡意網(wǎng)絡(luò)行為者利用的漏洞;為支持國防部始終處于技術(shù)發(fā)展的最前沿,并保持其IT基礎(chǔ)設(shè)施所需的最高水平的完整性和安全性,國防部選擇通過眾包方法來利用多元化的創(chuàng)新信息安全研究人員,以開展發(fā)現(xiàn)、協(xié)調(diào)和披露漏洞活動。
“黑掉五角大樓3.0”計劃尋求在五角大樓設(shè)施相關(guān)控制系統(tǒng)(FRCS)網(wǎng)絡(luò)上執(zhí)行眾包實踐,該網(wǎng)絡(luò)用于管理五角大樓保留區(qū)內(nèi)的機(jī)械操作,如主樓內(nèi)的供暖和空調(diào)、五角大樓供暖和制冷廠、模塊化辦公大樓和停車場等。該計劃的總體目標(biāo)是通過眾包獲得創(chuàng)新信息安全研究人員的支持,以開展漏洞發(fā)現(xiàn)、協(xié)調(diào)和披露活動,并評估FRCS網(wǎng)絡(luò)當(dāng)前的網(wǎng)絡(luò)安全狀況,找出弱點和漏洞,同時提供改善和加強(qiáng)整體安全態(tài)勢的建議。該計劃僅涉及五角大樓FRCS網(wǎng)絡(luò)中所包含的非機(jī)密信息系統(tǒng)和操作技術(shù)。鑒于資產(chǎn)的敏感性,參與該計劃承包商需要利用技術(shù)嫻熟且值得信賴的研究人員,相關(guān)人員僅限于美國人,且必須符合美國防部制定的資格標(biāo)準(zhǔn)。
奇安網(wǎng)情局編譯有關(guān)情況,供讀者參考。
美國防部正在計劃其“黑掉五角大樓”計劃的第三次迭代,重點是找出維持五角大樓和相關(guān)場地運行的操作技術(shù)中的漏洞。
美國防部于2016年啟動了“黑掉五角大樓”計劃,供應(yīng)商HackerOne協(xié)調(diào)了國防部公共網(wǎng)站上的漏洞賞金計劃。超過1400名黑客參加了第一輪,發(fā)現(xiàn)了138個獨特的漏洞并獲得了75000美元的賞金獎勵。
該計劃在2018年擴(kuò)大到包括另外兩家供應(yīng)商:Synack和Bugcrowd。
美國防部1月13日發(fā)布征求意見稿,宣布了第三次嘗試計劃,并對管理該計劃的供應(yīng)商提出了期望。
背景
美國防部的計算機(jī)網(wǎng)絡(luò)和系統(tǒng)支持國家的防御,對于日常業(yè)務(wù)運營和關(guān)鍵任務(wù)活動都至關(guān)重要。維護(hù)美國防部網(wǎng)絡(luò)和系統(tǒng)的安全性、機(jī)密性、可用性和完整性事關(guān)國家安全,需要不斷識別和修復(fù)可能被惡意網(wǎng)絡(luò)行為者利用的漏洞。作為對廣大公眾負(fù)責(zé)的一部分,美國防部不斷考慮創(chuàng)新和多樣化的方法來實現(xiàn)這一目標(biāo)。
為了支持美國防部不斷努力保持在快速發(fā)展的技術(shù)的最前沿,并保持其IT基礎(chǔ)設(shè)施所需的最高水平的完整性和安全性,美國防部確定了通過眾包方法來利用多元化的創(chuàng)新信息安全研究人員以開展發(fā)現(xiàn)、協(xié)調(diào)和披露漏洞活動的新興需求。
眾包是一種現(xiàn)代商業(yè)實踐,截至2010年,美國聯(lián)邦政府已采用這種做法,通過向一大群人而非傳統(tǒng)雇員或供應(yīng)商征集貢獻(xiàn)來獲取所需的服務(wù)、想法或內(nèi)容。眾包激勵解決以任務(wù)為中心問題的創(chuàng)新。在任何環(huán)境中,保持領(lǐng)先于當(dāng)前和新興網(wǎng)絡(luò)威脅都是一項重大責(zé)任。對于美國防部來說,責(zé)任被放大了,因為與安全故障相關(guān)的影響是嚴(yán)重的。
美國政府華盛頓總部服務(wù)處(WHS)設(shè)施服務(wù)部門(FSD)負(fù)責(zé)為國家首都地區(qū)(NCR)提供設(shè)施管理支持。FSD還為美國防部的大量活動提供行政和運營支持。在FSD內(nèi)有許多計劃旨在支持在由WHS監(jiān)督的管理和租賃建筑物中工作的所有人員。在這些計劃中,聯(lián)邦設(shè)施部門(FFD)負(fù)責(zé)運營和維護(hù)五角大樓保留區(qū)和國家首都地區(qū)(NCR)。
FFD由兩個建筑管理現(xiàn)場辦公室組成,其中一個辦公室是五角大樓樓宇管理辦公室(PBMO)。PBMO負(fù)責(zé)五角大樓的所有運營和維護(hù),包括但不限于設(shè)施、垂直運輸系統(tǒng)、消防系統(tǒng)和設(shè)施相關(guān)控制系統(tǒng)(FRCS)網(wǎng)絡(luò)?!昂诘粑褰谴髽?.0”請求在五角大樓FRCS網(wǎng)絡(luò)上執(zhí)行眾包實踐。該網(wǎng)絡(luò)用于管理五角大樓保留區(qū)內(nèi)的機(jī)械操作,例如主樓內(nèi)的供暖和空調(diào)、五角大樓供暖和制冷廠、模塊化辦公大樓和停車場等。
PBMO的運營和維護(hù)計劃將作為FSD的五角大樓FRCS網(wǎng)絡(luò)眾包漏洞發(fā)現(xiàn)和披露活動的政府聯(lián)絡(luò)點。
目標(biāo)
在私營部門的協(xié)助下,美國政府打算利用現(xiàn)有的商業(yè)眾包專業(yè)知識和最佳實踐,為政府量身定制,支持美國防部應(yīng)用眾包方法來增強(qiáng)其信息安全。為支持這一目標(biāo),美國防部打算與在管理眾包漏洞發(fā)現(xiàn)和披露活動即服務(wù)方面擁有豐富經(jīng)驗的商業(yè)公司合作。根據(jù)最終合同,相關(guān)公司將代表美國防部主持眾包安全活動。在美國防部內(nèi),國防數(shù)字服務(wù)機(jī)構(gòu)(DDS)根據(jù)美國防部長辦公室/國防部指令5105.87授權(quán)管理技術(shù)風(fēng)險和漏洞,并打算通過該計劃解決這些風(fēng)險和漏洞。總體目標(biāo)是通過眾包獲得一批創(chuàng)新信息安全研究人員的支持,以開展漏洞發(fā)現(xiàn)、協(xié)調(diào)和披露活動,并評估FRCS網(wǎng)絡(luò)當(dāng)前的網(wǎng)絡(luò)安全狀況,找出弱點和漏洞,同時提供改善和加強(qiáng)整體安全態(tài)勢的建議。
范圍
華盛頓總部服務(wù)處(WHS)設(shè)施服務(wù)部門(FSD)希望執(zhí)行一項關(guān)鍵的賞金(黑客網(wǎng)絡(luò))計劃,該計劃將涉及五角大樓FRCS網(wǎng)絡(luò)中包含的非機(jī)密信息系統(tǒng)和操作技術(shù)。承包商應(yīng)提供評估FRCS網(wǎng)絡(luò)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢所需的所有勞動力、材料、設(shè)備、硬件、軟件和培訓(xùn),找出弱點和漏洞,并提供改善和加強(qiáng)整體安全態(tài)勢的建議。
這些是敏感的政府資產(chǎn);因此,承包商將需要利用由技術(shù)嫻熟且值得信賴的研究人員組成的私人社區(qū),研究人員可能僅限于美國人,符合美國防部制定的資格標(biāo)準(zhǔn)。研究人員必須具備多種技能,能夠進(jìn)行源代碼分析、逆向工程以及網(wǎng)絡(luò)和系統(tǒng)利用。賞金執(zhí)行或“挑戰(zhàn)階段”本身預(yù)計不會超過72小時。授予合同后,將向承包商提供訪問資產(chǎn)和資產(chǎn)所有者的權(quán)限。