美国国防工业基地相关企业可以自愿免费参与,提交资产和平台供白帽黑客研究。
前情回顾·美国漏洞奖励计划动态
美国防部通过漏洞赏金计划在军事系统中发现超5万个漏洞
美国国防部加大漏洞赏金计划试点力度
安全内参4月24日消息,为协助增强美国国防工业基地(DIB)的网络安全能力,五角大楼制定了一个新的漏洞奖励计划,允许独立的白帽黑客查找并分析DIB公司及其系统中的漏洞。
美国国防部网络犯罪中心19日宣布,将与国防反情报与安全局合作建立全面的国防工业基地漏洞披露计划,简称DIB-VDP。DIB公司可以免费自愿参与该计划。
五角大楼在新闻稿中表示,这一计划旨在“将漏洞披露能力引入国防工业基地,并通过战略对齐进一步增强网络犯罪中心和国防反情报与安全局在漏洞、分析、网络安全和网络取证领域对国防工业基地的支持”。
在正式计划推出之前,国防部网络犯罪中心、国防反情报与安全局曾与安全众测公司HackerOne合作,进行了期为一年的试点项目,该试点项目于2022年结束。在试点期间,承包商被要求披露漏洞,以便独立黑客查找、记录安全漏洞,并向公司和五角大楼进行报告。
根据新闻稿,随着正式计划的出台,公司可以自愿提交资产和平台,进行“道德研究分析和漏洞威胁评估”。
近年来,五角大楼一直致力于保护国防工业基地,防止对手通过对国防工业基地发起网络攻击和入侵寻找关键系统信息。去年12月,新版《网络安全成熟度认证2.0》拟议规则出台。五角大楼于今年3月发布了《国防工业基地网络安全战略》,概述国防部将如何与各种规模的公司合作,增强他们的数字弹性。
新版国防工业基地漏洞披露计划与之一脉相承,将借鉴试点项目和国防部自有漏洞披露计划的经验教训,并将这些见解传递给军方承包商。
根据新闻稿,“实施国防工业基地漏洞披露计划是与国防工业基地公司共享来自该领域漏洞的最有效手段。该计划将帮助这些公司及时解决在面向互联网信息系统中识别的漏洞。与传统的漏洞管理相比,国防工业基地公司将能更早地进行漏洞补救。”
参考资料:defensescoop.com
