Американское Министерство обороны (DOD) вчера объявило о планах продолжить пилотную программу, названную «Хакерское проникновение Пентагон», которым это управляло этой весной и позволило внешним исследователям безопасности исследовать инфраструктуру DOD для недостатков безопасности.

Программа, которая была обработана через платформу щедрости ошибки HackerOne, была огромным успехом и помогла DOD зафиксировать 138 недостатков безопасности, в то время как исследователи заработали 150 000$ для своей работы.

В июне, когда первоначальная пилотная программа закончилась, DoD DDS (Цифровая услуга Защиты) планы, о которых объявляют, начать еще три программы щедрости ошибки.

В объявлении, изданном сегодня, чиновники DOD заявили, что решили сделать Хакерское проникновение, щедрость ошибки Пентагона программирует оплот и контракты, о которых объявляют, с HackerOne и Synack, чтобы управлять предстоящими выпусками щедрости ошибки.

Взломайте Пентагон, чтобы остаться частной программой щедрости ошибки

Эти две компании выберут исследуемые группы исследователей, чтобы работать над тестированием ручки инфраструктура DOD.

«[T] он DoD усилит частный, управляемый подход Синэка к управлению crowdsourced программой тестирования безопасности для самых критических и очень чувствительных активов IT DoD», сказал Джей Каплан, генеральный директор Synack.

На основе публичных заявлений чиновники DOD также, кажется, очень довольны тем, как начальное Хакерское проникновение щедрость ошибки Пентагона пошла и на самом деле интересуется аутсорсингом большего количества их задач безопасности третьим лицам.

«Откровенно говоря, если бы у меня был он мой путь, мы сделали бы, щедрость ошибки через .gov и офис программы, отвечающий за исходный код, возместит объединение щедрости жуков, как только ошибка обнаружена», сказал Грег Тухилл, американский Главный Офис информационной безопасности.

DOD поощрит подрядчиков использовать программы щедрости ошибки также

Министр обороны Эш Картер также заявляет, что новое Хакерское проникновение выпуски Пентагона не будет строго предназначаться для одной только инфраструктуры DOD.

«Мы собираемся включать стимулы в наше руководство приобретения и политику так, чтобы подрядчики, которые работают над системами DoD, могли также использовать в своих интересах инновационные подходы к тестированию кибербезопасности», объяснил Картер.

«Например, при некоторых обстоятельствах, мы поощрим подрядчиков делать свои технологии доступными для независимых обзоров безопасности, где щедрость ошибки, прежде чем они поставят их нам. Это поможет им сделать свой кодекс более безопасным от начала, и прежде чем это будет установлено на нашей системе», сказал Картер.

На самом деле Картер, кажется, полностью продан на идее программ щедрости ошибки и надеждах, другие государственные департаменты также подскочат на борту. «Мы предоставили план действий другим ведомствам и агентствам к источнику толпы их собственная безопасность», сказал он.

Выяснение, чтобы подрядчики представили DOD-законтрактованные услуги и программное обеспечение, чтобы прослушивать программы щедрости, и убеждение других государственных департаментов использовать охотников на жуков, представляют полное изменение от того, как официальные представители Пентагона рассмотрели безопасность десятилетие назад, когда все было запечатано воздухонепроницаемое, чтобы избежать утечек.

Общественные инциденты как хакерское проникновение OPM вынудили американских чиновников изменить свою позицию по кибербезопасности, и процедуры должны были повысить безопасность решающих систем.

Взломайте критику Пентагона

Но у Хакерского проникновения пилот Пентагона также были свои хулители. Для начала, многие жаловались, что только отобранный немногие приглашены участвовать. Илья Колоченко, основатель и генеральный директор фирмы безопасности Хай-Теч-Бридж, объясняет, почему DOD проявил этот подход.

«Немного компаний по тестированию безопасности толпы выполняют надежную и всестороннюю должную осмотрительность на своих исследователях, вводных дверях в Черные шляпы, пытающиеся скрыться среди Белых исследователей Шляпы и получить доступ к частным программам щедрости ошибки», говорит Колоченко. «Поэтому DoD [] решение обоснованно ограничить объем их программы тестирования безопасности толпы, кажется, хорошо - хотя и оправдал».

Это также объясняет, почему DOD ограничил ошибку, охотящуюся только к нескольким системам DOD, и не ее всей инфраструктуре, другому предмету спора для критиков. Хулители спустились на решении Пентагона только позволить охотникам на жуков на некоторых, доступных Интернету системах, и не более критической инфраструктуре.

В то время как Картер не предоставил подробной информации о том, что точно будет включено в будущее Хакерское проникновение усилия Пентагона, поскольку DOD проверяет свои внешние системы, охотникам на жуков, скорее всего, предоставят доступ к более чувствительным сетям, как надлежащие верительные грамоты и разрешения предоставляют.

«Будучи хорошим дополнением для существующих процессов тестирования безопасности, у щедрости ошибки есть некоторые ясные пределы», добавляет Колоченко также. «Любая программа тестирования безопасности должна быть пропорциональна ожидаемому использованию системы в производстве: например, частный портал электронного банковского дела не должен быть проверен с щедростью, в то время как глобально открытый Форекс торговая платформа может усилить навыки толпы».

То, что Колоченко пытается сказать, - то, что, несмотря на критиков всей программы, открытая, общественная программа щедрости ошибки могла не быть самым умным решением.

Имело смысл для Пентагона проверять внешние системы с помощью программы летчика-испытателя с новыми исследователями безопасности, точно так же, как теперь имеет смысл заключать контракты к исследуемым фирмам безопасности, чтобы продолжить эту работу над другими более чувствительными системами с ограниченной компанией доказанных специалистов.