由美国国防部雇佣的黑客在“攻击五角大楼”的行动中发现了100多个漏洞超出了政府的预期

在今年早些时候，作为试点项目的一部分，美国国防部邀请了外部的黑客测试一些公共国防部资源的网络安全。

发现影响一个计算机系统安全漏洞的最好方法就是让一组黑客进行测试。这就是赏金计划背后的概念，所谓赏金计划，就是一个组织雇佣黑客测试系统并道德地发现漏洞，得到赏金。BUG赏金在在白帽社团里是非常流行的行为，大公司，包括Facebook，Google和微软自从2011年起已经为他们发布的赏金计划支付了3百万美元。还有大量的公司为了验证自身网络安全而邀请第三方进行所谓”渗透测试”，而美国防部是第一个发布赏金计划的政府组织。

创建BUG赏金计划对美国政府来说具有紧迫性，它是在涉及众多成功攻击后应运而生。这些遭受攻击美国实体包括美国人事管理总署（OPM）、白宫和美国国务院。

在赏金计划策划过程中，五角大楼已经利用自己的安全专家(所谓“红队”)测试了它的网络，但是向外部黑客开放会在政府的系统发现薄弱环节，找到新的安全漏洞带来更大的动力。

“攻击五角大楼”是今年美国政府发起的网络攻击防御弹性测试计划。五角大楼已经推出了世界上第一个政府资助的BUG赏金计划，并且1400年白帽黑客接受了这个挑战。

国防部长Ashton Carter评论说:“我相信，这种创新的行动将加强我们的数字防御并最终提高我们的国家安全。”

据路透社报道，参与者是美国公民，在被接受参与攻击五角大楼计划之前提交背景调查，这是与常见BUG赏金计划最主要的差别。

这个项目由美国国防部国防数字服务主持，这是一个由工程师和专家组成的小团队,成立于2015年11月小团队的，为了“改善部门的技术的灵活性和解决最复杂的IT问题。”

“现在白帽黑客小组共享了其活动的结果，他们在缺陷赏金计划发现五角大楼基础设施中的100多个漏洞。考虑到像一个外国政府那样的威胁攻击者可能利用这样的缺陷来入侵政府网络，这还不是那么糟糕。
 

在某些情况下，披露最严重的漏洞黑客已经得到高达US15,000美元的奖励。在五角大楼基础设施高度敏感的组件并没有被政府雇佣的白帽黑客测试。

美国国防部长Ashton Carter在一个华盛顿特区会议上称，攻击五角大楼计划降低了漏洞发现成本，当然政府基础设施的安全因此得到改善。

“他们正在以成本的一小部分来帮助我们变得更安全,”卡特说。”在某种程度上，招募白帽中的精英，而不是等待学习黑队的教训。”

“为什么没有人在联邦政府这样做?”，“没有一个很好的答案，是吗?这是一个非常成功的事情。”

部长卡特还宣布IT巨头将加入他们的努力来支持五角大楼在改善其基础设施的网络安全。

“我们有一些其他惊人的创新者在队伍中，所以请继续关注谁也将加入。”他说。

网络安全是美国政府的主要目标，其基础设施在不断受到攻击者攻击并且是国家级的黑客，让我们想一下，例如对人事管理总署的攻击，导致了2150万名现任和前任政府员工的记录被盗。

请继续关注……