กระทรวงกลาโหมกำลังค้นหาว่าเครือข่ายของผู้รับเหมามีความเสี่ยงเพียงใดหลังจากเสร็จสิ้นโปรแกรมรางวัลบั๊กที่ใช้เวลานานหนึ่งปีในช่วงหนึ่งปี แฮ็กเกอร์ได้ทำการตรวจสอบบริษัท 41 แห่งและพบช่องโหว่มากกว่า 400 รายการที่ต้องแก้ไข“โปรแกรมการเปิดเผยข้อมูลช่องโหว่ DoD ของ DoD Cyber Crime Center ได้รับการยอมรับมานานแล้วถึงประโยชน์ของการใช้แฮ็กเกอร์ที่มีจริยธรรมจากฝูงชนเพื่อเพิ่มการป้องกันในเชิงลึกให้กับเครือข่ายข้อมูลของ DoD” Melissa Vice ผู้อำนวยการชั่วคราวของโครงการเปิดเผยข้อมูลช่องโหว่กล่าว “นักบินตั้งใจที่จะระบุว่ามีช่องโหว่ที่สำคัญและ
มีความรุนแรงสูงที่คล้ายคลึงกันในสินทรัพย์ของบริษัทฐานอุตสาหกรรมป้องกัน
ขนาดเล็กถึงขนาดกลางที่มีการเคลียร์และไม่เคลียร์ ซึ่งมีความเสี่ยงที่อาจเกิดขึ้นกับโครงสร้างพื้นฐานที่สำคัญและห่วงโซ่อุปทานของสหรัฐฯ”โครงการนำร่องเปิดตัวครั้งแรกกับ 14 บริษัทและ 141 สินทรัพย์ และขยายเป็น 41 ธุรกิจและ 348 สินทรัพย์ค้นหาว่าเหตุใดการจัดการสายธารคุณค่าจึงได้รับความนิยมในฐานะกรอบงานสำหรับการวัดมูลค่าในสภาพแวดล้อม DevSecOps
ทั้งสองบริษัทสมัครใจเข้าร่วมโปรแกรมที่คล้ายกับ Bug Bounty และตกลงที่จะให้ HackerOne ซึ่งเป็นองค์กรของแฮ็กเกอร์ที่มีจริยธรรมคอยค้นหาช่องโหว่
นักบินเป็นผู้ตรวจสอบช่องโหว่ของฐานอุตสาหกรรมของ DoD ที่ใหญ่ที่สุด ซึ่งกำลังมีความสำคัญเป็นพิเศษในขณะนี้ เนื่องจากกองทัพมีความกังวลเกี่ยวกับความแข็งแกร่งของห่วงโซ่อุปทานที่ธุรกิจต่างๆ พึ่งพาสำหรับอุปกรณ์และบริการต่างๆ
เป็นเวลาหกปีแล้วที่กระทรวงกลาโหมตั้งเป้าหมายไว้เบื้องหลัง
และบอกแฮ็กเกอร์โดยสมัครใจให้ใช้ระบบบางอย่างผ่านการให้รางวัลบั๊กและแฮ็กกาธอน
ปีที่แล้ว ได้ขยายกลยุทธ์ดังกล่าวไปยังระบบข้อมูลกลาโหมที่สาธารณชนเข้าถึงได้ทั้งหมด รวมถึงเครือข่ายสาธารณะ อินเทอร์เน็ตในทุกสิ่ง ระบบควบคุมอุตสาหกรรม การสื่อสารตามความถี่ และอื่นๆ
การเติบโตนี้ส่งสัญญาณถึงความสำเร็จในการใช้ผู้รับเหมาและแฮ็กเกอร์หมวกขาวเป็นวิธีการปรับปรุงความปลอดภัยทางไซเบอร์ของกองทัพ
“นโยบายช่องโหว่ของ DoD เปิดตัวในปี 2559 เนื่องจากเราแสดงให้เห็นถึงประสิทธิภาพของการทำงานร่วมกับชุมชนแฮ็กเกอร์ และแม้แต่จ้างแฮ็กเกอร์เพื่อค้นหาและแก้ไขช่องโหว่ในระบบ” อดีตผู้อำนวยการฝ่าย Defense Digital Service Brett Goldstein กล่าวเมื่อปีที่แล้ว
โปรแกรมดั้งเดิมมุ่งเน้นไปที่พื้นที่ที่เป็นมิตรกับเครือข่ายของเพนตากอนเช่นเว็บไซต์ด้านหน้า
ในระหว่างการแข่งขัน Hackathons และ Bug Bounty DoD เสนอรางวัลเงินสดให้กับแฮ็กเกอร์ที่สามารถเจาะระบบของพวกเขาได้ การประกวด Bug Bounty ครั้งแรกพบช่องโหว่ 138 รายการรายงานช่องโหว่แรกมาถึงเจ็ดนาทีหลังจากการแข่งขันเริ่มขึ้น และแฮ็กเกอร์มือโปรและมือสมัครเล่น 1,410 คนจาก 44 รัฐได้รายงานปัญหาด้านความปลอดภัย 1,189 รายการในช่วงโปรแกรมสามสัปดาห์
บริการทางทหารและหน่วยงานกลาโหมอื่น ๆ ได้ปฏิบัติตามเพื่อสร้างการแข่งขันของตนเอง
แฮ็กเกอร์หมวกขาวพบ ช่องโหว่ 54 รายการใน Cloud Oneของกองทัพอากาศ ในปี 2562 สภาพแวดล้อมดังกล่าวใช้ Amazon Web Services และ Microsoft Azure เพื่อโฮสต์พอร์ทัลกองทัพอากาศและแอปพลิเคชันอื่นๆ อีกกว่า 100 รายการที่นักบินใช้ทุกวัน
Credit : ยูฟ่าสล็อต
