امنیت داخلی از محققان امنیتی دعوت می کند تا DHS را هک کنند

وزارت امنیت داخلی (DHS) این هفته اعلام کرده است که برنامه پاداش باگ "هک DHS" را اجرا می کند.

همانطور که معمولا در مورد چنین برنامه هایی اتفاق می افتد، DHS از محققان امنیتی دعوت می کند برای آزمایش سیستم های خود و شناسایی آسیب پذیری های امنیت سایبری. در ازای آن، DHS در صورت تایید آسیب پذیری قابل دوام، پرداخت های پاداش باگ را به شما ارائه می دهد. با این حال، بر خلاف سایر برنامه‌ها، DHS تنها به محققان امنیت سایبری اجازه دسترسی به «انتخاب سیستم‌های DHS خارجی» را می‌دهد.

وزیر امنیت داخلی الخاندرو مایورکاس توضیح داد: "برنامه هک DHS هکرهای بسیار ماهر را تشویق می کند تا نقاط ضعف امنیت سایبری در سیستم های ما را قبل از اینکه توسط بازیگران بد سوء استفاده شود شناسایی کنند."

DHS به وضوح می خواهد کنترل دقیقی بر برنامه هک DHS حفظ کند و آن را در سه مرحله اجرا می کند. در مرحله اول، هکرها (تأیید شده) ارزیابی‌های مجازی را روی برخی از سیستم‌های خارجی DHS انجام می‌دهند. فاز دو یک رویداد هک زنده و حضوری است و فاز سه مرحله ارزیابی برای DHS است که در آن پاداش‌های باگ در آینده برنامه‌ریزی خواهند شد. در مورد پاداش، با توجه به رکورد، برای هر آسیب پذیری بین 500 تا 5,000 دلار تعلق می گیرد.

چرا DHS این رویکرد را در پیش گرفته است؟ احتمالاً به این دلیل است که یک هدف بلندمدت "توسعه مدلی وجود دارد که می تواند توسط سایر سازمان ها در هر سطح از دولت برای افزایش انعطاف پذیری امنیت سایبری خود استفاده شود." همچنین این اولین باری نیست که چنین برنامه ای اجرا می شود، وزارت دفاع آمریکا برنامه "Hack the Pentagon" را در سال 2016 راه اندازی کرد که منجر به کشف 250 آسیب پذیری بیش از 138 هکر شد.