Homeland Security mời các nhà nghiên cứu bảo mật 'Hack DHS'

Bộ An ninh Nội địa (DHS) tuần này đã thông báo rằng họ sẽ chạy một chương trình tiền thưởng lỗi “Hack DHS”.

Như thường lệ với các chương trình như vậy, DHS đang mời các nhà nghiên cứu bảo mật để kiểm tra hệ thống của nó và xác định các lỗ hổng bảo mật mạng. Đổi lại, DHS sẽ trả tiền thưởng lỗi khi xác nhận có lỗ hổng bảo mật. Tuy nhiên, không giống như các chương trình khác, DHS dự định chỉ cho phép các nhà nghiên cứu an ninh mạng đã được kiểm duyệt truy cập vào “các hệ thống DHS bên ngoài được lựa chọn”.

Bộ trưởng An ninh Nội địa Alejandro Mayorkas giải thích, "Chương trình Hack DHS khuyến khích các tin tặc có kỹ năng cao xác định các điểm yếu an ninh mạng trong hệ thống của chúng tôi trước khi chúng có thể bị lợi dụng bởi những kẻ xấu."

DHS rõ ràng muốn giữ quyền kiểm soát chặt chẽ đối với chương trình Hack DHS và đang triển khai chương trình này trong ba giai đoạn. Giai đoạn đầu tiên nhìn thấy (hiệu đính) tin tặc tiến hành đánh giá ảo trên một số hệ thống bên ngoài DHS. Giai đoạn hai là sự kiện hack trực tiếp, trực tiếp và giai đoạn ba là giai đoạn đánh giá dành cho DHS, nơi sẽ lên kế hoạch thưởng lỗi trong tương lai. Về phần thưởng, theo Kỷ lục, từ $ 500 đến $ 5,000 sẽ được trao cho mỗi lỗ hổng.

Tại sao DHS lại áp dụng phương pháp này? Có thể là vì có một mục tiêu dài hạn là “phát triển một mô hình có thể được sử dụng bởi các tổ chức khác ở mọi cấp chính phủ để tăng khả năng phục hồi an ninh mạng của chính họ”. Đây cũng không phải là lần đầu tiên một chương trình như vậy được chạy, với việc DoD tung ra chương trình “Hack the Pentagon” vào năm 2016, kết quả là hơn 250 tin tặc đã phát hiện ra 138 lỗ hổng.