国土安全保障省 (DHS) の の結果が明らかになりましたが、サイバー セキュリティの代名詞である政府機関にとって、これは特に明るいニュースではありません。
「Hack DHS」と名付けられた DHS の史上初のバグ報奨金プログラムの参加者は、憂慮すべき数のセキュリティ バグを発見したことを確認しました。
The Register と Bleeping Computer によると、彼らは外部 DHS システムに合計 122 件のセキュリティ脆弱性を発見しました。 27 件のバグが「重大度」の欠陥として認識されました。
Hack DHS イニシアチブでは、450 人を超えるセキュリティ研究者がプログラムに参加しました。彼らの努力に対して、政府機関は総額 125,600 ドルの報奨金を支払い、倫理的なハッカーに分配されました。
The Register が適切に強調しているように、前述の支払金額は、他の組織がバグ賞金稼ぎに支払う金額と比較すると見劣りします。
たとえば、Intel は以前、特定の脆弱性の発見に成功した場合に最大 10 万ドルの賞金を提供しました。
Microsoft のような他のテクノロジー大手は、欠陥の発見に数万ドルを提供していますが、Apple は 、Mac をハッキングした個人に 10 万ドルを与えることで、Hack DHS 報奨金のほぼ全額を 支払っています。
一方、Google は、独自のバグ報奨金プログラムに登録した個人に 3,000 万ドル近くを授与しました。ある特定のケースでは、同社は特定のバグを報告し 。
国土安全保障省の重要な責務の 1 つがサイバー セキュリティに関与しているという事実を考慮すると、そもそもこれほど大量のセキュリティ バグが発見されたことを懸念する人が多いのは当然のことです。さらに、Hack DHS に関連する支払い段階がやや精彩を欠いているため、将来の利害関係者に対する潜在的な抑止力となる可能性があります。
すべてを考慮すると、DHS は多くのアメリカ人が期待していたほど安全ではないようです。
国土安全保障省のさらなる安全性の追求
Hack DHS は 2021 年 12 月に初めて導入されました。プログラムに参加したハッカーは、発見した脆弱性の包括的な内訳を提供する必要がありました。また、その欠陥が潜在的な脅威アクターによってどのように標的化され悪用される可能性があるのかを詳しく説明するとともに、DHS システムにアクセスしてデータを抽出するためにこの欠陥が具体的にどのように利用されるのかについても説明する必要があります。
これらのセキュリティ欠陥は、「DHS セキュリティ専門家」による検証プロセスを経ると、バグが検出されて提出されてから分析に 48 時間かかり、通常は 15 日程度でパッチが適用されます。場合によっては、政府機関がより複雑な欠陥を修正するのに半月以上かかることもあります。
政府機関のバグ報奨金プログラムは、3 段階からなる段階的な展開を通じて実施されます。第 1 段階である支払いは完了しており、今後の第 2 段階では、DHS が厳選したセキュリティ研究者がライブ ハッキング イベントに参加する予定です。
最終段階に関しては、DHS が追加のバグ報奨金プログラムに影響を与えることを期待する情報を共有すると The Register が報じています。
サイバー犯罪者が大手企業、特にテクノロジー分野に侵入しようと する試みを強化し ている時代に、バグ報奨金プログラムの人気 。
たとえば、Intel は、「エリート ハッカー」を採用するために導入されたバグ報奨金プログラムの拡張版で ある Project Circuit Breaker を発表しました 。 Google は昨年、 新しいバグ プラットフォームを立ち上げて 脆弱性報奨プログラムも更新しました。
他の場所では、Google は最近、2021 年に 記録的な数の危険なゼロデイ エクスプロイト が確認されたことを認めましたが、サイバー犯罪は かつてないほど広範囲に及んで います。