据悉,美国国防部一项旨在根除承包商数字漏洞的试点项目在一年内发现了数百个漏洞。
在美国国防部网络犯罪中心和国防反情报与安全局协调的国防工业基地漏洞披露计划中,漏洞赏金团队HackerOne的网络安全研究人员发现数十家公司存在约400个问题。
漏洞披露计划的临时主管Melissa Vice在一份声明中说:“该项目早已认识到利用众包道德黑客为国防部信息网络增加深度防御保护的好处。该试点项目旨在确定中小型已批准和未批准的国防工业基地公司是否存在类似的关键高危漏洞,对美国关键基础设施和供应链有潜在的风险。”
这一项目于2021年4月启动,共有14家公司和141项可公开获取的资产接受审查。人们对该项目的兴趣迅速提升。最终有41家公司和近350项资产通过了审查,结果已于5月2日公布。这一数字仅是美国国防部200,000家承包商中的一部分,引发了人们对更多网络漏洞的关注。
在美国国防部实施的漏洞披露计划中,专家们寻找漏洞并将其标记出来进行修复。网络犯罪中心称这可以提高网络防御能力,促进主动网络管理。
HackerOne的联合创始人兼首席技术官Alex Rice表示:“每个组织都应该优先考虑保护其软件供应链,这对于保护国家安全的联邦机构来说更为重要。”HackerOne是国防部漏洞报告和审查的主要来源。
美国国防工业基地不断受到黑客攻击和外国势力的威胁。美国国防部在2018年的网络战略中指出,虽然国际竞争对手可能不会直接与美国作战,但他们正在利用数字领域窃取美国技术,扰乱美国政府和商业,挑战美国民主进程,并威胁美国关键基础设施。
在2月24日俄乌冲突开始前发布的一份联合网络安全公告中,美国联邦调查局、国家安全局和网络安全和基础设施安全局警告称,多年来,俄罗斯黑客一直以美国国防承包商为目标,携带武器和通信基础设施相关的重要数据潜逃。
相关报告指出,这些目标公司从事国防和情报工作,包括导弹开发、车辆和飞机的设计以及指挥和控制技术,支持美国陆军、空军、海军、太空部队和国家安全项目。
美国政府问责办公室在2021年12月的分析报告中表示,国防部已采取措施改善国防工业基地的网络安全,但还有更多工作需要做。文件显示,国防部同意该报告的调查结果和建议。