เมื่อสัปดาห์ที่แล้ว กระทรวงกลาโหมประกาศว่าจะเปิดตัว “bug bounty” ครั้งแรกของรัฐบาลกลาง โดยมีแนวคิดที่ว่ามีชุมชนใหม่ของแฮ็กเกอร์หมวกขาวที่พยายามช่วยเหลือเพนตากอนด้วยความท้าทายด้านความปลอดภัยทางไซเบอร์ แต่ก็ยังไม่ได้ทำ ได้จนถึงปัจจุบันในรอบแรกของการแข่งขัน Hack the Pentagon เจ้าหน้าที่จะขอให้ผู้เชี่ยวชาญด้านความปลอดภัยที่ลงทะเบียนล่วงหน้าพยายามแทรกซึมเข้าไปในเว็บไซต์สาธารณะของ DoD และรายงานกลับเกี่ยวกับช่องโหว่
ที่พบเพื่อแลกกับรางวัลเงินสด แต่เจ้าหน้าที่กลาโหมอาวุโส
ซึ่งระบุแง่มุมบางอย่างของโครงการสำหรับนักข่าวโดยไม่เปิดเผยชื่อ กล่าวว่ากระทรวงกลาโหมต้องการขยายแนวคิดเดียวกันนี้เพื่อรวบรวมกระบวนการทดสอบการเจาะของระบบป้องกันอื่น ๆ นับไม่ถ้วนอย่างมีประสิทธิภาพ
“เราเห็นว่าสิ่งนี้เติบโตขึ้นเป็นสิ่งที่เราสามารถใช้เป็นเครื่องมือที่ใหญ่กว่ามากเพื่อช่วยให้ระบบของเรามีความปลอดภัยมากขึ้น ไม่เพียงแต่สำหรับกระทรวงกลาโหม แต่สำหรับรัฐบาลกลางในวงกว้าง ด้วยเหตุนี้ เราจำเป็นต้องทดสอบ แนวทางนี้บนระบบจริง” เจ้าหน้าที่กล่าว และเสริมว่า DoD มองว่าความพยายามนี้เป็นส่วนหนึ่งของForce of the Future Initiative ของเลขาธิการ Ash Carter
ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
“มีคนมากมายที่ต้องการช่วยเราเรื่องความปลอดภัยในโลกไซเบอร์ แต่ไม่ได้ผลกับ DoD และเราได้ยินจากพวกเขาตลอดเวลา ตอนนี้คนดีสามารถช่วยได้จริง และนี่เป็นวิธีที่ถูกกว่ามากสำหรับเราในการทดสอบการรักษาความปลอดภัยและการเจาะระบบ มากกว่าสิ่งที่เราเคยทำมาก่อนในกระทรวงกลาโหม อีกทั้งเราจะได้รับผู้เชี่ยวชาญจำนวนมาก และนักวิจัยที่ปกติเราไม่สามารถเข้าถึงได้”
ขนาดของค่าหัวจะไม่ประกาศเป็นเวลาหลายสัปดาห์
เพนตากอนบอกเพียงว่าตอนนี้เงินรางวัลรวมจะจำลองมาจากการแข่งขันที่คล้ายคลึงกันในภาคเอกชน
“โดยปกติแล้ววิธีการทำงานคือเมื่อนักวิจัยพบช่องโหว่ ความรุนแรงของช่องโหว่นั้นมีผลกระทบต่อขนาดของรางวัลที่พวกเขาจะได้รับ” เจ้าหน้าที่กล่าว
รายละเอียดส่วนใหญ่เกี่ยวกับวิธีการทำงานของโปรแกรมยังคงไม่ได้รับคำตอบ รวมถึงระบบที่แผนกเลือกให้แฮ็กเกอร์ใช้ค้อนทุบในระหว่างการนำร่องครั้งแรก เพนตากอนกล่าวว่ามันจะเป็นเว็บไซต์ที่มีความแข็งแกร่งสูงเพราะถูกโจมตีอย่างต่อเนื่อง และจะไม่เชื่อมต่อกับฐานข้อมูลที่มีข้อมูลลับหรือข้อมูลที่สามารถระบุตัวบุคคลได้
ด้วยเหตุนี้ พวกเขาจึงเห็นความเสี่ยงต่ำที่การแข่งขันครั้งใหม่จะทำให้เว็บไซต์ใดก็ตามที่ได้รับเลือกเป็นเป้าหมายใหม่สำหรับรัฐชาติหรืออาชญากร
“ระบบของเราถูกโจมตีทุกวันโดยผู้ไม่หวังดี พวกเขาไม่ได้นั่งอยู่ที่นั่นแล้วพูดว่า ‘โอ้ ว้าว ฉันกำลังรอให้กระทรวงกลาโหมเสนอรางวัลแมลง’ พวกเขาไม่รอช้า พวกเขากำลังทำอยู่ตอนนี้” เจ้าหน้าที่กล่าว
อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความปลอดภัย “หมวกขาว” ที่ตัดสินใจเข้าร่วมจะต้องได้รับการตรวจสอบประวัติก่อนที่จะได้รับอนุญาตให้เข้าร่วม และจะต้องตกลงที่จะปฏิบัติตาม “กฎการมีส่วนร่วม” ที่กำหนดไว้ล่วงหน้าเพื่อให้มีสิทธิ์ได้รับ เงินรางวัล—และเพื่อให้ได้รับความคุ้มครองจากความเสี่ยงของการฟ้องร้องทางอาญา ซึ่งมักจะมาพร้อมกับความ
