美国国防部网络安全众测的做法、成果及启示
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全众测通过引入 “悬赏” 机制,吸引 和激励研究人员主动挖掘系统安全漏洞和缺陷, 以便在遭受攻击之前及时修复漏洞、升级系统、 消除隐患,从而增强网络安全防御能力,日益受 到各国政府和军队的关注。
一、美国国防部网络安全众测的主要做法
(一) 观念上引领先河,率先开展政府级众测 网络 安 全 众 测 最 早 起 源 于 大 型 企 业, 如 Microsoft、Google、Facebook等公司经常开展此类 活动,悬赏邀请白帽黑客测试网络存在的漏洞和 缺陷,以攻促防,提升企业网络安全性。2016年 美国国 防 部 (DoD) 依 托 HackOne公 司 开 展 了 “黑进五角大楼” (HackthePentagon) 活动,首
[关键词] 漏洞;网络安全众测;美国国防部 [中图分类号] E3/712 [文献标识码] A [文章编号] 1671-4547(2019)03-0038-03 DOI:1013943/jissn1671-454720190307
习主席在全国网络安全和信息化工作会议中 指出,“积极发展网络安全产业,做到关口前移, 防患于未然。” 漏洞是引起网络信息系统脆弱性 的主要原因,检测和修补漏洞是网络安全工作的 重要方面。网络安全众测是 “众包” 模式在网络 安全测试领域的运用,指把网络安全漏洞测试任 务交由若干非特定的 “白帽黑客” (或称道德黑 客,EthicalHacker) 志愿者完成,并依据任务完 成情况向其发放赏金的新型安全服务模式。
的网络安全形势,以及首次安全众测活动取得的 成果,美国国防部出台了 《漏洞披露政策》,为 网络安全研究人员发现和报告国防部各种公开系 统的安全漏洞提供了行为规范和合法渠道,并规 定任何人发现并报告军方网络漏洞均不必担心被 起诉。此外,美国国防部还制定了一系列后续计 划,鼓励 部 队、 军 工 企 业 等 开 展 众 测 活 动[5]。 2017年 11月,美国出台了 《美国政府漏洞公正 性评估政 策 与 流 程 》, 阐 述 了 漏 洞 披 露 过 程 的 原 则和目标;2018年 1月,美国众议院通过了 《网 络漏洞披露法案》(HR3202),对漏洞披露进行 了法律规范。一系列政策的出台为 “白帽黑客” 参与网 络 安 全 众 测 活 动 提 供 了 政 策 保 障 和 法 律 支持。
二、美国国防部网络安全众测的成果收益
(一) 网络安全漏洞的发现率得到提高 网络安 全 漏 洞 发 现 具 有 一 定 偶 然 性 和 滞 后 性[4]。通过网络安全众测方法,面向社会广邀具 有不同经验背景的测试人员,从不同倾面和角度 对目标系统展开测试,能够打破原先利用有限人 员和特定工具实施安全测试的局限,有效提高网 络安全漏洞的发现率,从而为准确实施漏洞封堵 和风险消除奠定基础,最大程度保护网络安全。 如在 2016年 “黑进陆军” 众测活动中,研究人 员发现了 goarmycom网站上存在 2个高危漏洞, 攻击者可通过开放代理服务,在无需身份验证的 情况下访 问 国 防 部 内 部 网 站。 据 美 国 国 防 部 透 露,自 2016年 首 次 众 测 活 动 以 来, 通 过 各 类 “众测” 活动共发现有效漏洞 8000余个,支付赏 金约 50万美元。此外,美国政府还视零日漏洞 为战略资源,通过众测活动或以直接收购方式储 备漏洞,用于制作网络战武器,并限制其公开和 出口。 (二) 网络安全资源的利用率得到提高 网络安全众测活动使得美国能够利用盟友乃 至世界的网络安全人才、工具和技术等资源,突 破有限封闭环境下安全测试的限制,提高了网络 安全资源的利用率,有力解决网络安全漏洞发掘 问题。网络安全众测特有的 “赏金” 机制,按实 际测试效果付费,具有资金投入少、收益见效快 和测试效果好等优点。此外,网络安全漏洞的测 试和挖 掘 工 作 是 一 把 “双 刃 剑”。通 过 物 质 上 “金钱奖赏” 和精神上 “价值认同”,使 “白帽 黑客” 通过漏洞测试工作获得回报,可引导网络 安全测试人员、技术等资源 “为美国政府服务”, 避免流入网络攻击 “黑产”,对社会造成危害。 (三) 网络安全政策得到修改和完善 2016年之前,美国国防部禁止研究人员随意 对内部网络信息系统扫描探测。鉴于越来越严峻
第 40卷第 3期 2019年 6月
国防科技
NATIONALDEFENSETECHNOLOGY
Vol40,No3
Jun2019
美国国防部网络安全众测的做法、成果及启示
刘小虎,张玉臣,张恒巍,程相然
(信息工程大学wk.baidu.com河南 郑州 450001)
[摘 要] 网络安全众测是检测和发掘漏洞的新模式。美国国防部率先开展了政府级网络安全众测活动。研究分析美国 网络国防部安全众测的主要做法,梳理总结其成果收益,探索给出我国发展网络安全众测的启示建议。
[收稿日期] 2019-05-09
[作者简介] 刘小虎,讲师,博士,研究方向:网络空间安全。
刘小虎,等:美国国防部网络安全众测的做法、成果及启示
39
31个国家、组织,2018年则面向全球 191个国 家招募测试人员[3]。2018年 10月 24日,美国国 防部宣布与位于硅谷的三家私营公司 (HackOne、 Synack和 Bugcrowd) 签订总金额高达 3400万美 元的合同,将在 “黑进五角大楼” 系列活动的基 础上进行拓展,可以预见其网络安全众测活动的 范围和强度都将进一步加大。
次允许研究人员测试美国国防部部分公开网站的 安全漏洞,开创了政府级网络安全众测活动的先 河[1]。首次政府级众测活动的规模和范围均比较 小,参与众测的研究人员必须经过严格的身份验 证,同时,众测的对象也限制在某些特定的网站 和非关键性的网络信息系统范围内。
(二) 行动上多层推进,持续组织系列化活动 自 2016年以来,美国国防部组织了多层次、 系列化的网络安全众测活动[2],具体包括 “黑进 五角大楼” “黑进空军” 和 “黑进陆军” 等。其 中, “黑进空军” 自 2016年以来每年举办一次, 已成为空军每年的规定动作。2018年,美国国防 部先后公开进行了 3次网络安全众测活动,分别 是 “黑进国防差旅系统” “黑进海军陆战队” 和 “黑进空军 30”。此外,美国国防部还与 Synack 公司组织开展了若干次非公开的针对敏感网络的 安全众测活动。美国国防部的一系列安全众测活 动也推动了美国总务管理局、众议院和国土安全 部等其它政府部门相关活动的开展。 (三) 力度上逐步增强,不断充实多元化力量 2016年美国国防部首次网 络 安 全 众 测 活 动 中,测试人员仅限于通过资质审查的美国公民, 2017年测试人员范围扩展到英国、加拿大、澳大 利亚、新西 兰 等 “五 眼 联 盟” 和 北 约、瑞 典 等
一、美国国防部网络安全众测的主要做法
(一) 观念上引领先河,率先开展政府级众测 网络 安 全 众 测 最 早 起 源 于 大 型 企 业, 如 Microsoft、Google、Facebook等公司经常开展此类 活动,悬赏邀请白帽黑客测试网络存在的漏洞和 缺陷,以攻促防,提升企业网络安全性。2016年 美国国 防 部 (DoD) 依 托 HackOne公 司 开 展 了 “黑进五角大楼” (HackthePentagon) 活动,首
[关键词] 漏洞;网络安全众测;美国国防部 [中图分类号] E3/712 [文献标识码] A [文章编号] 1671-4547(2019)03-0038-03 DOI:1013943/jissn1671-454720190307
习主席在全国网络安全和信息化工作会议中 指出,“积极发展网络安全产业,做到关口前移, 防患于未然。” 漏洞是引起网络信息系统脆弱性 的主要原因,检测和修补漏洞是网络安全工作的 重要方面。网络安全众测是 “众包” 模式在网络 安全测试领域的运用,指把网络安全漏洞测试任 务交由若干非特定的 “白帽黑客” (或称道德黑 客,EthicalHacker) 志愿者完成,并依据任务完 成情况向其发放赏金的新型安全服务模式。
的网络安全形势,以及首次安全众测活动取得的 成果,美国国防部出台了 《漏洞披露政策》,为 网络安全研究人员发现和报告国防部各种公开系 统的安全漏洞提供了行为规范和合法渠道,并规 定任何人发现并报告军方网络漏洞均不必担心被 起诉。此外,美国国防部还制定了一系列后续计 划,鼓励 部 队、 军 工 企 业 等 开 展 众 测 活 动[5]。 2017年 11月,美国出台了 《美国政府漏洞公正 性评估政 策 与 流 程 》, 阐 述 了 漏 洞 披 露 过 程 的 原 则和目标;2018年 1月,美国众议院通过了 《网 络漏洞披露法案》(HR3202),对漏洞披露进行 了法律规范。一系列政策的出台为 “白帽黑客” 参与网 络 安 全 众 测 活 动 提 供 了 政 策 保 障 和 法 律 支持。
二、美国国防部网络安全众测的成果收益
(一) 网络安全漏洞的发现率得到提高 网络安 全 漏 洞 发 现 具 有 一 定 偶 然 性 和 滞 后 性[4]。通过网络安全众测方法,面向社会广邀具 有不同经验背景的测试人员,从不同倾面和角度 对目标系统展开测试,能够打破原先利用有限人 员和特定工具实施安全测试的局限,有效提高网 络安全漏洞的发现率,从而为准确实施漏洞封堵 和风险消除奠定基础,最大程度保护网络安全。 如在 2016年 “黑进陆军” 众测活动中,研究人 员发现了 goarmycom网站上存在 2个高危漏洞, 攻击者可通过开放代理服务,在无需身份验证的 情况下访 问 国 防 部 内 部 网 站。 据 美 国 国 防 部 透 露,自 2016年 首 次 众 测 活 动 以 来, 通 过 各 类 “众测” 活动共发现有效漏洞 8000余个,支付赏 金约 50万美元。此外,美国政府还视零日漏洞 为战略资源,通过众测活动或以直接收购方式储 备漏洞,用于制作网络战武器,并限制其公开和 出口。 (二) 网络安全资源的利用率得到提高 网络安全众测活动使得美国能够利用盟友乃 至世界的网络安全人才、工具和技术等资源,突 破有限封闭环境下安全测试的限制,提高了网络 安全资源的利用率,有力解决网络安全漏洞发掘 问题。网络安全众测特有的 “赏金” 机制,按实 际测试效果付费,具有资金投入少、收益见效快 和测试效果好等优点。此外,网络安全漏洞的测 试和挖 掘 工 作 是 一 把 “双 刃 剑”。通 过 物 质 上 “金钱奖赏” 和精神上 “价值认同”,使 “白帽 黑客” 通过漏洞测试工作获得回报,可引导网络 安全测试人员、技术等资源 “为美国政府服务”, 避免流入网络攻击 “黑产”,对社会造成危害。 (三) 网络安全政策得到修改和完善 2016年之前,美国国防部禁止研究人员随意 对内部网络信息系统扫描探测。鉴于越来越严峻
第 40卷第 3期 2019年 6月
国防科技
NATIONALDEFENSETECHNOLOGY
Vol40,No3
Jun2019
美国国防部网络安全众测的做法、成果及启示
刘小虎,张玉臣,张恒巍,程相然
(信息工程大学wk.baidu.com河南 郑州 450001)
[摘 要] 网络安全众测是检测和发掘漏洞的新模式。美国国防部率先开展了政府级网络安全众测活动。研究分析美国 网络国防部安全众测的主要做法,梳理总结其成果收益,探索给出我国发展网络安全众测的启示建议。
[收稿日期] 2019-05-09
[作者简介] 刘小虎,讲师,博士,研究方向:网络空间安全。
刘小虎,等:美国国防部网络安全众测的做法、成果及启示
39
31个国家、组织,2018年则面向全球 191个国 家招募测试人员[3]。2018年 10月 24日,美国国 防部宣布与位于硅谷的三家私营公司 (HackOne、 Synack和 Bugcrowd) 签订总金额高达 3400万美 元的合同,将在 “黑进五角大楼” 系列活动的基 础上进行拓展,可以预见其网络安全众测活动的 范围和强度都将进一步加大。
次允许研究人员测试美国国防部部分公开网站的 安全漏洞,开创了政府级网络安全众测活动的先 河[1]。首次政府级众测活动的规模和范围均比较 小,参与众测的研究人员必须经过严格的身份验 证,同时,众测的对象也限制在某些特定的网站 和非关键性的网络信息系统范围内。
(二) 行动上多层推进,持续组织系列化活动 自 2016年以来,美国国防部组织了多层次、 系列化的网络安全众测活动[2],具体包括 “黑进 五角大楼” “黑进空军” 和 “黑进陆军” 等。其 中, “黑进空军” 自 2016年以来每年举办一次, 已成为空军每年的规定动作。2018年,美国国防 部先后公开进行了 3次网络安全众测活动,分别 是 “黑进国防差旅系统” “黑进海军陆战队” 和 “黑进空军 30”。此外,美国国防部还与 Synack 公司组织开展了若干次非公开的针对敏感网络的 安全众测活动。美国国防部的一系列安全众测活 动也推动了美国总务管理局、众议院和国土安全 部等其它政府部门相关活动的开展。 (三) 力度上逐步增强,不断充实多元化力量 2016年美国国防部首次网 络 安 全 众 测 活 动 中,测试人员仅限于通过资质审查的美国公民, 2017年测试人员范围扩展到英国、加拿大、澳大 利亚、新西 兰 等 “五 眼 联 盟” 和 北 约、瑞 典 等