編者按

美國防部1月13日宣布將發(fā)起“黑掉五角大樓3.0”計劃，重點是發(fā)現(xiàn)維持五角大樓和相關場地運行操作技術中的漏洞。

美國防部提出，國防部計算機網(wǎng)絡和系統(tǒng)支持國家的防御，對于日常業(yè)務運營和關鍵任務活動都至關重要；維護美國防部網(wǎng)絡和系統(tǒng)的安全性、機密性、可用性和完整性事關國家安全，需要不斷識別和修復可能被惡意網(wǎng)絡行為者利用的漏洞；為支持國防部始終處于技術發(fā)展的最前沿，并保持其IT基礎設施所需的最高水平的完整性和安全性，國防部選擇通過眾包方法來利用多元化的創(chuàng)新信息安全研究人員，以開展發(fā)現(xiàn)、協(xié)調(diào)和披露漏洞活動。

“黑掉五角大樓3.0”計劃尋求在五角大樓設施相關控制系統(tǒng)（FRCS）網(wǎng)絡上執(zhí)行眾包實踐，該網(wǎng)絡用于管理五角大樓保留區(qū)內(nèi)的機械操作，如主樓內(nèi)的供暖和空調(diào)、五角大樓供暖和制冷廠、模塊化辦公大樓和停車場等。該計劃的總體目標是通過眾包獲得創(chuàng)新信息安全研究人員的支持，以開展漏洞發(fā)現(xiàn)、協(xié)調(diào)和披露活動，并評估FRCS網(wǎng)絡當前的網(wǎng)絡安全狀況，找出弱點和漏洞，同時提供改善和加強整體安全態(tài)勢的建議。該計劃僅涉及五角大樓FRCS網(wǎng)絡中所包含的非機密信息系統(tǒng)和操作技術。鑒于資產(chǎn)的敏感性，參與該計劃承包商需要利用技術嫻熟且值得信賴的研究人員，相關人員僅限于美國人，且必須符合美國防部制定的資格標準。

奇安網(wǎng)情局編譯有關情況，供讀者參考。

美國防部正在計劃其“黑掉五角大樓”計劃的第三次迭代，重點是找出維持五角大樓和相關場地運行的操作技術中的漏洞。

美國防部于2016年啟動了“黑掉五角大樓”計劃，供應商HackerOne協(xié)調(diào)了國防部公共網(wǎng)站上的漏洞賞金計劃。超過1400名黑客參加了第一輪，發(fā)現(xiàn)了138個獨特的漏洞并獲得了75000美元的賞金獎勵。

該計劃在2018年擴大到包括另外兩家供應商：Synack和Bugcrowd。

美國防部1月13日發(fā)布征求意見稿，宣布了第三次嘗試計劃，并對管理該計劃的供應商提出了期望。

背景

美國防部的計算機網(wǎng)絡和系統(tǒng)支持國家的防御，對于日常業(yè)務運營和關鍵任務活動都至關重要。維護美國防部網(wǎng)絡和系統(tǒng)的安全性、機密性、可用性和完整性事關國家安全，需要不斷識別和修復可能被惡意網(wǎng)絡行為者利用的漏洞。作為對廣大公眾負責的一部分，美國防部不斷考慮創(chuàng)新和多樣化的方法來實現(xiàn)這一目標。

為了支持美國防部不斷努力保持在快速發(fā)展的技術的最前沿，并保持其IT基礎設施所需的最高水平的完整性和安全性，美國防部確定了通過眾包方法來利用多元化的創(chuàng)新信息安全研究人員以開展發(fā)現(xiàn)、協(xié)調(diào)和披露漏洞活動的新興需求。

眾包是一種現(xiàn)代商業(yè)實踐，截至2010年，美國聯(lián)邦政府已采用這種做法，通過向一大群人而非傳統(tǒng)雇員或供應商征集貢獻來獲取所需的服務、想法或內(nèi)容。眾包激勵解決以任務為中心問題的創(chuàng)新。在任何環(huán)境中，保持領先于當前和新興網(wǎng)絡威脅都是一項重大責任。對于美國防部來說，責任被放大了，因為與安全故障相關的影響是嚴重的。

美國政府華盛頓總部服務處（WHS）設施服務部門（FSD）負責為國家首都地區(qū)（NCR）提供設施管理支持。FSD還為美國防部的大量活動提供行政和運營支持。在FSD內(nèi)有許多計劃旨在支持在由WHS監(jiān)督的管理和租賃建筑物中工作的所有人員。在這些計劃中，聯(lián)邦設施部門（FFD）負責運營和維護五角大樓保留區(qū)和國家首都地區(qū)（NCR）。

FFD由兩個建筑管理現(xiàn)場辦公室組成，其中一個辦公室是五角大樓樓宇管理辦公室（PBMO）。PBMO負責五角大樓的所有運營和維護，包括但不限于設施、垂直運輸系統(tǒng)、消防系統(tǒng)和設施相關控制系統(tǒng)（FRCS）網(wǎng)絡?！昂诘粑褰谴髽?.0”請求在五角大樓FRCS網(wǎng)絡上執(zhí)行眾包實踐。該網(wǎng)絡用于管理五角大樓保留區(qū)內(nèi)的機械操作，例如主樓內(nèi)的供暖和空調(diào)、五角大樓供暖和制冷廠、模塊化辦公大樓和停車場等。

PBMO的運營和維護計劃將作為FSD的五角大樓FRCS網(wǎng)絡眾包漏洞發(fā)現(xiàn)和披露活動的政府聯(lián)絡點。

目標

在私營部門的協(xié)助下，美國政府打算利用現(xiàn)有的商業(yè)眾包專業(yè)知識和最佳實踐，為政府量身定制，支持美國防部應用眾包方法來增強其信息安全。為支持這一目標，美國防部打算與在管理眾包漏洞發(fā)現(xiàn)和披露活動即服務方面擁有豐富經(jīng)驗的商業(yè)公司合作。根據(jù)最終合同，相關公司將代表美國防部主持眾包安全活動。在美國防部內(nèi)，國防數(shù)字服務機構（DDS）根據(jù)美國防部長辦公室/國防部指令5105.87授權管理技術風險和漏洞，并打算通過該計劃解決這些風險和漏洞?？傮w目標是通過眾包獲得一批創(chuàng)新信息安全研究人員的支持，以開展漏洞發(fā)現(xiàn)、協(xié)調(diào)和披露活動，并評估FRCS網(wǎng)絡當前的網(wǎng)絡安全狀況，找出弱點和漏洞，同時提供改善和加強整體安全態(tài)勢的建議。

范圍

華盛頓總部服務處（WHS）設施服務部門（FSD）希望執(zhí)行一項關鍵的賞金（黑客網(wǎng)絡）計劃，該計劃將涉及五角大樓FRCS網(wǎng)絡中包含的非機密信息系統(tǒng)和操作技術。承包商應提供評估FRCS網(wǎng)絡當前網(wǎng)絡安全態(tài)勢所需的所有勞動力、材料、設備、硬件、軟件和培訓，找出弱點和漏洞，并提供改善和加強整體安全態(tài)勢的建議。

這些是敏感的政府資產(chǎn)；因此，承包商將需要利用由技術嫻熟且值得信賴的研究人員組成的私人社區(qū)，研究人員可能僅限于美國人，符合美國防部制定的資格標準。研究人員必須具備多種技能，能夠進行源代碼分析、逆向工程以及網(wǎng)絡和系統(tǒng)利用。賞金執(zhí)行或“挑戰(zhàn)階段”本身預計不會超過72小時。授予合同后，將向承包商提供訪問資產(chǎn)和資產(chǎn)所有者的權限。