編者按

美國(guó)防部1月13日宣布將發(fā)起“黑掉五角大樓3.0”計(jì)劃，重點(diǎn)是發(fā)現(xiàn)維持五角大樓和相關(guān)場(chǎng)地運(yùn)行操作技術(shù)中的漏洞。

美國(guó)防部提出，國(guó)防部計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)支持國(guó)家的防御，對(duì)于日常業(yè)務(wù)運(yùn)營(yíng)和關(guān)鍵任務(wù)活動(dòng)都至關(guān)重要；維護(hù)美國(guó)防部網(wǎng)絡(luò)和系統(tǒng)的安全性、機(jī)密性、可用性和完整性事關(guān)國(guó)家安全，需要不斷識(shí)別和修復(fù)可能被惡意網(wǎng)絡(luò)行為者利用的漏洞；為支持國(guó)防部始終處于技術(shù)發(fā)展的最前沿，并保持其IT基礎(chǔ)設(shè)施所需的最高水平的完整性和安全性，國(guó)防部選擇通過(guò)眾包方法來(lái)利用多元化的創(chuàng)新信息安全研究人員，以開展發(fā)現(xiàn)、協(xié)調(diào)和披露漏洞活動(dòng)。

“黑掉五角大樓3.0”計(jì)劃尋求在五角大樓設(shè)施相關(guān)控制系統(tǒng)（FRCS）網(wǎng)絡(luò)上執(zhí)行眾包實(shí)踐，該網(wǎng)絡(luò)用于管理五角大樓保留區(qū)內(nèi)的機(jī)械操作，如主樓內(nèi)的供暖和空調(diào)、五角大樓供暖和制冷廠、模塊化辦公大樓和停車場(chǎng)等。該計(jì)劃的總體目標(biāo)是通過(guò)眾包獲得創(chuàng)新信息安全研究人員的支持，以開展漏洞發(fā)現(xiàn)、協(xié)調(diào)和披露活動(dòng)，并評(píng)估FRCS網(wǎng)絡(luò)當(dāng)前的網(wǎng)絡(luò)安全狀況，找出弱點(diǎn)和漏洞，同時(shí)提供改善和加強(qiáng)整體安全態(tài)勢(shì)的建議。該計(jì)劃僅涉及五角大樓FRCS網(wǎng)絡(luò)中所包含的非機(jī)密信息系統(tǒng)和操作技術(shù)。鑒于資產(chǎn)的敏感性，參與該計(jì)劃承包商需要利用技術(shù)嫻熟且值得信賴的研究人員，相關(guān)人員僅限于美國(guó)人，且必須符合美國(guó)防部制定的資格標(biāo)準(zhǔn)。

奇安網(wǎng)情局編譯有關(guān)情況，供讀者參考。

美國(guó)防部正在計(jì)劃其“黑掉五角大樓”計(jì)劃的第三次迭代，重點(diǎn)是找出維持五角大樓和相關(guān)場(chǎng)地運(yùn)行的操作技術(shù)中的漏洞。

美國(guó)防部于2016年啟動(dòng)了“黑掉五角大樓”計(jì)劃，供應(yīng)商HackerOne協(xié)調(diào)了國(guó)防部公共網(wǎng)站上的漏洞賞金計(jì)劃。超過(guò)1400名黑客參加了第一輪，發(fā)現(xiàn)了138個(gè)獨(dú)特的漏洞并獲得了75000美元的賞金獎(jiǎng)勵(lì)。

該計(jì)劃在2018年擴(kuò)大到包括另外兩家供應(yīng)商：Synack和Bugcrowd。

美國(guó)防部1月13日發(fā)布征求意見稿，宣布了第三次嘗試計(jì)劃，并對(duì)管理該計(jì)劃的供應(yīng)商提出了期望。

背景

美國(guó)防部的計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)支持國(guó)家的防御，對(duì)于日常業(yè)務(wù)運(yùn)營(yíng)和關(guān)鍵任務(wù)活動(dòng)都至關(guān)重要。維護(hù)美國(guó)防部網(wǎng)絡(luò)和系統(tǒng)的安全性、機(jī)密性、可用性和完整性事關(guān)國(guó)家安全，需要不斷識(shí)別和修復(fù)可能被惡意網(wǎng)絡(luò)行為者利用的漏洞。作為對(duì)廣大公眾負(fù)責(zé)的一部分，美國(guó)防部不斷考慮創(chuàng)新和多樣化的方法來(lái)實(shí)現(xiàn)這一目標(biāo)。

為了支持美國(guó)防部不斷努力保持在快速發(fā)展的技術(shù)的最前沿，并保持其IT基礎(chǔ)設(shè)施所需的最高水平的完整性和安全性，美國(guó)防部確定了通過(guò)眾包方法來(lái)利用多元化的創(chuàng)新信息安全研究人員以開展發(fā)現(xiàn)、協(xié)調(diào)和披露漏洞活動(dòng)的新興需求。

眾包是一種現(xiàn)代商業(yè)實(shí)踐，截至2010年，美國(guó)聯(lián)邦政府已采用這種做法，通過(guò)向一大群人而非傳統(tǒng)雇員或供應(yīng)商征集貢獻(xiàn)來(lái)獲取所需的服務(wù)、想法或內(nèi)容。眾包激勵(lì)解決以任務(wù)為中心問(wèn)題的創(chuàng)新。在任何環(huán)境中，保持領(lǐng)先于當(dāng)前和新興網(wǎng)絡(luò)威脅都是一項(xiàng)重大責(zé)任。對(duì)于美國(guó)防部來(lái)說(shuō)，責(zé)任被放大了，因?yàn)榕c安全故障相關(guān)的影響是嚴(yán)重的。

美國(guó)政府華盛頓總部服務(wù)處（WHS）設(shè)施服務(wù)部門（FSD）負(fù)責(zé)為國(guó)家首都地區(qū)（NCR）提供設(shè)施管理支持。FSD還為美國(guó)防部的大量活動(dòng)提供行政和運(yùn)營(yíng)支持。在FSD內(nèi)有許多計(jì)劃旨在支持在由WHS監(jiān)督的管理和租賃建筑物中工作的所有人員。在這些計(jì)劃中，聯(lián)邦設(shè)施部門（FFD）負(fù)責(zé)運(yùn)營(yíng)和維護(hù)五角大樓保留區(qū)和國(guó)家首都地區(qū)（NCR）。

FFD由兩個(gè)建筑管理現(xiàn)場(chǎng)辦公室組成，其中一個(gè)辦公室是五角大樓樓宇管理辦公室（PBMO）。PBMO負(fù)責(zé)五角大樓的所有運(yùn)營(yíng)和維護(hù)，包括但不限于設(shè)施、垂直運(yùn)輸系統(tǒng)、消防系統(tǒng)和設(shè)施相關(guān)控制系統(tǒng)（FRCS）網(wǎng)絡(luò)?！昂诘粑褰谴髽?.0”請(qǐng)求在五角大樓FRCS網(wǎng)絡(luò)上執(zhí)行眾包實(shí)踐。該網(wǎng)絡(luò)用于管理五角大樓保留區(qū)內(nèi)的機(jī)械操作，例如主樓內(nèi)的供暖和空調(diào)、五角大樓供暖和制冷廠、模塊化辦公大樓和停車場(chǎng)等。

PBMO的運(yùn)營(yíng)和維護(hù)計(jì)劃將作為FSD的五角大樓FRCS網(wǎng)絡(luò)眾包漏洞發(fā)現(xiàn)和披露活動(dòng)的政府聯(lián)絡(luò)點(diǎn)。

目標(biāo)

在私營(yíng)部門的協(xié)助下，美國(guó)政府打算利用現(xiàn)有的商業(yè)眾包專業(yè)知識(shí)和最佳實(shí)踐，為政府量身定制，支持美國(guó)防部應(yīng)用眾包方法來(lái)增強(qiáng)其信息安全。為支持這一目標(biāo)，美國(guó)防部打算與在管理眾包漏洞發(fā)現(xiàn)和披露活動(dòng)即服務(wù)方面擁有豐富經(jīng)驗(yàn)的商業(yè)公司合作。根據(jù)最終合同，相關(guān)公司將代表美國(guó)防部主持眾包安全活動(dòng)。在美國(guó)防部?jī)?nèi)，國(guó)防數(shù)字服務(wù)機(jī)構(gòu)（DDS）根據(jù)美國(guó)防部長(zhǎng)辦公室/國(guó)防部指令5105.87授權(quán)管理技術(shù)風(fēng)險(xiǎn)和漏洞，并打算通過(guò)該計(jì)劃解決這些風(fēng)險(xiǎn)和漏洞?？傮w目標(biāo)是通過(guò)眾包獲得一批創(chuàng)新信息安全研究人員的支持，以開展漏洞發(fā)現(xiàn)、協(xié)調(diào)和披露活動(dòng)，并評(píng)估FRCS網(wǎng)絡(luò)當(dāng)前的網(wǎng)絡(luò)安全狀況，找出弱點(diǎn)和漏洞，同時(shí)提供改善和加強(qiáng)整體安全態(tài)勢(shì)的建議。

范圍

華盛頓總部服務(wù)處（WHS）設(shè)施服務(wù)部門（FSD）希望執(zhí)行一項(xiàng)關(guān)鍵的賞金（黑客網(wǎng)絡(luò)）計(jì)劃，該計(jì)劃將涉及五角大樓FRCS網(wǎng)絡(luò)中包含的非機(jī)密信息系統(tǒng)和操作技術(shù)。承包商應(yīng)提供評(píng)估FRCS網(wǎng)絡(luò)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)所需的所有勞動(dòng)力、材料、設(shè)備、硬件、軟件和培訓(xùn)，找出弱點(diǎn)和漏洞，并提供改善和加強(qiáng)整體安全態(tài)勢(shì)的建議。

這些是敏感的政府資產(chǎn)；因此，承包商將需要利用由技術(shù)嫻熟且值得信賴的研究人員組成的私人社區(qū)，研究人員可能僅限于美國(guó)人，符合美國(guó)防部制定的資格標(biāo)準(zhǔn)。研究人員必須具備多種技能，能夠進(jìn)行源代碼分析、逆向工程以及網(wǎng)絡(luò)和系統(tǒng)利用。賞金執(zhí)行或“挑戰(zhàn)階段”本身預(yù)計(jì)不會(huì)超過(guò)72小時(shí)。授予合同后，將向承包商提供訪問(wèn)資產(chǎn)和資產(chǎn)所有者的權(quán)限。