編者按

美國防部1月13日宣布將發(fā)起“黑掉五角大樓3.0”計劃，重點是發(fā)現(xiàn)維持五角大樓和相關(guān)場地運行操作技術(shù)中的漏洞。

美國防部提出，國防部計算機網(wǎng)絡(luò)和系統(tǒng)支持國家的防御，對于日常業(yè)務(wù)運營和關(guān)鍵任務(wù)活動都至關(guān)重要；維護美國防部網(wǎng)絡(luò)和系統(tǒng)的安全性、機密性、可用性和完整性事關(guān)國家安全，需要不斷識別和修復(fù)可能被惡意網(wǎng)絡(luò)行為者利用的漏洞；為支持國防部始終處于技術(shù)發(fā)展的最前沿，并保持其IT基礎(chǔ)設(shè)施所需的最高水平的完整性和安全性，國防部選擇通過眾包方法來利用多元化的創(chuàng)新信息安全研究人員，以開展發(fā)現(xiàn)、協(xié)調(diào)和披露漏洞活動。

“黑掉五角大樓3.0”計劃尋求在五角大樓設(shè)施相關(guān)控制系統(tǒng)（FRCS）網(wǎng)絡(luò)上執(zhí)行眾包實踐，該網(wǎng)絡(luò)用于管理五角大樓保留區(qū)內(nèi)的機械操作，如主樓內(nèi)的供暖和空調(diào)、五角大樓供暖和制冷廠、模塊化辦公大樓和停車場等。該計劃的總體目標(biāo)是通過眾包獲得創(chuàng)新信息安全研究人員的支持，以開展漏洞發(fā)現(xiàn)、協(xié)調(diào)和披露活動，并評估FRCS網(wǎng)絡(luò)當(dāng)前的網(wǎng)絡(luò)安全狀況，找出弱點和漏洞，同時提供改善和加強整體安全態(tài)勢的建議。該計劃僅涉及五角大樓FRCS網(wǎng)絡(luò)中所包含的非機密信息系統(tǒng)和操作技術(shù)。鑒于資產(chǎn)的敏感性，參與該計劃承包商需要利用技術(shù)嫻熟且值得信賴的研究人員，相關(guān)人員僅限于美國人，且必須符合美國防部制定的資格標(biāo)準(zhǔn)。

奇安網(wǎng)情局編譯有關(guān)情況，供讀者參考。

美國防部正在計劃其“黑掉五角大樓”計劃的第三次迭代，重點是找出維持五角大樓和相關(guān)場地運行的操作技術(shù)中的漏洞。

美國防部于2016年啟動了“黑掉五角大樓”計劃，供應(yīng)商HackerOne協(xié)調(diào)了國防部公共網(wǎng)站上的漏洞賞金計劃。超過1400名黑客參加了第一輪，發(fā)現(xiàn)了138個獨特的漏洞并獲得了75000美元的賞金獎勵。

該計劃在2018年擴大到包括另外兩家供應(yīng)商：Synack和Bugcrowd。

美國防部1月13日發(fā)布征求意見稿，宣布了第三次嘗試計劃，并對管理該計劃的供應(yīng)商提出了期望。

背景

美國防部的計算機網(wǎng)絡(luò)和系統(tǒng)支持國家的防御，對于日常業(yè)務(wù)運營和關(guān)鍵任務(wù)活動都至關(guān)重要。維護美國防部網(wǎng)絡(luò)和系統(tǒng)的安全性、機密性、可用性和完整性事關(guān)國家安全，需要不斷識別和修復(fù)可能被惡意網(wǎng)絡(luò)行為者利用的漏洞。作為對廣大公眾負責(zé)的一部分，美國防部不斷考慮創(chuàng)新和多樣化的方法來實現(xiàn)這一目標(biāo)。

為了支持美國防部不斷努力保持在快速發(fā)展的技術(shù)的最前沿，并保持其IT基礎(chǔ)設(shè)施所需的最高水平的完整性和安全性，美國防部確定了通過眾包方法來利用多元化的創(chuàng)新信息安全研究人員以開展發(fā)現(xiàn)、協(xié)調(diào)和披露漏洞活動的新興需求。

眾包是一種現(xiàn)代商業(yè)實踐，截至2010年，美國聯(lián)邦政府已采用這種做法，通過向一大群人而非傳統(tǒng)雇員或供應(yīng)商征集貢獻來獲取所需的服務(wù)、想法或內(nèi)容。眾包激勵解決以任務(wù)為中心問題的創(chuàng)新。在任何環(huán)境中，保持領(lǐng)先于當(dāng)前和新興網(wǎng)絡(luò)威脅都是一項重大責(zé)任。對于美國防部來說，責(zé)任被放大了，因為與安全故障相關(guān)的影響是嚴(yán)重的。

美國政府華盛頓總部服務(wù)處（WHS）設(shè)施服務(wù)部門（FSD）負責(zé)為國家首都地區(qū)（NCR）提供設(shè)施管理支持。FSD還為美國防部的大量活動提供行政和運營支持。在FSD內(nèi)有許多計劃旨在支持在由WHS監(jiān)督的管理和租賃建筑物中工作的所有人員。在這些計劃中，聯(lián)邦設(shè)施部門（FFD）負責(zé)運營和維護五角大樓保留區(qū)和國家首都地區(qū)（NCR）。

FFD由兩個建筑管理現(xiàn)場辦公室組成，其中一個辦公室是五角大樓樓宇管理辦公室（PBMO）。PBMO負責(zé)五角大樓的所有運營和維護，包括但不限于設(shè)施、垂直運輸系統(tǒng)、消防系統(tǒng)和設(shè)施相關(guān)控制系統(tǒng)（FRCS）網(wǎng)絡(luò)?！昂诘粑褰谴髽?.0”請求在五角大樓FRCS網(wǎng)絡(luò)上執(zhí)行眾包實踐。該網(wǎng)絡(luò)用于管理五角大樓保留區(qū)內(nèi)的機械操作，例如主樓內(nèi)的供暖和空調(diào)、五角大樓供暖和制冷廠、模塊化辦公大樓和停車場等。

PBMO的運營和維護計劃將作為FSD的五角大樓FRCS網(wǎng)絡(luò)眾包漏洞發(fā)現(xiàn)和披露活動的政府聯(lián)絡(luò)點。

目標(biāo)

在私營部門的協(xié)助下，美國政府打算利用現(xiàn)有的商業(yè)眾包專業(yè)知識和最佳實踐，為政府量身定制，支持美國防部應(yīng)用眾包方法來增強其信息安全。為支持這一目標(biāo)，美國防部打算與在管理眾包漏洞發(fā)現(xiàn)和披露活動即服務(wù)方面擁有豐富經(jīng)驗的商業(yè)公司合作。根據(jù)最終合同，相關(guān)公司將代表美國防部主持眾包安全活動。在美國防部內(nèi)，國防數(shù)字服務(wù)機構(gòu)（DDS）根據(jù)美國防部長辦公室/國防部指令5105.87授權(quán)管理技術(shù)風(fēng)險和漏洞，并打算通過該計劃解決這些風(fēng)險和漏洞?？傮w目標(biāo)是通過眾包獲得一批創(chuàng)新信息安全研究人員的支持，以開展漏洞發(fā)現(xiàn)、協(xié)調(diào)和披露活動，并評估FRCS網(wǎng)絡(luò)當(dāng)前的網(wǎng)絡(luò)安全狀況，找出弱點和漏洞，同時提供改善和加強整體安全態(tài)勢的建議。

范圍

華盛頓總部服務(wù)處（WHS）設(shè)施服務(wù)部門（FSD）希望執(zhí)行一項關(guān)鍵的賞金（黑客網(wǎng)絡(luò)）計劃，該計劃將涉及五角大樓FRCS網(wǎng)絡(luò)中包含的非機密信息系統(tǒng)和操作技術(shù)。承包商應(yīng)提供評估FRCS網(wǎng)絡(luò)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢所需的所有勞動力、材料、設(shè)備、硬件、軟件和培訓(xùn)，找出弱點和漏洞，并提供改善和加強整體安全態(tài)勢的建議。

這些是敏感的政府資產(chǎn)；因此，承包商將需要利用由技術(shù)嫻熟且值得信賴的研究人員組成的私人社區(qū)，研究人員可能僅限于美國人，符合美國防部制定的資格標(biāo)準(zhǔn)。研究人員必須具備多種技能，能夠進行源代碼分析、逆向工程以及網(wǎng)絡(luò)和系統(tǒng)利用。賞金執(zhí)行或“挑戰(zhàn)階段”本身預(yù)計不會超過72小時。授予合同后，將向承包商提供訪問資產(chǎn)和資產(chǎn)所有者的權(quán)限。