新型Mac惡意軟件攻擊美國國防行業-流量監控軟件
[時間:2017-02-09]  [文章來源:上海百絡]  [責任編輯:admin]

        GSA的技術改革服務部在開源GitHub項目上發布草案征集,期望潛在的資深廠商幫助GSA建立自己的漏洞懸賞計劃。TTS要求有關各方1月30日之前提供反饋意見。漏洞懸賞的概念非常簡單:雇用或未發現漏洞的白帽子黑客給予獎勵。這是眾包網絡安全概念,只是方式更正式、更可信。
      漏洞懸賞計劃—要求安全研究人員尋找組織機構網絡或系統內部的漏洞,機構給予相應的獎勵。自美國國防部和美國陸軍取得初步成功后,該計劃在聯邦政府機構中日益興起。草案征集的執行工作說明指出,“作為關注安全的重要組成部分,TTS需要采購預先存在的商業漏洞懸賞Saas(軟件即服務)平臺服務,從而啟動并管理TTS漏洞懸賞計劃”GSA—尤其18F數字服務團隊,相當長時間以來,一直有建立漏洞懸賞計劃的想法。18F團隊早在2016年早些時候就開始研究漏洞懸賞試點,以此為其它機構提供服務,但具體項目似乎仍處于初期規劃階段。

      TTS將借助承包商的幫助,邀請研究人員尋找TTS Web應用程序的漏洞。承包商還需對報告的漏洞進行分類,為發現有效漏洞的研究人員支付獎金,并解釋駁回的原因。GSA在GitHub上提供建議價格:低危漏洞300美元,中危漏洞1000美元,高危漏洞5000美元。合同為固定價格合同,基礎期限為3個月,預計每個月的獎金支出:6個有效低危漏洞、1個有效中危漏洞和1個高效高危漏洞。GSA表示,合同另外還有2個為期3個月的選擇期。另外,感興趣的承包商向GSA提供使用其懸賞平臺的報價。

      TTS基本上會指定較大的資深漏洞懸賞廠商,這樣的廠商已經建立了安全研究人員庫,有利于發現更多的漏洞。草案執行工作說明指出,考慮到漏洞懸賞計劃的特性,提供漏洞懸賞SaaS平臺(Bug Bounty SaaS Platform,能實現TTS的目標,并為政府帶來最大價值)的承包商必須具有良好的信譽。漏洞懸賞SaaS平臺的提供商越知名,在業界擁有的安全研究人才就越多。漏洞懸賞SaaS平臺提供商網絡的安全研究人員群體越大,在TTS Web應用程序上發現漏洞和技術問題的機率就越大。GSA表示,已經開始審批行業內三大知名承包商。大量漏洞懸賞平臺公司近年不斷發展壯大,例如HackerOne(運作國防部和美國陸軍的項目)、Synack和Bugcrowd,但GSA未表明聯系了哪家公司。HackerOne是唯一一家在該GitHub項目上公開提交問題的公司。HackerOne的首席技術官Alex Rice 指出,TTS正在展現最佳做法,其它聯邦政府的機構可能輕松如法炮制,從發布漏洞披露政策開始。Rice表示,“一旦完成了其中一個漏洞披露計劃,漏洞懸賞項目便能以相對簡易的程序進行。TTS本質上是在構建藍圖,供其他人實施這些項目提供向導。”TTS在GitHub上公開采購,并給予最大程度的靈活性,這是在構建人性化模式,供合作機構獲取、調整并實施計劃,以滿足自身需求。TTS是先驅,通過聯邦承包的方式開辟新天地。18F和國防部的經驗教訓使得這些項目可為每個政府機構所用。因此,我認為聯邦政府其它機構很快會加以重復利用,并會利用現有的好處。相比更傳統的方法,政府將進一步強化眾包安全的成本節約方式。”就像18F和TTS開發的其它許多項目一樣,該漏洞懸賞計劃最開始也許只是單從機構利益出發,但其真正的價值是作為其它美國政府機構的PoC。真正的好處是,它會帶來可重復的過程,幾乎任何機構都能通過承包的方式實施這樣的計劃。流量監控軟件經歷了該過程,沒有必要重復執行這項工作。”



    [關閉本頁]
  關鍵詞:  流量監控軟件,上網行為管理
首頁 |  局域網監控軟件 |  局域網管理軟件 |  流量監控軟件 |  百絡網警用戶論壇
Copyright © 2013-2016 NETBAI.COM 上海百絡信息技術有限公司 版權所有 E-MAIL:[email protected]
監控軟件-征信網認證 監控軟件-網警網絡110 滬ICP備14015905號-1
監控軟件-公安部檢測報告 監控軟件-360認證 監控軟件-瑞星認證 監控軟件-金山云安全中心網站安全檢測 監控軟件-江民安全認證 監控軟件-卡巴斯基檢測通過 監控軟件-小紅傘安全認證 太王四神记返水