ความสำเร็จของแนวทางการรักษาความปลอดภัยทางไซเบอร์แบบฝูงชนทำให้ DoD กำหนดนโยบายการเปิดเผยช่องโหว่เป็นครั้งแรก ซึ่งสร้างช่องทางที่ปลอดภัย มั่นคง และถูกกฎหมายสำหรับพลเมืองเอกชนทั่วโลกในการรายงานช่องโหว่ที่พบในเว็บไซต์และแอปพลิเคชันของ DoD ที่เปิดเผยต่อสาธารณะนอกจากนี้ยังทำหน้าที่เป็นสะพานเชื่อมระหว่าง DoD และชุมชนนักวิจัยด้านความปลอดภัยเพื่อทำงานร่วมกันอย่างเปิดเผยและโดยสุจริตเพื่อระบุและเปิดเผยช่องโหว่ กระทรวงกลาโหมได้จัดโครงการล่าแมลงสาธารณะ 14 โครงการและเอกชน 10 โครงการ และจ่ายเงินหลายแสนดอลลาร์เพื่อตอบสนองต่อผู้เชี่ยวชาญในภาคเอกชนที่พบปัญหา
ความพยายามเหล่านี้นำไปสู่การขยายแนวทางของแฮ็กเกอร์
ที่เป็นคนดีในการรักษาความปลอดภัยทางไซเบอร์ในหน่วยงานทางทหารและไปสู่โลกพลเรือนของรัฐบาลกลางตั้งแต่โปรแกรมตรวจจับข้อบกพร่องไปจนถึงโปรแกรมเปิดเผยช่องโหว่หรือ VDP หน่วยงานต่างเห็นคุณค่าของแนวทางเหล่านี้ในการรักษาความปลอดภัยเครือข่ายและแอปพลิเคชัน
อเล็กซ์ ไรซ์ ผู้ร่วมก่อตั้งและประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ HackerOne กล่าวว่าในช่วง 5 ปีที่ผ่านมา DoD ได้ระบุช่องโหว่มากกว่า 10,000 รายการผ่านโปรแกรมบั๊กและโปรแกรมอื่นๆ ที่คล้ายคลึงกัน“ส่วนใหญ่มาจากฐานอุตสาหกรรมกลาโหม” ไรซ์กล่าวระหว่างFederal Insights: ทำความเข้าใจเกี่ยวกับความคล่องตัวของ Crowdsourced Cybersecurityสนับสนุนโดย HackerOne “หากคุณขอให้สาธารณชนประเมินพื้นผิวการโจมตีของคุณ ก็ไม่เคยได้ยินมาก่อนว่าจะไม่เกี่ยวข้องกับองค์ประกอบบางอย่างของห่วงโซ่อุปทาน ดังนั้นเราจึงพยายามจัดโครงสร้างโปรแกรมเหล่านี้เพื่อให้แฮ็กเกอร์ที่ดีทำตัวเหมือนผู้ร้าย เมื่อไม่กี่เดือนที่ผ่านมา กระทรวงกลาโหมได้ขยายนโยบายการเปิดเผยช่องโหว่ให้ครอบคลุม DIB ด้วยเช่นกัน ตอนนี้พวกเขาได้ตั้งค่าโครงสร้างอย่างชัดเจนที่ทุกคนใน DIB สามารถเลือกรับนโยบายการเปิดเผยช่องโหว่โดยรวมของ DoD ภายในสัปดาห์แรก มีผู้เข้าร่วมมากกว่า 50 คน และมีการระบุช่องโหว่สองสามโหลในห่วงโซ่อุปทานของ DoD ดังนั้นจึงแสดงให้เห็นว่าวิธีการนี้ใช้ได้กับบริการโจมตีที่หลากหลายที่สุด”
ไรซ์กล่าวว่าโปรแกรม VDP สำหรับผู้รับเหมาฝ่ายกลาโหมเสนอเส้นทางที่ไม่เพียงพบปัญหา แต่ยังให้วิธีที่ปลอดภัยในการรายงานปัญหาเหล่านั้น
VDP, bug bounty และแนวทางอื่นที่คล้ายคลึงกันไม่ได้
จำกัดอยู่แค่ในเครือข่ายหรือระบบขนาดใหญ่เท่านั้น ไรซ์กล่าวว่าสามารถใช้งานได้ทุกอย่างตั้งแต่อินสแตนซ์บนคลาวด์ไปจนถึงการพัฒนา DevSecOps ไปจนถึงเว็บไซต์สาธารณะ
“แทนที่จะเติมเวลาดีๆ ของแฮ็กเกอร์ด้วยรายงานธรรมดาๆ ที่เราคุ้นเคยในรายงานประเภทนี้ พวกเขาจะได้รับค่าตอบแทนหากพวกเขาสามารถแสดงให้เห็นถึงผลกระทบได้จริง นั่นหมายความว่าเราลงเอยด้วยการสรรหากลุ่มคนที่มีความหลากหลายและมีความสามารถมากเพื่อดำเนินการในการนัดหมายประเภทนี้ เราสามารถหาผู้เชี่ยวชาญที่เชี่ยวชาญด้านใดด้านหนึ่งโดยเฉพาะ ซึ่งอาจไม่สามารถเข้าร่วมทำการประเมินแบบเดิมได้” เขากล่าว “คุณสามารถสรรหาบุคลากรที่เก่งที่สุดซึ่งได้รับการขัดเกลามาแล้วในรูปแบบการจ่ายค่าตอบแทนตามผลงานที่สอดคล้องกับโครงสร้างเดิมที่คุณทำอยู่ แต่มอบสิ่งที่แนวทางดั้งเดิมเหล่านั้นพลาดไปเสมอ”
ประโยชน์ของการใช้ผู้เชี่ยวชาญภายนอกนั้นมีมากมาย รวมถึงการค้นหาจุดบอดในเครือข่ายของคุณ และการใช้ประโยชน์จากฐานความรู้ที่กว้างขึ้นซึ่งมาจากการพึ่งพาผู้เชี่ยวชาญเหล่านี้
“หากคุณอยู่ในขั้นตอนที่คุณกำลังคิดว่าฉันจะเสริมโปรแกรมความปลอดภัยทางไซเบอร์ของฉันกับแฮ็กเกอร์และให้รางวัลแก่แฮ็กเกอร์ได้อย่างไร มีบางสิ่งที่คุณควรคำนึงถึงเมื่อคุณดำเนินการ” ไรซ์กล่าว “อย่างแรกเลย แฮ็กเกอร์จะค้นหาสิ่งต่างๆ ไม่มีใครเรียกใช้โปรแกรมเหล่านี้และไม่เรียนรู้สิ่งที่พวกเขาไม่รู้มาก่อน คุณต้องการให้แน่ใจว่าคุณอยู่ในตำแหน่งที่สามารถดำเนินการตามข้อค้นพบเหล่านั้นได้ ซึ่งโดยปกติแล้วจะเป็นโปรแกรมการจัดการช่องโหว่ แต่คุณควรคิดว่าอะไรคือสิ่งที่เราขอให้แฮ็กเกอร์ค้นหา และเราจะทำอย่างไรกับมันเมื่อพวกเขาพบมัน นั่นหมายถึงการสร้างพันธมิตรที่ใกล้ชิดกับการจัดการช่องโหว่และแนวทางปฏิบัติในการตอบสนองต่อเหตุการณ์ก่อนที่คุณจะเริ่มดำเนินการนี้”
ไรซ์กล่าวว่ามีโปรแกรมพื้นฐานสองประเภท หนึ่งคือโปรแกรมจุดและเวลาที่คล้ายกับการทดสอบการเจาะระบบและการประเมินความปลอดภัย
ประเภทที่สองคือสำหรับองค์กรที่เติบโตเต็มที่ซึ่งต้องการความคิดเห็นเพิ่มเติม
“ลักษณะที่ทรงพลังที่สุดของโปรแกรมประเภทนี้คือความสามารถในการพัฒนาให้เป็นโปรแกรมทดสอบความปลอดภัยอย่างต่อเนื่อง นี่คือประเภทของโปรแกรมเงินรางวัลที่คุณเห็น คนอย่างเช่น Google และ Facebook ที่เป็นผู้บุกเบิก Microsoft และ Amazon ก็เป็นผู้สนับสนุนรายใหญ่เช่นกัน ณ จุดนี้ คุณเริ่มเห็นองค์กรแบบดั้งเดิมจำนวนมากขึ้นยอมรับพวกเขาเช่นเดียวกับ Goldman Sachs และ General Motors” เขากล่าว “พวกมันมีไว้เพื่อค้นหาและสำรวจพื้นผิวการโจมตีใหม่ ๆ อย่างรวดเร็ว และให้ข้อเสนอแนะด้านความปลอดภัยอย่างต่อเนื่องในโปรแกรมความปลอดภัยของคุณ”
ข้าวที่เพิ่มเข้ามาผสมผสานกับวงจรป้อนกลับอย่างต่อเนื่องและตอบสนองนั้นจะสร้างเครือข่ายและระบบที่แข็งแกร่งและยืดหยุ่นมากขึ้น
credit : ฝากถอนไม่มีขั้นต่ำ
