ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับเสียงสัมภาษณ์ประจำวันของ Federal Drive ใน Apple Podcasts หรือ PodcastOneกระทรวงความมั่นคงแห่งมาตุภูมิกำลังวางแผนที่จะมอบสัญญาสูงสุด 4 ฉบับให้เร็วที่สุดในเดือนหน้าสำหรับนักวิจัยด้านความปลอดภัยที่ได้รับการตรวจสอบเพื่อค้นหาข้อบกพร่องของซอฟต์แวร์ในระบบ DHS รวมถึงเหตุการณ์การแฮ็กข้อมูลสด
DHS เผยแพร่คำขอ “Hack DHS: Crowdsourced Vulnerability Assessment Services”
สำหรับข้อเสนอในวันที่ 3 ส.ค. บริษัทต่างๆ มีเวลาจนถึงวันที่ 15 ส.ค. ในการส่งข้อเสนอ “เฟสแรก” เพื่อให้ DHS สามารถดำเนินการ บริษัทที่ผ่านเฟสแรกจะมีเวลาถึงวันที่ 30 ส.ค. ในการยื่นข้อเสนอเฟสสอง ซึ่งรวมถึงแนวทางทางเทคนิค ประสิทธิภาพที่ผ่านมา และเอกสารราคา
DHS วางแผนที่จะให้รางวัลอย่างน้อยสามฉบับ แต่อาจเป็นไปได้สี่สัญญาสำหรับการส่งมอบแบบไม่มีกำหนด ปริมาณไม่จำกัด ตามเอกสาร RFP หน่วยงานสามารถจำกัดรางวัลได้ถึงสามรางวัลสำหรับธุรกิจขนาดเล็ก
ข้อมูลเชิงลึกโดย Eightfold: ค้นพบว่าข้อมูล เทคโนโลยี และกลยุทธ์การสรรหาใหม่ช่วยให้ USDA, EPA, GSA, NASA และ NIH ประสบความสำเร็จในการแข่งขันหาผู้มีความสามารถได้อย่างไร โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของเทคโนโลยีขั้นสูง วิทยาศาสตร์ และตำแหน่งอื่น ๆ ที่ยากต่อการบรรจุ
สัญญาสามารถอยู่ได้นานถึงห้าปี มูลค่ารวมสูงสุดที่ 43 ล้านดอลลาร์ตามเอกสาร
DHS กำลังวางแผนที่จะให้สัญญาอย่างเร็วที่สุดกลางเดือนกันยายน
ปัจจุบันบริษัทซอฟต์แวร์รายใหญ่ใช้การวิจัยด้านความปลอดภัยแบบฝูงชนเป็นประจำเพื่อค้นหาจุดบกพร่องในโค้ดของตน DHS กำลังจำลองความพยายามของตนหลังจากโครงการ “แฮ็กเดอะเพนตากอน” ของกระทรวงกลาโหม ซึ่งถือว่าเป็นโครงการล่าแมลงโครงการแรกในรัฐบาลกลาง
John Pescatore ผู้อำนวยการฝ่ายแนวโน้มความปลอดภัยที่เกิดขึ้นใหม่ของ SANS Institute กล่าวว่าโปรแกรมตรวจจับข้อผิดพลาดได้รับการพิสูจน์แล้วว่าประสบความสำเร็จ เนื่องจากพวกเขาใช้ผู้เชี่ยวชาญด้านซอฟต์แวร์ในการระบุช่องโหว่ด้วยต้นทุนที่ค่อนข้างต่ำเมื่อเทียบกับบริการรักษาความปลอดภัยทางไซเบอร์อื่นๆ
“พวกเขาเป็นซอฟต์แวร์จริงๆ ที่ทำสิ่งนี้เพื่อความสนุกหรือหารายได้เสริม หรือทำตลอด 24 ชั่วโมงเพราะต้องการค้นหา [จุดบกพร่อง]” Pescatore กล่าว “ดังนั้น เมื่อพวกเขาอธิบายถึงช่องโหว่ พวกเขาจึงอธิบายในแง่ที่นักพัฒนาคนอื่นๆ เข้าใจ เทียบกับสิ่งที่คนทั่วไปเข้าใจในเรื่องความปลอดภัย ความสำเร็จคือจำนวนข้อบกพร่องของซอฟต์แวร์ที่พบต่อหนึ่งดอลลาร์ที่ใช้ไป เมื่อเทียบกับการมีส่วนร่วมในการทดสอบ [การเจาะระบบ] ทั่วไปที่คุณจะทำกับผู้รับเหมารายเดียว”
โปรแกรม DHS จะค่อย ๆ
รางวัลที่กำลังจะมีขึ้นเมื่อ DHS พยายามที่จะเพิ่มความพยายามในการล่าข้อบกพร่อง “Hack DHS” แผนกกำลังขยายบนแพลตฟอร์มที่เริ่มพัฒนาโดย Cybersecurity and Infrastructure Security Agency ซึ่งเมื่อปีที่แล้วได้เลือกบริษัท Bugcrowd และ EnDyna เพื่อเปิดตัวแพลตฟอร์มนโยบายการเปิดเผยช่องโหว่ทั่วทั้งภาครัฐ
เมื่อเดือนธันวาคมที่ผ่านมา DHS ได้มอบหมายให้นักล่าค่าหัวบั๊กเพื่อค้นหาอินสแตนซ์ของบั๊กคอมพิวเตอร์ Log4j แบบโอเพ่นซอร์สในระบบข้อมูลที่เปิดเผยต่อสาธารณะ นักวิจัยพบสินทรัพย์ 17 รายการที่ไม่ระบุตัวตนก่อนหน้านี้ ซึ่งมีความเสี่ยงต่อช่องโหว่ที่สำคัญ
ทั้งหมดที่กล่าวมา ในช่วงแรกของโครงการ “แฮ็ก DHS” นักวิจัยด้านความปลอดภัย 450 คนระบุช่องโหว่ 122 รายการ รวมถึงข้อบกพร่องร้ายแรง 27 รายการ DHS มอบเงินรางวัลรวม 125,600 ดอลลาร์แก่นักวิจัยเพื่อค้นหาช่องโหว่ ตามการอัปเดตในเดือนเมษายน
credit: pescalluneslanparty.com sfery.org planesyplanetas.com vosoriginesyourroots.com citadelindustry.com tomklaasen.net tglsys.net nezavisniprostor.net greensys2013.org northpto.org
