DoD testa programa de recompensas de bugs

DoD testa programa de recompensas de bugs. O Departamento de Defesa está pilotando um programa pago de recompensas por bugs que termina hoje, julho de 2022

O Chief Digital and Artificial Intelligence Office Directorate for Digital Services e o Department of Defense Cyber ​​Crime Center (DC3) esta semana estão testando recompensas monetárias para hackers éticos que fornecem informações críticas e de alta gravidade de vulnerabilidade ao Programa de Divulgação de Vulnerabilidades do DoD.

De 4 a 11 de julho, apenas descobertas de gravidade alta e crítica são elegíveis para uma recompensa em qualquer sistema de informação acessível ao público, propriedade da web ou dados de propriedade, operados ou controlados pelo DoD. Não há informações da continuidade do programa após 11 de julho.

O pool de recompensas para este programa foi definido em US$ 110.000. Pagamentos monetários individuais serão concedidos em US$ 1.000 para relatórios de gravidade crítica, US$ 500 para relatórios de alta gravidade e categorias de especialidade adicionais receberão US$ 3.000

“Há uma tonelada de tecnologia já implantada, nossa taxa de implantação de novas tecnologias só aumenta e acelera, e os adversários que enfrentamos continuam a ficar mais habilidosos, mais agressivos e mais diversificados”, disse Ellis. “Certamente existem soluções de tecnologia de segurança que continuam a ser inventadas e usadas, mas no final do dia a cibersegurança é um problema fundamentalmente humano – portanto, os humanos também – e provavelmente cada vez mais – terão um papel importante a desempenhar na defesa da Internet. ”

Embora os programas de recompensas por bugs não sejam perfeitos, eles ajudam, dando aos pesquisadores algum incentivo para caçar falhas, sabendo que podem ser recompensados ​​por seus esforços com mais do que apenas o direito de se gabar, disse Mike Parkin, engenheiro técnico sênior da Vulcan Cyber.

“Com a enorme complexidade do código moderno e as inúmeras interações entre aplicativos, é vital ter olhos mais responsáveis ​​procurando por falhas”, disse Parkin. “Sabemos que os agentes de ameaças estão fazendo isso para encontrar explorações que possam aproveitar. Pesquisadores honestos também devem ter algum tipo de incentivo. É preciso um certo nível de maturidade do aplicativo para poder oferecer recompensas por bugs, e nem todas as empresas chegaram a esse ponto. Aqueles que tendem a ser grandes, com uma grande base de instalação e um modelo de desenvolvimento maduro que pode aproveitar os recursos independentes externos que as recompensas de bugs incentivam.”

Fonte SC Magazine

Veja também:

• Como funcionam as avaliações do MITRE Engenuity ATT&CK
• Estudo mostra que soluções em SASE superam expectativas
• PMEs brasileiras estão na mira do ransomware aponta pesquisa da Arcserve
• FBI alerta sobre candidatos fake a vagas para trabalho remoto
• Google lança correção para novo zero-day crítico
• Zabbix 6.2 chega com melhorias de configuração e desempenho
• CISA Alert  (AA22-181A) #StopRansomware: MedusaLocker
• Relatório mostra como setor de energia é um dos alvos preferidos de ataques cibernéticos
• Fortinet eleva seu compromisso com o MITRE Engenuity Center para a Defesa Informada sobre Ameaças
• BlackParty: nova campanha de malware tem o Brasil como alvo principal
• Hackers apoiados pela Rússia atacam sites lituanos
• Defendendo a Ucrânia: primeiras lições da guerra cibernética