国防部(MINDEF)已成功完成其首个漏洞报告奖励计划,该计划奖励道德黑客发现其系统中的漏洞。
在8个面向互联网的主要系统中共发现了35个易受攻击处或漏洞,总奖金支出为14,750美元(19,500新元)。
"黑客非常具有创新性,因此国防部在防卫我们的系统时必须同样具有创新性。这就是我们开展漏洞报告奖励计划的原因,"网络防御长许智贤在2月21日宣布该计划的结果时说道。
"该计划已经达到了我们的预期目标......并且允许国防部快速而有效地发现以前未知的漏洞,并因此加强我们的防御系统,"他补充说。
在为期三周的计划中,有264名白帽黑客受邀寻找国防部系统的安全漏洞,这些系统包括国防部、中央人力基地、国防科学技术局网站以及国民服役门户网站。
这些道德黑客来自世界各地,包括印度、罗马尼亚、俄罗斯、瑞典和美国等国家。还包括来自新加坡当地白帽社区的100名黑客。
该计划于1月15日至2月4日实行,在启动后83分钟后即收到了首个漏洞报告。在长达三周的黑客马拉松结束时,共有34名参与者报告了97个漏洞,其中35个漏洞是有效的。
执行该计划的国际漏洞报告奖励公司HackerOne表示,该计划是亚洲政府机构的首次尝试。HackerOne在一份声明中表示,国防部对漏洞报告做出了迅速反应,平均在五个小时内做出响应。该公司为美国国防部以及科技巨头Google和Twitter运行过类似的计划。
在解释这个过程时,许先生说,在国防部进一步验证之前,每个报告的漏洞都必须符合某些标准。
"(每次发现漏洞时),我们都会立即修复该漏洞,(以)尽快降低风险,"他说。
在所有经过验证的报告的漏洞中,没有发现关键性易受攻击处。有两个严重程度等级高,10个为中等,23个为低等。
最大的2,000美元奖金奖励给了本土白帽黑客达雷尔先生,因为他发现了其中一个严重程度等级高的漏洞。
咨询公司安永会计师事务所的网络安全经理表示,参与该计划帮助他提高了技能。
他的绰号是Shivadagger,他说:"对于这个计划,你应该有一份万无一失的报告......他们想知道你确实可以进入并利用(这个漏洞)。"
达雷尔先生报告了14个漏洞,其中9个被认为是有效的 - 这共为他赢得5,000美元的奖金。
漏洞报告奖励计划是国防部不断努力建立其在网络领域的能力的一部分,其中包括建立网络防御测试和评估中心(CyTEC),服役人员在那里进行模拟网络攻击对抗训练。