Армии США нужна своя программа по поиску брешей

Как сообщает издание Cyber Defense Review, представители вооруженных сил США считают необходимым разработку собственной системы по идентификации и устранению уязвимостей в ПО, а также выплате вознаграждений обнаружившим их исследователям. В настоящее время процедура идентификации и устранения брешей в военном ПО значительно осложнена, поскольку в IT-инфраструктуре армии США отсутствуют ряд ключевых систем.

Армия США не использует централизованную систему управления обновлениями, а также запрещает проводить пен-тестирование в связи с повышенной секретностью. Как гражданские, так и военные исследователи могут столкнуться с серьезными затруднениями при поиске брешей.

Обнаруживший уязвимости персонал сталкивается с проблемами даже на самом первом этапе процедуры ответственного разглашения информации о бреши. Информация о разработчиках уязвимого продукта не всегда доступна, и сам производитель в некоторых случаях может неверно истолковать полученные от исследователей данные, расценив их как угрозу контракту с вооруженными силами США. В большинстве случаев уязвимости в ПО, используемом армией США, остаются неразглашенными.

Исследователи могут столкнуться с проблемами с законом. Их могут лишить допуска к системам безопасности или даже заставить предстать перед трибуналом в соответствии с уставом армии США. В большинстве случаев именно так и происходит.

Эксперты призывают создать специальную систему по обнаружению и исправлению уязвимостей, предназначенную специально для военных. Специалисты уже разработали концепт программы Army Vulnerability Response Program (AVRP), спроектированной специально с учетом нужд представителей вооруженных сил. В рамках AVRP исследователи смогут сообщать об обнаруженных ими уязвимостях, а военные – вознаграждать специалистов за их работу.

Изначально проект будет закрытым, и принять в нем участие сможет лишь персонал Министерства обороны США. Тем не менее, AVRP предусматривает привлечение к процессу поиска уязвимостей гражданских.