黑客与政府追求者的不可思议的浪​​漫

黑客与政府追求者的不可思议的浪​​漫

时间戳:14年2023月10日凌晨00:XNUMX
黑客与政府追求者的不太可能的浪漫柏拉图区块链数据智能。垂直搜索。人工智能。

评论

每年春天,一年一度的 入侵国会大厦 该活动汇集了来自不同领域的科学家、黑客和政策制定者,向国会工作人员、学者和媒体介绍我们国家面临的最严峻的网络安全挑战。

通过提高人们对政府和企业与黑客合作解决复杂安全问题的价值的认识,Hack the Capitol 的规模和地位稳步增长。在担任委员会成员期间 黑客政策委员会,我对人工智能、安全问题和政策努力的日益融合感到震惊,特别是自 ChatGPT 启动 去年年底。随着这些相互关联的趋势不断融合,我们看到越来越多的大型保守企业和政府机构将其利益与白帽黑客社区保持一致。

安全行业显然发现自己处于与能源、医疗保健、电信、政府/军事、汽车和航空等多个重要领域的对手的拉锯战中。突然之间,公众似乎开始关心这些问题,因为人工智能 (AI) 并不是什么未来科幻概念——甚至学生也开始使用人工智能聊天机器人来撰写论文。

公众对新政策护栏的支持不断增长,加强了政府和行业对漏洞赏金和漏洞披露计划 (VDP) 的参与,以利用众包威胁研究人员的集体力量。这一联盟的推动是因为我们认识到我们的敌对力量在获得技能和资源方面基本上是无限的。与此同时,白帽社区正在说:“嘿,给我加上标签。”这种不太可能的浪漫之所以奏效,是因为我们已经非常清楚,要智胜敌人大军,我们需要一支盟友大军。

解决关键基础设施面临的惊人威胁

人工智能的兴起可能造成重大损害的一个领域是对关键基础设施的攻击,包括能源网、供水、计算机网络、交通系统和通信中心。

保守的垂直行业需要更长的时间才能信任黑客,而不是发生重大事件。这就是他们的历史模式。然而,监管压力正在帮助鼓励更多的众包安全。公开访问的初始访问向量是最常见的起点,通常通过 VDP 或私人众包计划。不幸的是,老化的关键基础设施组织有一个 很多 公共可访问的初始访问向量,但这个问题并不是关键基础设施所独有的。对于追求数字化转型的所有类型的组织来说,访问向量的扩展变得更加复杂。

关键基础设施对黑客反馈的采用仍然滞后,但这是可以预料的。然而,那里发生的活动比您想象的要多得多,监管使这成为一个“何时以及如何”的问题,而不是一个“如果”的问题。尽管取得了相当大的进展,但我们还有很长的路要走,因为网络安全本质上是一个人的问题,而技术只是让它发展得更快。我们对 Bugcrowd 的想法是将全球白帽子供应与未满足的需求联系起来,并为善意的黑客构建一个充满活力的环境。黑客抓住了这个机会,将他们的技能用于积极的改变,并在此过程中为自己建立一条可行的职业道路。

对于来自大政府和大企业的参与者来说,公共漏洞赏金的真正价值是双重的。一是对代码被外部人员黑客攻击的信心,二是确保整个组织内的证据证明恶魔是真实的。

当前的这种融合是如何产生的?首先是安全担忧,然后是政策反应,现在人工智能已经强加在零售政治人士的良心上,他们想知道人工智能是否对人类的生存安全构成威胁。这一变化将所有三种趋势瓦解在一起,产生了更广泛的公众意识,从而提高了政策制定者在良性循环中规范这些进步的热情。

政府机构加紧应对新威胁

攻击国务院、攻击国土安全部以及其他承认并鼓励黑客与政府之间合作的国会法案至少可以追溯到 2005 年。近年来,众议院和参议院议员纷纷提议 错误赏金计划 在联邦机构以及联邦政府其他部门内部进行。这项立法最积极的推动始于 2017 年,并导致国防部通过了实施这些计划的法律,以及联邦通信委员会、商务部等机构颁布的政策。令人鼓舞的是,众议院继续有兴趣招募黑客作为互联网的免疫系统。最近,众议院议员试图通过引入 联邦网络安全漏洞减少法案.

现代联邦基础设施的现实情况是,其中很少一部分实际上是由政府管理的。联邦承包商是支持美国政府整个运作的 IT 基础设施供应链不可或缺的一部分。这意味着很大一部分潜在的目标攻击面属于联邦承包商的责任和监督范围,而该法案反映了美国政府网络弹性最重大的变化可能来自该组织的可能性。除了透明度和问责制的好处外,黑客社区还被招募来提供以前未充分利用的扩展能力来应对挑战。

Hackers On the Hill 和 DEF CON 政策部门在发起和规范此类对话方面值得高度赞扬,值得注意的是,像这样的法案最终是黑客社区之间数十年来持续教育和合作的结果。和国会山。

时间戳记:

更多来自 暗读