Qué hay nuevo: Intel está expandiendo su programa Bug Bounty con Project Circuit Breaker, reuniendo a una comunidad de hackers de élite para cazar errores en firmware, hipervisores, GPU, chipsets y más. Project Circuit Breaker amplía y profundiza el programa abierto Bug Bounty existente de Intel al organizar eventos específicos de caja de tiempo en nuevas plataformas y tecnologías específicas, brindando capacitación y creando oportunidades para una colaboración más práctica con los ingenieros de Intel. El primer evento del Proyecto Circuit Breaker, Camping with Tigers, ya está en marcha con un grupo de 20 investigadores que recibieron sistemas con procesadores Intel® Core™ i7 (anteriormente "Tiger Lake").
"Project Circuit Breaker es posible gracias a nuestra comunidad de investigación de vanguardia. Este programa es parte de nuestro esfuerzo para conocer a los investigadores de seguridad donde están y crear un compromiso más significativo. Invertimos y alojamos programas de recompensas por errores porque atraen nuevas perspectivas sobre cómo desafiar las amenazas de seguridad emergentes, y Project Circuit Breaker es el siguiente paso para colaborar con los investigadores para fortalecer las prácticas de garantía de seguridad de la industria, especialmente cuando se trata de hardware. Esperamos ver cómo evolucionará el programa e introducir nuevas voces al trabajo significativo que hacemos".
Cómo funciona: A través de Project Circuit Breaker, Intel está creando una comunidad dedicada a ofrecer capacitación a los investigadores de seguridad, nuevos y emocionantes desafíos de piratería y oportunidades para explorar a niveles sin precedentes con productos nuevos y preliminares, así como nuevas colaboraciones con ingenieros de hardware y software de Intel. Camping with Tigers se lanzó en diciembre y terminará en mayo, con multiplicadores de recompensas que se ofrecen en tres hitos para vulnerabilidades elegibles.
"Los programas de recompensas por errores son una herramienta poderosa para mejorar continuamente la seguridad de nuestros productos", dijo Tom Garrison, vicepresidente y gerente general de Estrategia e Iniciativas de Seguridad del Cliente en Intel. "Acampar con Tigers, nuestro primer evento bajo project circuit Breaker, reúne a investigadores de seguridad de clase mundial y nuestros propios ingenieros de productos para profundizar las pruebas y mejorar la resiliencia en nuestros procesadores Intel Core™ de® 11ª generación. A medida que nuestro objetivo es desarrollar las características de seguridad más completas, también nos damos cuenta del increíble valor de las colaboraciones más profundas con la comunidad para identificar posibles vulnerabilidades y mitigarlas para la mejora continua de nuestros productos".
Project Circuit Breaker complementará el programa abierto Bug Bounty existente de Intel, que recompensa a los investigadores por los hallazgos de vulnerabilidad originales en cualquier producto y tecnología de marca elegible. Este programa ayuda a Intel a identificar, mitigar y divulgar vulnerabilidades; en 2021, 97 de las 113 vulnerabilidades encontradas externamente se informaron a través del programa Bug Bounty de Intel. Como lo demuestra el Security-First Pledge de Intel, la compañía invierte ampliamente en la gestión de vulnerabilidades y la investigación de seguridad ofensiva para la mejora continua de sus productos.
Por qué es importante: Con Project Circuit Breaker, Intel está creando una comunidad de seguridad más diversa y unificada que está mejor preparada para abordar las mayores preocupaciones de seguridad de la industria. Los nuevos desafíos, la capacitación y el acceso sin precedentes a los primeros productos e ingenieros de Intel enfocarán los talentos de la comunidad hacia áreas de alto impacto.
Desde que hizo público el programa Bug Bounty en 2018, Intel ha estado avanzando en sus inversiones en seguridad al aumentar su equipo de expertos en seguridad y aumentar el énfasis de la compañía en la colaboración de la industria. Los expertos en seguridad de Intel contribuyen activamente tanto a la Bug Bounty Community of Interest, un foro para proveedores, administradores de bug bounty e investigadores de seguridad para intercambiar experiencia y mejores prácticas, como a FIRST (Forum of Incident Response and Security Teams). Al mejorar el descubrimiento y la administración de vulnerabilidades internamente, Intel adoptó el ciclo de vida de desarrollo seguro (SDL) tanto para hardware como para software. SDL ha desempeñado un papel importante a la hora de ayudar a crear una cultura con una mentalidad de seguridad que prioriza la seguridad, en la que los equipos de ingeniería impulsan un mayor rigor y tienen más responsabilidad por la seguridad a lo largo del ciclo de vida del producto. La actualización de la plataforma de Intel también se ha refinado para ofrecer actualizaciones de seguridad predecibles y empaquetadas a la comunidad.
Además del programa Bug Bounty, Intel Labs continúa cultivando la investigación de seguridad de vanguardia con la comunidad académica. Parte de esta investigación ha sido reconocida por el programa Intel Hardware Security Academic Award , que premia a los mejores innovadores por investigaciones novedosas con un impacto significativo en la industria.
Estos esfuerzos están impulsados por el compromiso de Intel de trabajar al aire libre, ser transparente y desmitificar la experiencia de los investigadores de seguridad. A medida que surgen nuevas amenazas y se encuentran vulnerabilidades, Intel sigue comprometida con el crecimiento, la adaptación y el avance implacable de la garantía de seguridad a través de programas de recompensas por errores, divulgaciones coordinadas de vulnerabilidades y una colaboración impactante de los investigadores.
Más contexto:Proyecto de disyuntor | Anuncio del proyecto de disyuntor | Programa de recompensas por errores de Intel | Seguridad del producto en Intel | Premio Académico de Seguridad de Hardware Intel