Il Dipartimento della guerra migliora la protezione dei siti web

La situazione

Come fa il governo federale degli Stati Uniti a scoprire i punti deboli e le vulnerabilità della sicurezza senza mettere a repentaglio i sistemi e i dati più critici del paese? La risposta è seguire le orme dei principali brand tecnologici che utilizzano il crowdsourcing per la scoperta e la divulgazione delle vulnerabilità garantendo i tempi di attività e i livelli di sicurezza necessari tramite i servizi di Akamai. Questa è stata l'idea proposta dal Servizio di difesa digitale (DDS), il braccio del Dipartimento della guerra (DoW) del Servizio digitale degli Stati Uniti della Casa Bianca.

Creato dal Segretario alla Difesa, Ash Carter, per trasformare le modalità di creazione e applicazione della tecnologia del DoW, il DDS ha il compito di sfruttare i talenti del settore privato e le best practice per migliorare i servizi più critici del governo federale. Riconoscendo che la sicurezza non è realistica o praticabile nell'oscurità, all'inizio del 2016 il DDS ha convinto il DoW a lanciare il suo primo programma Bug Bounty, chiamato "Hack the Pentagon". Sfruttando le innovazioni e le nuove tendenze caratteristiche del settore privato, il DoW ha trovato un modo conveniente per supportare i propri esperti interni di cybersecurity e proteggere meglio i propri sistemi e le proprie reti.

La sfida

Sebbene i programmi Bug Bounty siano comuni nel settore privato, il Governo federale non aveva mai adottato prima questo approccio. Detto questo, il concetto è relativamente semplice: un'organizzazione incoraggia ricercatori esterni (o hacker white-hat) ad effettuare test sulla sicurezza delle proprie reti e applicazioni e segnalare i relativi risultati per consentire all'organizzazione di affrontare le sue vulnerabilità. In questo caso, il Governo federale degli Stati Uniti ha assunto una terza parte, HackerOne, per organizzare e gestire gli "hacker" che avrebbero cercato di identificare le vulnerabilità.

Per garantire il successo di questo programma, il DDS ha lavorato a stretto contatto con il DMA (Defense Media Activity), che fornisce al DoW servizi cloud a livello aziendale costituiti da un sistema di gestione dei contenuti basato sul web per oltre 700 siti web militari e del DoW rivolti al pubblico. Sia il DDS che il DMA hanno compreso i rischi implicati e si sono resi conto che più hacker partecipavano, più bug avrebbe trovato il DoW. Sapevano anche che, per fornire a ricercatori esperti e hacker alle prime armi una sfida significativa, il programma doveva includere siti che rappresentavano obiettivi importanti e alcuni al di fuori del perimetro del DoW. Infine, oltre a lanciare e gestire efficacemente l'intero programma, il DDS e il DMA avevano anche la necessità di gestire tutte le comunicazioni esterne con la stampa riguardanti ogni aspetto del programma.

Obiettivi

Il DDS doveva soddisfare due requisiti chiave per conseguire i propri obiettivi:

• Contrastare gli attacchi basati su Internet. I siti relativi al DoW sono obiettivi ad alta visibilità e il programma attirerebbe ancora più attenzione mediatica su di essi, aumentando la probabilità di attacchi.
• Garantire la disponibilità. Per ottenere il massimo valore possibile dall'Hackathon, il DoW doveva garantire che i siti offerti per i test di vulnerabilità rimanessero online.

Utilizzo di una protezione di comprovata validità

Fin dall'inizio, il DMA ha raccomandato che defence.gov fosse incluso nell'Hackathon poiché era già protetto da Akamai. Il DDS ha anche implementato misure di sicurezza per scoraggiare attività illecite durante l'evento.

Allo stesso tempo, il DMA ha incaricato il team Professional Services di Akamai di prepararsi per il programma. Poiché Akamai dispone già di un programma Bug Bounty, gli esperti di Akamai hanno fornito preziose informazioni e suggerimenti da tenere in considerazione durante l'intero programma. Inoltre, il DMA ha implementato il servizio Client Reputation di Akamai come ulteriore livello di sicurezza. Client Reputation sfrutta algoritmi avanzati per calcolare un punteggio di rischio basato sul comportamento precedente osservato nell'intera rete Akamai e profilare il comportamento di attacchi, client e applicazioni. In base a queste informazioni, Akamai assegna punteggi di rischio a ciascun indirizzo IP client e consente al DMA di scegliere quali azioni desidera far eseguire ai servizi di sicurezza di Akamai. L'utilizzo di Client Reputation ha fornito al DMA informazioni utili su circa 54.000 indirizzi IP client univoci che cercavano di prendere di mira defense.gov sin dal primo giorno del programma.

Gestione dei picchi di traffico

Il programma è stato lanciato solo con tre siti e solo con il sito http://www.defense.gov/ protetto da Akamai fin dall'inizio. Tuttavia, a causa dell'enorme interesse mostrato da parte della community degli hacker (oltre 1.400 hacker si sono registrati), il DDS aveva bisogno di ampliare l'ambito. Il DMA ha suggerito di aggiungere altri due siti per mostrare la diversità, consentendo, al contempo, agli hacker meno esperti di individuare eventuali vulnerabilità su domini web obsoleti e mal configurati.

Due dei cinque siti totali (defence.gov e dodlive.mil) erano adeguatamente rafforzati poiché il DMA aveva precedentemente incaricato Akamai di incrementare la protezione tramite le soluzioni always-on WAF (Web Application Firewall), Site Shield e Client Reputation di Akamai. Quando un terzo sito ha ceduto all'ondata di traffico in meno di un giorno, il DMA ha offerto una protezione completa tramite la soluzione WAF di Akamai. La soluzione WAF è progettata per negare attacchi volumetrici e a livello di applicazione 24 ore su 24, 7 giorni su 7, inclusi DDoS (Distributed Denial-of-Service), SQL injection e Cross-Site Scripting. Una volta installato, il sito ha resistito all'assalto degli attacchi ed è riuscito a gestire il traffico per diventare nuovamente disponibile per gli utenti finali.

Il test della cybersecurity del DoW

Il programma Hack the Pentagon si è svolto dal 18 aprile al 12 maggio 2016, durante il quale 252 hacker controllati hanno inviato almeno un rapporto di vulnerabilità, per un totale di 1.189 segnalazioni. Quando le segnalazioni degli hacker sono state inviate, il DDS ha lavorato per porvi rimedio in tempo reale con il supporto di HackerOne. Poco più di un mese dopo il termine del programma pilota, il DDS aveva mitigato ogni vulnerabilità segnalata.

Centotrentotto segnalazioni si sono qualificate per le ricompense e 58 dei 1.410 hacker registrati hanno ricevuto pagamenti compresi tra 100 e 15.000 dollari. Il valore totale del contratto, comprese le ricompense pagate, era di circa 150.000 dollari. Secondo la stima del Segretario della Difesa, il DoW avrebbe speso più di 1 milione di dollari per scoprire le stesse vulnerabilità se avesse seguito il tradizionale processo di assunzione di una società esterna per effettuare un controllo della sicurezza e una valutazione delle vulnerabilità.

Contrasto di tutte le potenziali violazioni

Akamai ha fornito e protetto tre dei cinque siti partecipanti senza interruzioni durante tutto il programma, garantendo 213 milioni di accessi e 10 terabyte di dati e assorbendo picchi di traffico di circa 2.000 accessi al secondo. Non sorprende che il programma Bug Bounty abbia attirato l'attenzione dei criminali. Ad esempio, Akamai ha protetto il sito defence.gov da 55 attacchi sofisticati respingendo oltre 19,2 milioni di richieste dannose, inclusi due notevoli attacchi flood di domini DNS e un attacco DDoS originato da 250 indirizzi IP in 83 paesi. Utilizzando Akamai Client Reputation, il DMA ha anche previsto intenzioni dannose associate ad oltre 1 milione di richieste. Di conseguenza, il DMA è stato in grado di negare automaticamente tutte le minacce elevate note sull'edge di Internet e lontano dall'infrastruttura del server web del DMA.

Basandosi sull'attività del sito web prima, durante e dopo la sfida, il DMA ha potuto osservare un'attività di analisi e ricerca più elevata sui siti protetti da Akamai.

Ampliamento del programma

Per commemorare l'evento, HackerOne ha assegnato una medaglia di Hack the Pentagon agli hacker di successo. Soddisfatto del successo del programma, il segretario Carter ha già pubblicato piani dettagliati per espandere il programma Bug Bounty ad altre parti del DoW.

"Vogliamo investire molte risorse del DoW in questo tipo di programma di sicurezza per semplificare e ridurre i tempi di individuazione delle vulnerabilità, consentendo, al contempo, ai nostri team interni di concentrarsi sulla risoluzione dei problemi. Con il lancio di altri programmi Bug Bounty, dovremo assicurarci che i siti partecipanti siano sufficientemente preparati dal punto di vista delle vulnerabilità per rendere la sfida proficua. Idealmente, disporremo di una soluzione commerciale come quella di Akamai per contribuire a trasformare questa visione in realtà", conclude Lisa Wiswell, responsabile della sicurezza digitale per il Servizio digitale di difesa.

Il DMA (Defense Media Activity) funge da linea di comunicazione diretta per fornire notizie e informazioni alle forze statunitensi in tutto il mondo. L'agenzia offre notizie, informazioni e intrattenimento su una varietà di piattaforme multimediali, tra cui radio, televisione, Internet, carta stampata e tecnologie multimediali emergenti. Il DMA informa milioni di membri del Servizio di guardia e di riserva attivi, dipendenti civili, appaltatori, pensionati militari e le rispettive famiglie negli Stati Uniti e all'estero.