美国战争部加强网站保护

现状

站在美国联邦政府的角度设想一下，如何才能在不危及国家关键系统和数据的情况下发现安全弱点和漏洞？答案就是追随领先科技品牌的脚步，他们如今选择了 Akamai 服务，在确保正常运行和安全性的同时，通过众筹的方式发现和披露漏洞。这就是美国国防数字服务处（DDS，美国战争部的白宫美国数字服务处分支部门）提出的思路。

DDS 由美国国防部长 Ash Carter 创立，旨在改变美国战争部构建和应用技术的方式，DDS 负责利用私营部门人才和最佳实践来改善联邦政府至关重要的服务。2016 年初，DDS 在认识到所谓的“隐匿带来安全”不切实际也不具备可行性之后，说服美国战争部推出了首个漏洞赏金计划 - 称为“黑进五角大楼”(Hack the Pentagon)。通过利用私营部门特有的创新和开创思维方式，美国战争部找到了一种经济高效的方法来支持其内部网络安全专家并更好地保护其系统和网络。

挑战

漏洞赏金计划在私营部门领域并不罕见，但联邦政府过去从未采纳过这种方案。这种方案的概念其实非常简单：组织/企业鼓励外部研究人员（也就是白帽黑客）测试其网络和应用程序的安全性，并报告发现的情况，帮助组织/企业解决漏洞。在“黑进五角大楼”计划中，美国联邦政府聘请了第三方机构 HackerOne 来组织和管理尝试发现漏洞的“黑客”们。

为了确保该计划圆满成功，DDS 与美国战争部媒体活动 (DMA) 机构紧密合作，后者为 700 多个面向公众的军事和美国战争部网站提供美国战争部企业级云服务，其中包括基于 Web 的内容管理系统。DDS 和 DMA 都了解这其中所涉及的风险，也认识到邀请参与此计划的黑客越多，美国战争部能发现的漏洞就越多。他们也知道，为了向经验丰富的研究人员和新手级别的黑客提供有意义的挑战，该计划需要包括作为重要攻击目标的网站以及美国战争部外围的一些网站。最后，除了有效地启动和管理整个计划之外，DDS 和 DMA 还需要管理外联事宜，与媒体就此项计划的各个方面开展沟通。

目标

为了支持自身的目标，DDS 需要满足两个关键要求：

• 抵御基于互联网的攻击。与美国战争部相关的网站都属于高曝光度目标，该计划将引起媒体更加广泛的关注，这也会增加网站遭受攻击的可能性。
• 确保可用性。为了从黑客松中获得最大的价值，美国战争部需要确保其为漏洞测试提供的网站保持在线状态。

利用经过实践检验的保护措施

从一开始，DMA 就建议将 defense.gov 纳入到黑客松中，因为这个网站已经受到了 Akamai 的保护。DDS 还采取了其他安全措施，以阻止这次活动期间的恶意行动。

与此同时，DMA 聘请了 Akamai 专业服务部门，为该计划做好充分准备。由于 Akamai 自身已经拥有了一个漏洞赏金计划，因此 Akamai 的专家提供了宝贵的见解和建议，供该计划的主办方借鉴考虑。此外，DMA 还实施了 Akamai 的 Client Reputation 服务，以提供额外一层安全保障。Client Reputation 利用高级算法，根据在整个 Akamai 网络中观察到的先前行为计算风险评分，并分析攻击、客户端和应用程序的行为。根据这些信息，Akamai 为每个客户端 IP 地址分配风险评分，并允许 DMA 选择希望 Akamai 的安全服务采取怎样的行动。借助 Client Reputation，DMA 获得了可作为实践依据的丰富情报，了解了从计划启动的第一天开始就尝试攻击 defense.gov 的大约 54,000 个唯一客户端 IP 地址。

经受流量激增的考验

最初，该计划仅纳入了三个网站，其中只有 http://www.defense.gov/ 受 Akamai 保护。但由于黑客社区对该计划的兴趣高涨（注册参加的黑客有 1,400 多名），DDS 需要扩大规模。DMA 建议再增加两个站点以体现多样性，同时让技能不那么精湛的黑客可以在相对陈旧且配置不佳的 Web 域中发现漏洞。

由于 DMA 之前曾经聘请 Akamai 提供保护方面的支持，在总共五个站点中，有两个（defense.gov 和 dodlive.mil）通过 Akamai 不间断的 Web Application Firewall (WAF)、Site Shield 和 Client Reputation 服务实现了出色的安全强化。当第三个站点在不到一天的时间里就因流量激增而不堪重负时，DMA 通过 Akamai 的 WAF 提供了覆盖全面的保护。WAF 解决方案旨在全天候抵御应用层和容量耗尽型攻击，包括分布式拒绝服务 (DDoS)、SQL 注入和跨站点脚本攻击。在该解决方案部署到位后，站点顺利承受住了大波攻击和测试流量的冲击，并且再次开始为其最终用户提供正常服务。

对美国战争部网络安全进行测试

“黑进五角大楼”计划在 2016 年 4 月 18 日至 5 月 12 日期间开展，在此期间，252 名经过审查的黑客每个人至少提交了一份漏洞报告，总计提交了 1,189 份报告。随着黑客们提交报告，DDS 在 HackerOne 的支持下竭力实时进行补救。在计划结束一个多月后，DDS 已经修复了报告的所有漏洞。

活动中共有 138 份报告符合获得赏金的标准，1,410 名注册黑客中有 58 名黑客获得了 100 美元至 15,000 美元不等的赏金。合同总价值（包括已支付的赏金在内）约为 15 万美元。美国战争部长估计，如果美国战争部循规蹈矩地聘用外部公司进行安全审计和漏洞评估，那么要发现同样的漏洞，花费将超过 100 万美元。

抵御所有潜在入侵

在实施赏金计划的整个过程中，Akamai 不间断地为参与计划的五个站点中的三个提供服务和保护，处理了 2.13 亿次命中和 10 TB 的数据，并且吸收了达到每秒约 2,000 次命中的流量峰值。毫不意外地，这次漏洞赏金计划也吸引了恶意攻击者的关注。比如说，Akamai 帮助 defense.gov 抵御了 55 次高度复杂的攻击，拒绝了超过 1,920 万个恶意请求，其中包括两次较为显著的 DNS 域泛洪攻击，以及通过分散于 83 个国家/地区的 250 个 IP 地址发起的一次 DDoS 攻击。利用 Akamai Client Reputation，DMA 还预测了与超过 100 万个请求相关的恶意意图。这让 DMA 得以在远离 DMA Web 服务器基础架构的互联网边缘位置自动拒绝所有已知严重威胁。

通过在挑战之前、期间和之后对网站活动进行基准衡量，DMA 在受 Akamai 保护的网站上看到了更高的扫描和研究活动量。

计划的延伸

为纪念这次活动，HackerOne 为成功找到漏洞的黑客发放了一枚“黑进五角大楼”挑战纪念币。美国国防部长 Carter 对这次计划的圆满成功倍感欣喜，并且发布了详细计划，将漏洞赏金计划延伸到美国战争部的其他部门。

“我们希望通过这种类型的安全计划考察大量美国战争部资产的安全性，从而简化发现漏洞的过程、缩短发现漏洞的时间，同时让我们的内部团队可以专注于实施补救方案。随着我们启动更多漏洞赏金计划，我们需要从漏洞的角度确保参与计划的站点足够成熟，确保挑战活动确有所值。理想情况下，我们将借助像 Akamai 这样的商业解决方案来实现这一愿景。”美国国防数字服务处的数字安全主管 Lisa Wiswell 总结说。

美国战争部媒体活动 (DMA) 机构是面向世界各地的美国军队提供新闻和资讯的直接传播渠道。该机构通过各种媒体平台发布新闻、信息和娱乐内容，包括广播、电视、互联网、印刷媒体和新兴媒体技术。DMA 向在美国和海外的数百万在役军人、卫队和预备役人员、文职员工、承包商、退休军人及其家属提供资讯。