US‑Verteidigungsministerium verbessert den Schutz von Websites

Die Situation

Wie kann die US‑Bundesregierung Sicherheitslücken und Schwachstellen aufdecken, ohne die wichtigsten Systeme und Daten des Landes zu gefährden? Die Antwort lautet: Sie folgt den Spuren führender Technologiemarken, die Schwachstellen gemeinsam erkennen und offenlegen, und gewährleistet gleichzeitig Verfügbarkeit und Sicherheit mithilfe der Akamai-Services. Das war die Idee des Defense Digital Service (DDS), der Abteilung im US Digital Service des Weißen Hauses, die dem Verteidigungsministerium (Department of Defense, DoD) zuarbeitet.

DDS wurde von Verteidigungsminister Ash Carter entwickelt, um die Art und Weise, wie das DoD Technologie entwickelt und anwendet, zu verändern. Er ist dafür zuständig, Talente und Best Practices aus dem privaten Sektor zu nutzen, um die wichtigsten Dienstleistungen der Bundesregierung zu verbessern. Da wir uns bewusst waren, dass Sicherheit durch Verborgenheit nicht realistisch oder praktikabel ist, überzeugte der DDS das DoD Anfang 2016, seine erste Bug-Bounty-Aktion namens „Hack the Pentagon“ zu starten. Durch die Nutzung der Innovationen und neuen Denkweisen, die den privaten Sektor charakterisieren, fand das DoD eine kostengünstige Möglichkeit, seine internen Cybersicherheitsexperten zu unterstützen und seine Systeme und Netzwerke besser zu schützen.

Die Herausforderung

Während Bug-Bounties im Privatsektor häufig vorkommen, hatte die Bundesregierung diesen Ansatz noch nie umgesetzt. Doch das Konzept ist relativ einfach: Ein Unternehmen setzt externe Forscher – oder White-Hat-Hacker – darauf an, die Sicherheit seiner Netzwerke und Anwendungen zu testen und ihre Ergebnisse zu melden, damit das Unternehmen die Schwachstellen beheben kann. In diesem Fall beauftragte die US‑Bundesregierung einen Dritten, HackerOne, mit der Organisation und Verwaltung der „Hacker“, die versuchen sollten, Schwachstellen zu identifizieren.

Um den Erfolg dieses Programms sicherzustellen, arbeitete der DDS eng mit Defense Media Activity (DMA) zusammen, das dem DoD unternehmensweite Cloudservices bereitstellt, inklusive eines webbasierten Content Management Systems für über 700 öffentlich zugängliche militärische und DoD‑Websites. Sowohl DDS als auch DMA erkannten die damit verbundenen Risiken und wussten, dass das DoD mit mehr teilnehmenden Hackern auch mehr Bugs finden würde. Sie wussten auch, dass das Programm – um sowohl erfahrenen Forschern als auch Anfängern eine sinnvolle Herausforderung zu bieten – Websites umfassen musste, die wichtige Ziele waren, sowie einige außerhalb des DoD‑Netzwerks. Und schließlich mussten DDS und DMA neben der effektiven Einführung und Verwaltung des allgemeinen Programms auch die gesamte externe Kommunikation mit der Presse in Bezug auf jeden Aspekt des Programms verwalten.

Die Ziele

Um diese Ziele zu erreichen, musste der DDS zwei wichtige Anforderungen erfüllen:

• Verhindern internetbasierter Angriffe: DoD‑bezogene Websites sind Ziele mit hoher Sichtbarkeit und das Programm würde ihnen noch mehr Aufmerksamkeit in den Medien zukommen lassen, wodurch die Wahrscheinlichkeit von Angriffen steigen würde.
• Gewährleisten der Verfügbarkeit: Um den größtmöglichen Nutzen aus dem Hackathon zu erzielen, musste das DoD sicherstellen, dass die Websites, die es für Schwachstellentests bereitstellte, online blieben.

Nutzung bewährter Schutzlösungen

DMA empfahl von Anfang an, defense.gov in den Hackathon einzubeziehen, da diese Website bereits von Akamai geschützt wurde. Der DDS setzte auch andere Sicherheitsmaßnahmen ein, um böswillige Aktivitäten während des Events zu verhindern.

Gleichzeitig beauftragte DMA das Akamai Professional Services-Team mit der Vorbereitung auf das Programm. Da Akamai bereits über ein Bug-Bounty-Programm verfügte, konnten die Experten von Akamai während des gesamten Programms wertvolle Einblicke und Vorschläge zur Verfügung stellen. Darüber hinaus implementierte DMA den Akamai-Service „Client Reputation“ als zusätzliche Sicherheitsebene. Client Reputation nutzt fortschrittliche Algorithmen, um eine Risikobewertung basierend auf dem vorherigen Verhalten im gesamten Akamai-Netzwerk zu berechnen und das Verhalten von Angriffen, Clients und Anwendungen in Profilen zu erfassen. Auf der Grundlage dieser Informationen weist Akamai jeder Client-IP‑Adresse Risikobewertungen zu und ermöglicht es DMA, zu entscheiden, welche Aktionen die Sicherheitsservices von Akamai ausführen sollen. Durch die Verwendung von Client Reputation verfügte DMA über verwertbare Informationen zu ca. 54.000 eindeutigen Client-IP‑Adressen, die defense.gov ab dem ersten Tag des Programms angreifen wollten.

Aushalten von Trafficspitzen

Das Programm wurde mit nur drei Seiten eingeführt und nur http://www.defense.gov/ wurde zu Beginn von Akamai geschützt. Aufgrund des enormen Interesses der Hackercommunity – mehr als 1.400 registrierte Hacker – musste der DDS jedoch den Umfang erweitern. DMA schlug vor, zwei weitere Websites hinzuzufügen, um die Vielfalt zu steigern, während weniger erfahrene Hacker gleichzeitig Schwachstellen in veralteten und schlecht konfigurierten Webdomains finden konnten.

Zwei der insgesamt fünf Websites, defense.gov und dodlive.mil, waren äußerst robust, da DMA zuvor Akamai mit dem Schutz der Seiten über seine ständig aktive Web Application Firewall (WAF), Site Shield und Client Reputation beauftragt hatte. Als eine dritte Website in weniger als einem Tag unter dem Anstieg des Traffics zusammenbrach, implementierte DMA einen flächendeckenden Schutzschirm mithilfe der WAF von Akamai. Die WAF‑Lösung wurde entwickelt, um rund um die Uhr Angriffe auf Anwendungsebene und volumetrische Attacken abzuwehren, einschließlich Distributed Denial of Service (DDoS), SQL Injection und Cross-Site Scripting. Nach der Einrichtung widerstand die Website dem Ansturm von Angriffen und Test-Traffic und war wieder für die Endnutzer verfügbar.

Test der DoD‑Cybersicherheit

Das „Hack the Pentagon“-Programm wurde vom 18. April bis 12. Mai 2016 durchgeführt. Während dieser Zeit reichten 252 Hacker mindestens einen Sicherheitsbericht ein. Insgesamt wurden 1.189 Berichte übermittelt. Während die Hacker-Berichte eingereicht wurden, arbeitete der DDS daran, die gemeldeten Probleme mit Unterstützung von HackerOne in Echtzeit zu beheben. Etwas mehr als einen Monat nach Abschluss des Pilotprojekts hatte der DDS jede gemeldete Schwachstelle behoben.

138 Berichte waren für eine Prämie qualifiziert und 58 der 1.410 registrierten Hacker erhielten Auszahlungen von 100 bis 15.000 US‑Dollar. Der gesamte Vertragswert einschließlich der ausgezahlten Prämien betrug rund 150.000 Dollar. Nach Einschätzung des Verteidigungsministeriums hätte das Verteidigungsministerium mehr als eine Million Dollar für die Entdeckung derselben Schwachstellen aufgewendet, wenn es einen typischen Prozess durchlaufen hätte – also durch Beauftragung eines externen Unternehmens mit Sicherheitsaudits und Schwachstellenbewertung.

Abwehren aller potenziellen Gefährdungen

Akamai stellte während des gesamten Programms drei der fünf teilnehmenden Websites unterbrechungsfrei bereit und schützte sie. Dabei stellte das Unternehmen 213 Millionen Aufrufe und 10 Terabyte an Daten bereit und konnte Trafficspitzen von ca. 2.000 Aufrufen pro Sekunde abfangen. Es überrascht nicht, dass das Bug-Bounty-Programm auch die Aufmerksamkeit böswilliger Akteure erregt hat. So schützte Akamai defense.gov beispielsweise vor 55 raffinierten Angriffen, bei denen über 19,2 Millionen schädliche Anfragen abgelehnt wurden, darunter zwei bemerkenswerte DNS‑Domain-Flood-Angriffe und ein DDoS-Angriff über 250 IP‑Adressen in 83 Ländern. Mit Akamai Client Reputation prognostizierte DMA auch schädliche Absichten im Zusammenhang mit über einer Million Anfragen. Dadurch konnte DMA automatisch alle bekannten starken Bedrohungen an der Edge und damit weit entfernt von der Webserver-Infrastruktur von DMA abwehren.

Durch Baselining der Websiteaktivität vor, während und nach der Herausforderung konnte DMA eine höhere Scan- und Forschungsaktivität auf von Akamai geschützten Websites erleben.

Erweitern des Programms

Zur Erinnerung an das Ereignis gab HackerOne eine „Hack the Pentagon“-Challenge-Münze für erfolgreiche Hacker aus. Zufrieden mit dem Erfolg des Programms hat Minister Carter bereits detaillierte Pläne veröffentlicht, um das Bug-Bounty-Programm auf andere Teile des Verteidigungsministeriums auszuweiten.

„Wir möchten viele DoD‑Assets mit so einem Sicherheitsprogramm testen, um die Erkennung von Schwachstellen zu beschleunigen und zu optimieren und gleichzeitig unseren internen Teams die Möglichkeit zu geben, sich auf die Behebung zu konzentrieren. Bei kommenden Bug-Bounties müssen wir sicherstellen, dass die teilnehmenden Websites aus Schwachstellensicht raffiniert genug sind, um die Herausforderung lohnenswert zu machen. Im Idealfall werden wir eine kommerzielle Lösung wie Akamai einsetzen, um diese Vision in die Tat umzusetzen“, so Lisa Wiswell, Digital Security Lead für den Defense Digital Service.

Defense Media Activity (DMA) dient als direkte Möglichkeit, Nachrichten und Informationen an die US‑amerikanischen Streitkräfte weltweit zu übertragen. Die Behörde präsentiert Nachrichten, Informationen und Unterhaltung auf einer Vielzahl von Medienplattformen, darunter Radio, Fernsehen, Internet, Printmedien und neue Medientechnologien. DMA informiert Millionen von aktiven, Wachdienst- und Reservedienst-Mitgliedern, zivilen Mitarbeitern, Auftragnehmern, militärischen Ruheständlern und deren Familien in den USA und im Ausland.