©2024 Akamai Technologies
Situación
Si se trata del Gobierno federal de EE. UU., ¿cómo puede descubrir sus debilidades y vulnerabilidades en materia de seguridad sin poner en riesgo los sistemas y datos más críticos del país? La respuesta es seguir los pasos de las principales marcas de tecnología que participan colectivamente en el descubrimiento y la divulgación de vulnerabilidades, al tiempo que garantizan el tiempo de actividad y la seguridad mediante los servicios de Akamai. Esa fue la idea propuesta por el Servicio Digital de Defensa (DDS), la división del Departamento de Defensa (DoD) del Servicio Digital estadounidense de la Casa Blanca.
Creado por el secretario de Defensa, Ash Carter, para transformar la forma en la que el DoD crea y aplica la tecnología, el DDS se encarga de aprovechar el talento del sector privado y las mejores prácticas para mejorar los servicios más críticos del Gobierno federal. Al reconocer que la seguridad por oscuridad no es realista ni viable, a principios de 2016, el DDS convenció al DoD para poner en marcha su primer programa de recompensa por hallar vulnerabilidades, denominado Hack the Pentagon. Al aprovechar las innovaciones y las nuevas ideas que caracterizan al sector privado, el DoD encontró una manera rentable de respaldar a sus expertos internos en ciberseguridad y de proteger mejor sus sistemas y redes.
Desafío
Aunque los programas de recompensa son comunes en el sector privado, el Gobierno federal nunca había implementado este enfoque. Dicho esto, el concepto es relativamente simple: una organización incentiva a investigadores externos (o a hackers de sombrero blanco) a probar la seguridad de sus redes y aplicaciones e informar de lo que encuentren para que la organización pueda abordar las vulnerabilidades. En este caso, el Gobierno federal de Estados Unidos contrató a un tercero, HackerOne, para organizar y gestionar a los "hackers" que identificarían las vulnerabilidades.
Para garantizar el éxito de este programa, el DDS trabajó estrechamente con la Actividad de Medios de Defensa (DMA), que proporciona servicios en la nube de todo el DoD que constan de un sistema de gestión de contenido basado en web para más de 700 sitios web del DoD y militares orientados al público. Tanto el DDS como la DMA entendieron los riesgos involucrados y comprendieron que cuantos más hackers participaran, más errores encontraría el DoD. También sabían que para proporcionar a los investigadores experimentados y a los hackers novatos un desafío de tal magnitud, el programa debía incluir sitios que fueran objetivos significativos, además de algunos fuera del perímetro del DoD. Por último, además de poner en marcha y gestionar el programa en general de forma eficaz, el DDS y la DMA también tenían que gestionar todas las comunicaciones externas con la prensa en relación con cada aspecto del programa.
Objetivos
El DDS necesitaba cumplir dos requisitos fundamentales para alcanzar sus objetivos:
- Frenar los ataques basados en Internet. Los sitios relacionados con el DoD son objetivos de alta visibilidad y el programa atraería todavía más la atención de los medios de comunicación sobre ellos, lo que aumenta la probabilidad de ataques.
- Garantizar la disponibilidad. Para sacar el máximo partido del hackatón, el DoD tenía que asegurarse de que los sitios en los que se realizarían las pruebas de vulnerabilidad permanecieran online.
Aprovechamiento de una protección probada
Desde el inicio, la DMA recomendó que se incluyera defense.gov en el hackatón, puesto que ya estaba protegido por Akamai. El DDS también implementó otras medidas de seguridad para disuadir las actividades maliciosas durante el evento.
Al mismo tiempo, la DMA recurrió a los servicios profesionales de Akamai para prepararse para el programa. Debido a que Akamai ya cuenta con un programa de recompensa por hallar vulnerabilidades, los expertos de Akamai proporcionaron información y sugerencias valiosas para que se tuvieran en cuenta durante todo el programa. Además, la DMA implementó el servicio Client Reputation de Akamai como una capa de seguridad adicional. Client Reputation utiliza algoritmos avanzados para calcular la puntuación de riesgo según el comportamiento previo observado en toda la red de Akamai y para definir el comportamiento de los ataques, los clientes y las aplicaciones. Según esta información, Akamai asigna puntuaciones de riesgo a cada dirección IP del cliente y permite que la DMA elija qué acciones desea que realicen los servicios de seguridad de Akamai. Al usar Client Reputation, la DMA contó con inteligencia útil en aproximadamente 54 000 direcciones IP del cliente únicas cuyo objetivo era defense.gov desde el primer día del programa.
Resistencia a los picos de tráfico
El programa se lanzó con solo tres sitios, y solo http://www.defense.gov/ estaba protegido por Akamai al principio. Sin embargo, debido a un enorme interés de la comunidad de hackers (más de 1400 hackers registrados), el DDS tuvo que ampliar el alcance. La DMA sugirió agregar dos sitios más para mostrar diversidad, al tiempo que se permitía a los hackers con menos experiencia encontrar vulnerabilidades en dominios web desactualizados y mal configurados.
Dos de los cinco sitios en total (defense.gov y dodlive.mil) se reforzaron debido al hecho de que la DMA había recurrido anteriormente a Akamai para reforzar la protección con el firewall de aplicaciones web (WAF) siempre activo, Site Shield y los servicios de Client Reputation de Akamai. Cuando un tercer sitio se colapsó debido al pico de tráfico en menos de un día, la DMA ofreció protección paraguas a través del WAF de Akamai. La solución WAF está diseñada para rechazar ataques volumétricos y en el nivel de aplicación de manera ininterrumpida, incluidos los ataques de denegación de servicio distribuido (DDoS), inyección SQL y scripts entre sitios. Una vez implantada la solución, el sitio resistió la avalancha de ataques y el tráfico de prueba para volver a estar disponible para los usuarios finales.
Sometimiento a prueba de la ciberseguridad del DoD
El programa Hack the Pentagon se ejecutó desde el 18 de abril hasta el 12 de mayo de 2016, durante el cual 252 hackers enviaron al menos un informe de vulnerabilidad, y se obtuvieron un total de 1189 informes. Conforme los hackers enviaban los informes, el DDS trabajaba para solucionar las vulnerabilidades en tiempo real con la ayuda de HackerOne. Algo más de un mes después de que terminara el programa piloto, el DDS solucionó todas las vulnerabilidades comunicadas.
Ciento treinta y ocho informes fueron aptos para la recompensa y 58 de los 1410 hackers registrados recibieron pagos de entre 100 y 15 000 dólares. El valor total del contrato, incluidas las recompensas abonadas, fue de aproximadamente 150 000 dólares. Según el secretario de Defensa, el DoD habría gastado más de 1 millón de dólares en descubrir las mismas vulnerabilidades si hubiera llevado a cabo el proceso tradicional de contratar a una empresa externa para realizar una auditoría de seguridad y evaluación de vulnerabilidades.
Detención de todos los posibles ataques
Akamai protegió tres de los cinco sitios participantes sin interrupción durante el programa, al tiempo que respaldó 213 millones de visitas y 10 terabytes de datos, y absorbió picos de tráfico de aproximadamente 2000 visitas por segundo. Como era de esperar, el programa de recompensa por hallar vulnerabilidades atrajo la atención de agentes maliciosos. Por ejemplo, Akamai protegió defense.gov contra 55 ataques sofisticados con más de 19,2 millones de solicitudes maliciosas denegadas, incluidos dos ataques importantes de inundaciones de DNS, y un ataque DDoS procedente de 250 direcciones IP en 83 países. Con Client Reputation de Akamai, la DMA también predijo intenciones maliciosas asociadas a más de 1 millón de solicitudes. Como resultado, la DMA pudo rechazar automáticamente todas las grandes amenazas conocidas en el borde de Internet y lejos de la infraestructura de servidores web de la DMA.
Al tener una referencia de la actividad de los sitios web antes, durante y después del desafío, la DMA observó una mayor actividad de investigación y análisis en los sitios protegidos por Akamai.
Ampliación del programa
Para conmemorar el evento, HackerOne ofreció medallas del Hack the Pentagon a los hackers que tuvieron éxito. Encantado con el éxito del programa, el secretario Carter ya ha publicado planes detallados para ampliar el programa de recompensar a otras partes del DoD.
"Queremos aplicar este programa de seguridad a muchos activos del DoD para optimizar y acortar el tiempo para descubrir vulnerabilidades y, al mismo tiempo, permitir que nuestros equipos internos se centren en las medidas correctivas. Puesto que lanzaremos más programas de este tipo, tendremos que asegurarnos de que los sitios participantes se preparan lo suficiente desde la perspectiva de las vulnerabilidades para que el desafío valga la pena. Lo ideal es que tengamos una solución comercial como la de Akamai para hacer realidad esta idea", concluye Lisa Wiswell, responsable de Seguridad Digital del Servicio Digital de Defensa.
La Actividad de Medios de Defensa (DMA) actúa como una línea directa de comunicación de noticias e información a las Fuerzas estadounidenses en todo el mundo. La agencia presenta noticias, información y entretenimiento en una variedad de plataformas multimedia, como radio, televisión, Internet, prensa escrita y tecnologías de medios emergentes. La DMA informa a millones de miembros activos de los servicios de guardias y reservistas, empleados civiles, contratistas, jubilados militares y sus familias en EE. UU. y en el extranjero.