Il Dipartimento della Difesa migliora la protezione del sito web

La situazione

Come fa il governo federale degli Stati Uniti a scoprire i punti deboli e le vulnerabilità della sicurezza senza mettere a repentaglio i sistemi e i dati più critici del paese? La risposta è seguire le orme dei principali brand tecnologici che utilizzano il crowdsourcing per la scoperta e la divulgazione delle vulnerabilità garantendo tempo di attività e sicurezza tramite i servizi di Akamai. Questa è stata l'idea proposta dal Servizio di difesa digitale (DDS), il braccio del Dipartimento della Difesa (DoD) del Servizio digitale degli Stati Uniti della Casa Bianca.

Creato dal Segretario alla Difesa, Ash Carter, per trasformare le modalità di creazione e applicazione della tecnologia del Dipartimento della Difesa, il DDS ha il compito di sfruttare i talenti del settore privato e le best practice per migliorare i servizi più critici del governo federale. Riconoscendo che la sicurezza non è realistica o praticabile nell'oscurità, all'inizio del 2016 il DDS ha convinto il Dipartimento della Difesa a lanciare il suo primo programma Bug Bounty, chiamato "Hack the Pentagon". Sfruttando le innovazioni e le nuove tendenze caratteristiche del settore privato, il DoD ha trovato un modo conveniente per supportare i propri esperti interni di sicurezza informatica e proteggere meglio i propri sistemi e le proprie reti.

La sfida

Sebbene i programmi Bug Bounty siano comuni nel settore privato, il Governo federale non aveva mai adottato prima questo approccio. Detto questo, il concetto è relativamente semplice: un'organizzazione incoraggia ricercatori esterni - o hacker white-hat - a testare la sicurezza delle proprie reti e applicazioni e segnalare ciò che trovano in modo che l'organizzazione possa affrontare le vulnerabilità. In questo caso, il Governo federale degli Stati Uniti ha assunto una terza parte, HackerOne, per organizzare e gestire gli "hacker" che avrebbero cercato di identificare le vulnerabilità.

Per garantire il successo di questo programma, il DDS ha lavorato a stretto contatto con il DMA (Defense Media Activity), che fornisce al DoD servizi cloud a livello aziendale costituiti da un sistema di gestione dei contenuti basato sul web per oltre 700 siti web militari e del DoD rivolti al pubblico. Sia il DDS che il DMA hanno compreso i rischi implicati e si sono resi conto che più hacker partecipavano, più bug avrebbe trovato il DoD. Sapevano anche che per fornire a ricercatori esperti e hacker alle prime armi una sfida significativa, il programma doveva includere siti che rappresentavano obiettivi importanti e alcuni al di fuori del perimetro del Dipartimento della Difesa. Infine, oltre a lanciare e gestire efficacemente l'intero programma, il DDS e il DMA avevano anche la necessità di gestire tutte le comunicazioni esterne con la stampa riguardanti ogni aspetto del programma.

Gli obiettivi

DDS doveva soddisfare due requisiti chiave per supportare i propri obiettivi:

• Contrastare gli attacchi basati su Internet. I siti relativi al DoD sono obiettivi ad alta visibilità e il programma attirerebbe ancora più attenzione dei media su di essi, aumentando la probabilità di attacchi.
• Garantire la disponibilità. Per ottenere il massimo valore possibile dall'hackathon, il DoD doveva garantire che i siti offerti per i test di vulnerabilità rimanessero online.

Utilizzo di una protezione comprovata

Fin dall'inizio, il DMA ha raccomandato che defence.gov fosse incluso nell'Hackathon poiché era già protetto da Akamai. Il DDS ha anche implementato misure di sicurezza per scoraggiare attività illecite durante l'evento.

Allo stesso tempo, il DMA ha incaricato i servizi professionali di Akamai di prepararsi per il programma. Poiché Akamai dispone già di un programma Bug Bounty, gli esperti di Akamai hanno fornito preziose informazioni e suggerimenti da tenere in considerazione durante l'intero programma. Inoltre, il DMA ha implementato il servizio Client Reputation di Akamai come ulteriore livello di sicurezza. Client Reputation sfrutta algoritmi avanzati per calcolare un punteggio di rischio basato sul comportamento precedente osservato nell'intera rete Akamai e profilare il comportamento di attacchi, client e applicazioni. In base a queste informazioni, Akamai assegna punteggi di rischio a ciascun indirizzo IP client e consente al DMA di scegliere quali azioni desidera che eseguano i servizi di sicurezza di Akamai. L'utilizzo di Client Reputation ha fornito al DMA informazioni utili su circa 54.000 indirizzi IP client univoci che cercavano di prendere di mira defense.gov sin dal primo giorno del programma.

Gestione dei picchi di traffico

Il programma è stato lanciato solo con tre siti e con solo http://www.defense.gov/ protetto da Akamai all'inizio. Tuttavia, a causa di tale enorme interesse da parte della community degli hacker, oltre 1.400 hacker registrati, il DDS aveva bisogno di ampliare l'ambito. Il DMA ha suggerito di aggiungere altri due siti per mostrare la diversità, consentendo al contempo agli hacker meno esperti di individuare vulnerabilità su domini web obsoleti e mal configurati.

Due dei cinque siti totali, defence.gov e dodlive.mil, erano adeguatamente rafforzati poiché il DMA aveva precedentemente incaricato Akamai di incrementare la protezione tramite le soluzioni always-on di Akamai WAF (Web Application Firewall), Site Shield e Client Reputation. Quando un terzo sito ha ceduto sotto l'ondata di traffico in meno di un giorno, il DMA ha offerto una protezione a ombrello tramite la soluzione WAF di Akamai. La soluzione WAF è progettata per negare attacchi volumetrici e a livello di applicazione 24 ore su 24, 7 giorni su 7, inclusi DDoS (Distributed Denial of Service), SQL injection e Cross Site Scripting. Una volta installato, il sito ha resistito all'assalto degli attacchi e ha testato il traffico per diventare nuovamente disponibile per gli utenti finali.

Messa alla prova della soluzione per la sicurezza informatica di Akamai

Il programma Hack the Pentagon si è svolto dal 18 aprile al 12 maggio 2016, durante il quale 252 hacker controllati hanno inviato almeno un rapporto di vulnerabilità, per un totale di 1.189 segnalazioni. Quando le segnalazioni degli hacker sono state inviate, il DDS ha lavorato per porvi rimedio in tempo reale con il supporto di HackerOne. Poco più di un mese dopo il termine del programma pilota, il DDS aveva rimediato a ogni vulnerabilità segnalata.

Centotrentotto segnalazioni si sono qualificate per la ricompensa e 58 dei 1.410 hacker registrati hanno ricevuto pagamenti compresi tra 100 e 15.000 dollari. Il valore totale del contratto, comprese le ricompense pagate, era di circa 150.000 dollari. Secondo la stima del Segretario della Difesa, il Dipartimento della Difesa avrebbe speso più di 1 milione di dollari per scoprire le stesse vulnerabilità se avesse seguito il tradizionale processo di assunzione di una società esterna per effettuare un controllo della sicurezza e una valutazione della vulnerabilità.

Contrasto di tutte le potenziali violazioni

Akamai ha fornito e protetto tre dei cinque siti partecipanti senza interruzioni durante tutto il programma, garantendo 213 milioni di accessi e 10 Terabyte di dati e assorbendo picchi di traffico di circa 2.000 accessi al secondo. Non sorprende che il programma Bug Bounty abbia attirato l'attenzione dei criminali. Ad esempio, Akamai ha protetto defence.gov contro 55 attacchi sofisticati con oltre 19,2 milioni di richieste dannose respinte, inclusi due notevoli attacchi flood di domini DNS e un attacco DDoS originato da 250 indirizzi IP in 83 paesi. Utilizzando Akamai Client Reputation, il DMA ha anche previsto intenzioni dannose associate a oltre 1 milione di richieste. Di conseguenza, il DMA è stato in grado di negare automaticamente tutte le minacce elevate note sull'edge di Internet e lontano dall'infrastruttura del server web del DMA.

Basandosi sull'attività del sito web prima, durante e dopo la sfida, il DMA ha potuto osservare un'attività di analisi e ricerca più elevata sui siti protetti da Akamai.

Ampliamento del programma

Per commemorare l'evento, HackerOne ha dato una medaglia di Hack the Pentagon agli hacker di successo. Soddisfatto del successo del programma, il segretario Carter ha già pubblicato piani dettagliati per espandere il programma Bug Bounty ad altre parti del Dipartimento della Difesa.

"Vogliamo investire molte risorse del DoD in questo tipo di programma di sicurezza per semplificare e ridurre i tempi di individuazione delle vulnerabilità, consentendo al contempo ai nostri team interni di concentrarsi sulla risoluzione. Con il lancio di altri programmi Bug Bounty, dovremo assicurarci che i siti partecipanti siano sufficientemente esercitati dal punto di vista della vulnerabilità per rendere la sfida proficua. Idealmente, disporremo di una soluzione commerciale come quella di Akamai per contribuire a trasformare questa visione in realtà", conclude Lisa Wiswell, responsabile della sicurezza digitale per il Servizio digitale di difesa.

Il DMA (Defense Media Activity) funge da linea di comunicazione diretta per notizie e informazioni alle forze statunitensi in tutto il mondo. L'agenzia offre notizie, informazioni e intrattenimento su una varietà di piattaforme multimediali, tra cui radio, televisione, Internet, carta stampata e tecnologie multimediali emergenti. Il DMA informa milioni di membri del Servizio di guardia e di riserva attivi, dipendenti civili, appaltatori, pensionati militari e le rispettive famiglie negli Stati Uniti e all'estero.