Departamento de Defesa melhora a proteção de websites

A situação

Quando você é o Governo Federal dos EUA, como você descobre vulnerabilidades e pontos fracos de segurança sem comprometer os sistemas e dados mais críticos do país? A resposta é seguir os passos das principais marcas de tecnologia que coroam a descoberta e a divulgação de vulnerabilidades e, ao mesmo tempo, garantem o tempo de atividade e a segurança usando os serviços da Akamai. Essa foi a idéia proposta pelo Serviço Digital de Defesa (DDS), braço do Departamento de Defesa (DoD) do Serviço Digital dos Estados Unidos da Casa Branca.

Criado pelo Secretário da defesa, Ash Carter, para transformar a forma como o DoD cria e aplica tecnologia, o DDS é encarregado de aproveitar o talento do setor privado e as melhores práticas para melhorar os serviços mais críticos do governo federal. Reconhecendo que a segurança pela obscuridade não é realista ou viável, no início de 2016 o DDS convenceu o DoD a lançar a primeira recompensa de bugs, chamada Hack the Pentagon. Aproveitando as inovações e o novo pensamento que caracterizam o setor privado, o DoD encontrou uma maneira econômica de apoiar os especialistas em cibersegurança interna e proteger melhor seus sistemas e redes.

O desafio

Embora as recompensas por bugs sejam comuns no setor privado, o governo federal nunca tinha implementado essa abordagem. Dito isso, o conceito é relativamente simples: uma organização incentiva pesquisadores externos, ou hackers whitehat, a testar a segurança de redes e aplicações e relatar o que eles encontram para que a organização possa resolver as vulnerabilidades. Nesse caso, o Governo Federal dos EUA contratou um terceiro, a HackerOne, para organizar e gerenciar os "hackers" que tentariam identificar vulnerabilidades.

Para garantir o sucesso desse programa, o DDS trabalhou em estreita colaboração com a DMA (Defense Media Activity), que fornece serviços em nuvem para toda a empresa DoD, consistindo em um sistema de gerenciamento de conteúdo baseado na Web para mais de 700 websites militares e DoD voltados para o público. Tanto o DDS quanto o DMA compreenderam os riscos envolvidos e perceberam que quanto mais hackers ele convidasse para participar, mais bugs o DoD encontraria. Eles também sabiam que, para fornecer um desafio significativo tanto para pesquisadores experientes quanto para hackers novatos, o programa precisaria incluir websites que fossem alvos significativos junto com alguns fora do perímetro do DoD. Por fim, além de iniciar e gerenciar o programa de forma eficaz, o DDS e o DMA também precisavam gerenciar todas as comunicações externas com a imprensa em relação a todos os aspectos do programa.

Os objetivos

O DDS precisava atender a dois requisitos principais para apoiar os seus objetivos:

• Frustrar ataques baseados na Internet. Os websites relacionados ao DoD são alvos de alta visibilidade e o programa chamaria ainda mais a atenção da mídia para eles, aumentando a probabilidade de ataques.
• Garantir a disponibilidade. Para obter o máximo de valor possível da hackathon, o DoD precisava garantir que os websites oferecidos para testes de vulnerabilidade permanecessem online.

Aproveitamento da proteção comprovada

Desde o início, a DMA recomendou que o defense.gov fosse incluído na Hackathon, pois já estava protegida pela Akamai. O DDS também colocou outras medidas de segurança em vigor para desencorajar atividades nefastas durante o evento.

Ao mesmo tempo, a DMA contratou os serviços profissionais da Akamai para se preparar para o programa. Como a Akamai já tem um programa de bug bounty em funcionamento, os especialistas da Akamai forneceram insights e sugestões valiosas para consideração em todo o programa. Além disso, a DMA implementou o serviço Client Reputation da Akamai como uma camada de segurança adicional. O Client Reputation aproveita algoritmos avançados para calcular uma pontuação de risco com base no comportamento anterior observado em toda a rede da Akamai e traçar o perfil do comportamento de ataques, clientes e aplicações. Com base nessas informações, a Akamai atribui pontuações de risco a cada endereço IP do cliente e permite que o DMA escolha quais ações deseja que os serviços de segurança da Akamai executem. Usando o Client Reputation, o DMA tinha inteligência acionável em aproximadamente 54.000 endereços IP de cliente exclusivos tentando atingir o defense.gov desde o primeiro dia do programa.

Resistência aos picos de tráfego

O programa foi lançado somente com três websites, com apenas o http://www.defense.gov/ protegido pela Akamai no início. No entanto, por causa do enorme interesse da comunidade de hackers (mais de 1.400 hackers registrados), o DDS precisou ampliar o escopo. O DMA sugeriu a adição de mais dois websites para mostrar diversidade, permitindo que hackers ainda menos experientes encontrassem vulnerabilidades em domínios da Web desatualizados e mal configurados.

Dois dos cinco websites no total, o defense.gov e o dodlive.mil, foram bem fortalecidos pelo fato de que a DMA havia contratado a Akamai anteriormente para reforçar a proteção com o WAF (Web Application Firewall), o Site Shield e o Client Reputation da Akamai. Quando um terceiro website caiu com o pico de tráfego em menos de um dia, a DMA ofereceu a proteção por meio do WAF da Akamai. A solução WAF foi projetada para negar ataques volumétricos e na camada de aplicação 24 horas por dia, 7 dias por semana, incluindo negação de serviço distribuída (DDoS), injeções de SQL e script entre websites. Uma vez implementado, o website resistiu à investida de ataque e ao teste do tráfego para ficar disponível novamente para seus usuários finais.

Cibersegurança do DoD colocada em teste

O programa Hack the Pentagon foi executado de 18 de abril a 12 de maio de 2016, durante o qual 252 hackers vetados enviaram pelo menos um relatório de vulnerabilidade, para um total de 1.189 relatórios. À medida que os relatórios de hackers eram enviados, o DDS trabalhava para corrigi-los em tempo real com o suporte da HackerOne. Pouco mais de um mês após o término do piloto, o DDS corrigiu todas as vulnerabilidades relatadas.

Cento e trinta e oito relatórios qualificados para a recompensa, e 58 dos 1.410 hackers registrados receberam pagamentos que variaram de US$ 100 a US$ 15.000. O valor total do contrato, incluindo as recompensas pagas, foi de aproximadamente US$ 150.000. Na estimativa do Secretário da defesa, o DoD teria gasto mais de US$ 1 milhão para descobrir as mesmas vulnerabilidades se tivesse sido submetido ao processo típico de contratação de uma empresa externa para conduzir uma auditoria de segurança e avaliação de vulnerabilidades.

Frustração de todos os possíveis comprometimentos

A Akamai entregou e protegeu três dos cinco websites participantes sem interrupção em todo o programa, atendendo 213 milhões de acessos e 10 terabytes de dados, além de absorver picos de tráfego de aproximadamente 2.000 acessos por segundo. Não é de surpreender que o programa Bug Bounty tenha atraído a atenção de atores nefastos. Por exemplo, a Akamai protegeu o defense.gov contra 55 ataques sofisticados com mais de 19,2 milhões de solicitações maliciosas negadas, incluindo dois grandes ataques de inundação de domínio DNS e um ataque DDoS originado de 250 endereços IP em 83 países. Usando o Client Reputation da Akamai, a DMA também previu intenção maliciosa associada a mais de 1 milhão de solicitações. Como resultado, a DMA conseguiu negar automaticamente todas as ameaças conhecidas na edge da Internet e longe da infraestrutura de servidor da Web da DMA.

Ao estabelecer a linha de base da atividade do website antes, durante e depois do desafio, a DMA poderia ver uma atividade de pesquisa e digitalização mais alta em websites protegidos pela Akamai.

Expansão do programa

Para comemorar o evento, HackerOne distribuiu uma moeda do desafio Hack the Pentagon para os hackers bem-sucedidos. Satisfeito com o sucesso do programa, o Secretário Carter já lançou planos detalhados para expandir o programa Bug Bounty para outras partes do DoD.

"Queremos colocar muitos ativos do DoD por meio desse tipo de programa de segurança para simplificar e reduzir o tempo para descobrir vulnerabilidades, permitindo que nossas equipes internas se concentrem na correção. À medida que lançarmos mais recompensas de bugs, precisaremos garantir que os websites participantes sejam exercidos o suficiente a partir de uma perspectiva de vulnerabilidade para fazer o desafio valer a pena. De preferência, teremos uma solução comercial como a Akamai em funcionamento para ajudar a tornar essa visão uma realidade", conclui Lisa Wiswell, líder de segurança digital para o Serviço Digital de Defesa.

A DMA (Defense Media Activity) serve como uma linha direta de comunicação para notícias e informações para as forças dos EUA em todo o mundo. A agência apresenta notícias, informações e entretenimento em uma variedade de plataformas de mídia, incluindo rádio, televisão, Internet, mídia impressa e tecnologias de mídia emergentes. A DMA informa milhões de membros de serviços ativos, de guarda e reserva, funcionários civis, empreiteiros, aposentados militares e suas famílias nos EUA e no exterior.