Wir freuen uns heute sehr, unsere Pläne für das Cloudflare Intrusion Detection System veröffentliche zu können. Dabei handelt es sich um ein neues Produkt, das Ihr Netzwerk überwacht und bei Verdacht auf einen Angriff Alarm schlägt. Durch die umfassende Integration in Cloudflare One bietet Ihnen das Cloudflare Intrusion Detection System eine Vogelperspektive auf Ihr gesamtes globales Netzwerk und überprüft den gesamten Traffic auf böswilliges Verhalten, unabhängig davon, ob der Traffic von außerhalb oder innerhalb Ihres Netzwerks kommt.

Analysieren Sie Ihr Netzwerk ohne viel Aufwand

Unternehmen erstellen Firewall-Regeln, um ihre Netzwerke vor externen und internen Bedrohungen zu schützen. Wenn böswillige Akteure versuchen, ein Netzwerk anzugreifen, überprüfen diese Firewalls, ob der Angriff einem Regelmuster entspricht. Wenn dies der Fall ist, greift die Firewall ein und blockiert den Angriff.

Früher wurden diese Regeln auf verschiedenen physischen Firewall-Geräten konfiguriert, häufig Geräten verschiedener Fabrikate und Hersteller, die an physischen Standorten bereitgestellt wurden. Gestern haben wir die Magic Firewall angekündigt, die Cloudflare-Firewall auf Netzwerkebene, die in unseren Rechenzentren auf der ganzen Welt bereitgestellt wird. Ihr Team kann eine Firewall-Regel einmal schreiben, sie in Cloudflare bereitstellen und unser globales Netzwerk schützt Ihre Büros und Rechenzentren ganz ohne Hardware vor Ort.

Das ist super, wenn man weiß, wo die Angriffe herkommen. Wenn Sie dieses Maß an Sicherheit nicht haben, wird das Aufspüren dieser Art von Angriffen zum aufwendigen Ratespiel. Raffinierte Angreifer können die Verteidigung eines Netzwerks provozieren, um festzustellen, welche Regeln existieren oder nicht existieren. Sie können diese Informationen ausnutzen, um subtilere Angriffe zu starten. Oder noch schlimmer: Sie kompromittieren Ihre Mitarbeiter und greifen von innen heraus an.

Wir freuen uns, die Zero-Trust-Woche mit einer weiteren Veröffentlichung abzuschließen: Das Cloudflare Intrusion Detection System (IDS) ist eine Lösung, die Ihr gesamtes Netzwerk gleichzeitig analysiert und Sie auf Ereignisse hinweist, die Ihre Regeln möglicherweise nicht erfassen.

Cloudflare IDS ist ein entscheidender Baustein von Cloudflare One. WARP verbindet Ihre Geräte und Magic Transit verbindet Ihre Büros und Rechenzentren mit Cloudflare; Cloudflare IDS befindet sich auf beiden und ermöglicht es Ihnen, den gesamten Traffic gleichzeitig zu untersuchen und auszuwerten.  Dadurch erhalten Sie einen einheitlichen Überblick darüber, was innerhalb Ihres Netzwerks geschieht und wo eine Verletzung stattgefunden haben könnte. Cloudflare IDS wird auch kontinuierlich besser darin, Bedrohungen und Angriffe zu identifizieren. Sie können Warnmeldungen aktivieren und mit einem einzigen Klick schnell und einfach die Eindringversuche blockieren, die sich an statischen Regeln vorbeischleichen. Am wichtigsten ist jedoch, dass Ihr Team von den Informationen profitiert, die Cloudflare über Angriffe in anderen Regionen oder Branchen sammelt, um Ereignisse zu kennzeichnen, die Sie betreffen könnten.

Und wie funktioniert es?

Von einem Verstoß ausgehen

Bisherige Sicherheitsmodelle vertrauten implizit jeder Verbindung innerhalb des Netzwerks. Das machte sie anfällig für Verstöße und Angriffe von böswilligen Akteuren, die von innen kamen. Das Konzept des Zero Trust kehrt das Modell um: Es geht davon aus, dass jede Verbindung gefährlich ist. Anstatt auf Beweise dafür zu warten, dass ein definitiver Verstoß stattgefunden hat, wird davon ausgegangen, dass dieser bereits geschehen ist.

Um das Zero.Trust-Modell effektiv umzusetzen, benötigen Sie zwei Kernkomponenten:

  • eine umfassende Übersicht über Ihr gesamtes Netzwerk, das laufend analysiert wird, um Probleme aufzudecken, die von statischen Regeln möglicherweise nicht erfasst wurden;
  • ein Angriffserkennungssystem (eingekauft oder selbst entwickelt), das die Analyse durchführt.

Cloudflare IDS ist auch durch die umfassende Integration in Cloudflare One so effektiv. WARP und Magic Transit bilden die erste Komponente, mit der Sie Ihr gesamtes Netzwerk und alle Geräte mit Cloudflare verbinden können, sodass Sie jedes einzelne Paket und jede einzelne Verbindung aus der Vogelperspektive betrachten können.

Cloudflare IDS hilft dann bei der Erkennung von Angriffen, die von überall innerhalb des Netzwerks kommen, indem es den Traffic und den Inhalt des Traffic aktiv untersucht. Cloudflare IDS hat zwei Funktionsweisen: Traffic-Form und Traffic-Untersuchung. Wenn wir uns das Verhalten des Traffics in Ihrem Netzwerk anschauen, können wir lernen, wie normales Verhalten aussieht: Ein Nutzer meldet sich jeden Tag nur bei einem einzigen System an, er greift nur auf bestimmte Anwendungen zu usw. Wir würden nicht erwarten, dass jemand versucht, sich in viele Systeme gleichzeitig einzuloggen oder das Netzwerk zu scannen; das wären klare Anzeichen für böswillige Absichten.

Die andere Form der Angriffserkennung ist die Traffic-Untersuchung: Wir schauen in den Traffic hinein, der durch Ihr Netzwerk fließt, um festzustellen, ob jemand einen sehr gezielten Angriff durchführt. Diese Arten von Angriffen können mit herkömmlichen Methoden nicht erkannt werden, weil sie tatsächlich wie normaler Traffic aussehen. Nur durch einen Blick ins Innere können wir sehen, dass der Akteur etwas Böswilliges versucht.

Herdenimmunität

Angreifer tendieren dazu, einem Muster zu folgen. Böswillige Akteure, die einen Angriff bei einem Unternehmen versucht haben, werden den gleichen Angriff an anderer Stelle wiederholen. Leider haben wir in letzter Zeit einen Anstieg dieser Angriffe beobachtet, als Angriffe wie der DDoS-Feldzug von Fancy Bear von einem Unternehmen zum anderen wanderten und immer demselben Skript folgten.

Gemeinsam sind wir sicherer. Cloudflare IDS lernt aus Angriffen, die auf unser Netzwerk und alle Netzwerke unserer Kunden abzielen, um ständig neue Arten von Angriffen zu erkennen. Ihr Team profitiert dann von den Erfahrungen, die wir beim Schutz unserer Kunden gesammelt haben. Die Plattform bezieht auch externe Bedrohungs-Feeds ein. Außerdem können Sie auch Ihre eigenen mitbringen.

CPU-Aufwand auslagern

Kunden, die ihre eigene IDS-Lösung betreiben (unabhängig davon, ob sie selbst entwickelt oder gekauft wurde), beschweren sich immer wieder über eine Sache: den berühmt-berüchtigten CPU-Hunger von IDS-Lösungen. Sie müssen viele Zustände im Speicher halten und erfordern für eine effektive und korrekte Funktion eine Menge Rechenleistung.

Mit Cloudflare IDS wälzen Sie diese Last auf unser Netzwerk ab. Wir haben Cloudflare von Grund auf so konzipiert, dass es unendlich skalierbar ist. Jedes Edge-Rechenzentrum nutzt die gleiche Software, sodass wir die Arbeitslast effizient und in großem Umfang auslagern können. Wenn Cloudflare Ihr IDS betreibt, können Sie die rechenintensive Last, die veraltete Lösungen mit sich bringen, abschütteln und müssen sich keine Sorgen mehr über Kapazitäten machen.

Spielend einfach

Wenn Ihr Team Cloudflare IDS einsetzt, müssen Sie einfach nur auf eine Schaltfläche klicken und das war's. Ab sofort analysieren wir Muster in Ihrem Magic-Transit-Traffic und in Magic-Firewall-Ereignissen und gleichen diese mit unseren Bedrohungs-Feeds ab.

Wenn uns etwas Verdächtiges auffällt, benachrichtigen wir Ihr Team mit einem Alarm. Ihr Sicherheitsteam kann den Versuch dann überprüfen und die Daten genauer untersuchen, um festzustellen, was passiert ist. Auf dem Dashboard erhalten Sie weitere Einblicke in die Art des Angriffs und den Ort, an dem er stattgefunden hat. Die Problembehebung ist nur einen Klick entfernt: Richten Sie einfach eine Regel ein und senden Sie sie an das globale Cloudflare-Netzwerk: Wir stoppen den Angriff auf der Stelle.

Was kommt als Nächstes?

Der Start des Cloudflare IDS folgt der Markteinführung unserer Magic Firewall. Wenn Sie zu den ersten IDS-Nutzern gehören möchten, wenden Sie sich bitte an Ihr Kundenbetreuungsteam, um mehr zu erfahren.