Eine der größten Herausforderungen, mit denen Cyberverteidiger heute konfrontiert sind, ist die Analyse von Erkennungsergebnissen aus Indikator-Feeds, die Metadaten über bestimmte Kompromittierungsindikatoren (Indicators of Compromise – IOC) liefern, wie z. B. IP-Adressen, ASNs, Domains, URLs und Hashes. Indikator-Feeds haben sich zwar in der gesamten Bedrohungsdatenbranche verbreitet, doch die meisten Feeds enthalten keine kontextbezogenen Informationen darüber, warum ein Indikator in den Feed aufgenommen wurde. Eine weitere Einschränkung der meisten Feeds besteht darin, dass sie sich ausschließlich auf blockierte Indikatoren konzentrieren und komplexere Fälle, wie z. B. einen Bedrohungsakteur, der eine CVE ausnutzt, oder eine Insider-Bedrohung nicht ohne Weiteres berücksichtigen können. Stattdessen wird diese Art komplexer Bedrohungsanalysen den ausführlicheren Berichten überlassen. Umfangreiche Berichte bringen jedoch ihre eigenen Herausforderungen mit sich, z. B. den Zeitaufwand für das Schreiben und die Bearbeitung, was zu erheblichen Verzögerungen bei der Veröffentlichung zeitnaher Bedrohungsdaten führen kann.
Um diese Herausforderungen zu bewältigen, freuen wir uns, unsere Plattform für Bedrohungsereignisse für Cloudforce One-Kunden zu lancieren. Jeden Tag blockiert Cloudflare Milliarden von Cyberbedrohungen. Diese neue Plattform enthält kontextbezogene Daten zu den Bedrohungen, die wir im Cloudflare-Netzwerk beobachten und abwehren, und soll Sicherheitsexperten und Entscheidungsträgern verwertbare Erkenntnisse aus einer globalen Perspektive liefern.
Im Durchschnitt verarbeiten wir 71 Millionen HTTP-Anfragen pro Sekunde und 44 Millionen DNS-Anfragen pro Sekunde. Dieses Datenverkehrsvolumen liefert uns wertvolle Einblicke und einen umfassenden Überblick über aktuelle (Echtzeit-)Bedrohungen. Die neue Plattform für Bedrohungsereignisse nutzt die Erkenntnisse aus diesem Traffic, um einen umfassenden Echtzeit-Überblick über die Bedrohungsaktivitäten im Internet zu bieten, und ermöglicht es Cloudforce One-Kunden, ihre Assets besser zu schützen und auf neue Bedrohungen zu reagieren.
Wie wir die Plattform für Bedrohungsereignisse aufgebaut haben und die Traffic-Erkenntnisse von Cloudflare nutzen
Die schiere Menge an Bedrohungsaktivitäten, die im gesamten Netzwerk von Cloudflare beobachtet werden, würde jeden System- oder SOC-Analysten überfordern. Stattdessen kuratieren wir diese Aktivitäten zu einem Strom von Ereignissen, die nicht nur Indikatoren einer Kompromittierung (Indicators of Compromise – IOC) sondern auch den Kontext enthalten. Das erleichtert es, auf der Grundlage der einzigartigen Daten von Cloudflare Maßnahmen zu ergreifen. Zum Auftakt stellen wir Ereignisse im Zusammenhang mit Denial-of-Service (DOS)-Angriffen vor, die in unserem Netzwerk beobachtet wurden, sowie die fortgeschrittenen Bedrohungsoperationen, die von unserem Cloudforce One Intelligence-Team verfolgt werden, wie etwa die verschiedenen Tools, Techniken und Verfahren, die von den von uns verfolgten Bedrohungsakteuren eingesetzt werden. Wir haben die Ereignisse dem MITRE ATT&CK-Framework und den Phasen der Cyber-Kill-Chain zugeordnet. In Zukunft werden wir Ereignisse im Zusammenhang mit Datenverkehr hinzufügen, der durch unsere Web Application Firewall (WAF), Zero Trust-Gateway, Zero Trust-Email Security Business Email Compromise und viele andere Cloudflare-eigene Datensätze blockiert wird. Zusammengenommen bieten diese Ereignisse unseren Kunden einen detaillierten Überblick über die Bedrohungsaktivitäten im Internet.
Jedes Ereignis in unseren Bedrohungsereignissen fasst spezifische Bedrohungsaktivitäten zusammen, die wir beobachtet haben, ähnlich wie bei einem STIX2-Sichtungsobjekt, und bietet Kontextinformationen in seiner Zusammenfassung, detaillierten Ansicht und über die Zuordnung zu den MITRE ATT&Ck- und KillChain-Phasen. Einen Beispieleintrag finden Sie in der API-Dokumentation.
Unser Ziel ist es, Kunden durch die Bereitstellung wichtiger Informationen, die es ihnen ermöglichen, sowohl allgemeine als auch spezifische Fragen zu Bedrohungen, die auf ihr Unternehmen abzielen, zu untersuchen und zu beantworten, ein besseres Verständnis der Bedrohungslandschaft zu vermitteln. Zum Beispiel:
Wer hat es auf meine Branche abgesehen?
Wer nimmt mein Land ins Visier?
Anhand welcher Indikatoren kann ich Angriffe auf meine Branchen blockieren?
Was hat ein Angreifer über einen längeren Zeitraum hinweg in der Kill Chain getan?
Jedes Ereignis hat eine eindeutige Kennung, die es mit den identifizierten Bedrohungsaktivitäten verbindet. So können unsere Cloudforce One-Bedrohungsanalysten bei Folgeuntersuchungen zusätzliche Kontextinformationen bereitstellen.
So haben wir die Plattform für Bedrohungsereignisse mit Cloudflare Workers entwickelt
Wir haben uns entschieden, die Entwicklungsplattform von Cloudflare für die Entwicklung der Plattform für Bedrohungsereignisse zu entwickeln, da wir so die Vielseitigkeit und nahtlose Integration von Cloudflare Workers nutzen konnten. Im Kern ist die Plattform ein Cloudflare Worker, der SQLite-gestützte Durable Objects verwendet, um Ereignisse zu speichern, die im Cloudflare-Netzwerk beobachtet werden. Wir haben uns für Durable Objects anstelle von D1, der Serverless SQL-Datenbanklösung von Cloudflare, entschieden, da wir damit SQL-Tabellen zur Speicherung einzigartig anpassbarer Datensätze erstellen können. Durch diese Speicherung von Datensätzen können Bedrohungsereignisse in unserem gesamten Netzwerk skaliert werden, sodass wir gegen Datenspitzen gewappnet sind, die mit der Unvorhersehbarkeit von Angriffen im Internet korrelieren könnten. Außerdem können wir damit Vorfälle nach Datenquelle kontrollieren, Teildatensätze mit vertrauenswürdigen Partnern teilen oder den Zugriff auf autorisierte Nutzer beschränken. Schließlich werden die Metadaten für jedes einzelne Bedrohungsereignis in der Durable Object KV gespeichert, sodass wir kontextbezogene Daten über unsere festen, durchsuchbaren Felder hinaus speichern können. Diese Daten können in Form von Anfragen pro Sekunde für unsere Denial-of-Service-Vorfälle vorliegen oder Informationen liefern, damit die Analysten von Cloudforce One den Vorfall der genauen Bedrohung für eine weitere Untersuchung zuordnen können.
So können Sie Bedrohungsereignisse nutzen
Cloudforce One-Kunden können über das Cloudflare-Dashboard im Security Center oder über die Cloudforce One-API für Bedrohungsereignisse auf Bedrohungsereignisse zugreifen. Jede von ihnen zeigt die Bedrohungsaktivitäten im Internet aus Sicht von Cloudflare auf und ist durch benutzerdefinierte Filter anpassbar.
Im Cloudflare-Dashboard haben Nutzer Zugriff auf eine „Attacker Timelapse“-Ansicht, die strategische Fragen beantwortet, sowie eine detailliertere Ereignistabelle, um die Details des Angriffs zu untersuchen. Dieser Ansatz stellt sicher, dass die Benutzer die wichtigsten Informationen parat haben.
Ereignis-Tabelle
Die Ereignistabelle ist eine Detailansicht im Security Center, in der Nutzer bestimmte Bedrohungsaktivitäten gefiltert nach verschiedenen Kriterien untersuchen können. Hier können Nutzer mit Hilfe der Traffic-Erkenntnisse von Cloudflare bestimmte Bedrohungsereignisse und feindliche Kampagnen untersuchen. Am wichtigsten ist jedoch, dass diese Tabelle unseren Nutzern verwertbare Indikatoren einer Kompromittierung und eine Zusammenfassung des Ereignisses bietet, damit sie ihre Dienste richtig verteidigen können. Alle Daten, die in unserer Ereignistabelle verfügbar sind, sind auch über die Cloudforce One-API für Bedrohungsereignisse zugänglich.
Um die Auswirkungen von Bedrohungsereignissen zu verdeutlichen, wollen wir uns einen Fall aus der Praxis ansehen:
Kürzlich geleakte Chats des Verbrecherunternehmens Black Basta enthüllten Details über deren Opfer, Methoden und Infrastrukturkäufe. Wir können zwar nicht bestätigen, ob die geleakten Chats in irgendeiner Weise manipuliert wurden, aber die in den Chats besprochene Infrastruktur war einfach zu verifizieren. Infolgedessen sind diese Bedrohungsdaten jetzt als Ereignisse in den Bedrohungsereignissen verfügbar, zusammen mit zusätzlichem einzigartigem Cloudflare-Kontext.
Analysten, die nach Domains, Hosts und Dateiproben suchen, die von Black Basta verwendet werden, können die Bedrohungsereignisse nutzen, um wertvolle Einblicke in die Aktivitäten dieser Bedrohungsakteure zu gewinnen. In der Benutzeroberfläche für Bedrohungsereignisse kann ein Benutzer unter anderem die Spalte „Angreifer“ („Attacker“) filtern, indem er im Dropdown-Menü „BlackBasta“ auswählt, wie in der Abbildung unten zu sehen ist. Dadurch erhalten Sie eine kuratierte Liste verifizierter IP-Adressen, Domains und Datei-Hashes für weitere Untersuchungen. Ausführlichere Informationen über den einzigartigen Einblick, den Cloudflare in die Bedrohungsaktivitäten von Black Basta erhält, finden Sie unter Black Bastas Fehler: Ausnutzung der geleakten Chats der Bande.
Warum wir Bedrohungsereignisse veröffentlichen
Unsere Kunden sind mit einer Vielzahl von Cyberbedrohungen konfrontiert, die Betriebsabläufe stören und sensible Daten gefährden können. Da die Gegner immer raffinierter werden, ist der Bedarf an zeitnahen und relevanten Bedrohungsinformationen so hoch wie nie zuvor. Deshalb führen wir Bedrohungsereignisse ein, die tiefere Einblicke in diese Bedrohungen bieten.
Die Plattform für Bedrohungsereignisse soll diese Lücke schließen, indem sie eine detailliertere und kontextualisierte Ansicht der laufenden Bedrohungsaktivitäten bietet. Diese Funktion erlaubt es Analysten, Vorfälle selbstständig durch anpassbare Filter zu untersuchen, sodass sie Muster erkennen und effektiv reagieren können. Durch den Zugriff auf Echtzeit-Bedrohungsdaten versetzen wir Unternehmen in die Lage, fundierte Entscheidungen über ihre Sicherheitsstrategien zu treffen.
Um den Wert unserer Plattform für Bedrohungsereignisse zu überprüfen, haben wir es von dem Threat Intelligence-Team eines Fortune 20-Unternehmens auf Herz und Nieren prüfen lassen. Sie führten eine Analyse anhand von 110 anderen Quellen durch, und wir wurden als ihre Nummer 1 unter den Quellen für Bedrohungsinformationen eingestuft. Sie fanden, dass wir im Bereich der Bedrohungsanalyse „tatsächlich ein Unicorn“ sind. Es ist noch zu früh, aber die ersten Rückmeldungen bestätigen, dass unsere Informationen nicht nur einzigartig sind, sondern auch einen außergewöhnlichen Mehrwert für die Verteidiger bieten.
Was steht als Nächstes an?
Cloudforce One-Kunden haben jetzt Zugriff auf unsere API und unser Dashboard, was eine nahtlose Integration von Bedrohungsdaten in ihre bestehenden Systeme ermöglicht. Gleichzeitig werden sie in Kürze auch Zugriff auf mehr Visualisierungsmethoden und Analysen der Bedrohungsereignisse erhalten, um ihre Erkenntnisse besser zu verstehen und darüber zu berichten. Diese kommende Benutzeroberfläche wird verbesserte Visualisierungen von Angreiferzeitplänen, Kampagnenübersichten und Angriffsdiagrammen enthalten und noch tiefere Einblicke in die Bedrohungen bieten, denen Ihre Organisation ausgesetzt ist. Darüber hinaus werden wir die Möglichkeit der Integration in bestehende SIEM-Plattformen und des systemübergreifenden Austauschs von Indikatoren hinzufügen.
Lesen Sie hier mehr über die von unserem Team veröffentlichten Forschungsergebnisse zu Bedrohungsdaten oder wenden Sie sich an Ihr Kundenteam, um zu erfahren, wie Sie unsere neuen Bedrohungsereignisse zur Verbesserung Ihrer Cybersicherheit nutzen können.