Suscríbete para recibir notificaciones de nuevas publicaciones:

Nuevas fuentes de información del WAF

07/07/2022

5 min de lectura
New WAF intelligence feeds

Aumentamos las capacidades de información de amenazas de nuestro WAF con cuatro nuevas listas de IP administradas que se pueden utilizar como parte de cualquier regla de firewall personalizada.

Cloudflare crea y mantiene listas administradas que se crean sobre la base de la información sobre amenazas recopilada mediante el análisis de patrones y tendencias observados en Internet. Los clientes Enterprise ya pueden utilizar la lista de proxies de Open SOCKS (lanzada en marzo de 2021) y hoy añadimos cuatro nuevas listas de IP: "VPN", "Botnets, Servidores de mando y control", "Malware" y "Anonimizadores".

You can check what rules are available in your plan by navigating to Manage Account -> Configuration -> Lists.
Puedes comprobar qué reglas están disponibles en tu plan en el menú Gestionar cuenta → Configuración → Listas.

Los clientes pueden hacer referencia a estas listas creando una regla de firewall personalizada o en limitación de velocidad avanzada. Por ejemplo, puedes elegir bloquear todo el tráfico generado por las direcciones IP que clasificamos como VPN, o limitar el tráfico generado por todos los anonimizadores. Puedes incorporar simplemente listas de direcciones IP administradas en el potente generador de reglas de firewall. Por supuesto, también puedes utilizar tu propia lista de direcciones IP personalizada.

Managed IP Lists can be used in WAF rules to manage incoming traffic from these IPs.
Las listas de IP administradas se pueden utilizar en las reglas del WAF para gestionar el tráfico entrante procedente de estas IP.

¿De dónde proceden estas fuentes?

Estas listas se basan en las fuentes de información sobre amenazas generadas por Cloudflare, que están disponibles como listas de IP que usa el WAF de manera muy sencilla. Cada IP se clasifica combinando datos de código abierto, así como analizando el comportamiento de cada IP aprovechando la escala y el alcance de la red de Cloudflare. Después de incluir una dirección IP en una de estas fuentes, verificamos su clasificación y volvemos a introducir esta información en nuestros sistemas de seguridad y la ponemos a disposición de nuestros clientes en forma de lista de direcciones IP administradas. El contenido de cada lista se actualiza varias veces al día.

Además de generar clasificaciones de direcciones IP basadas en los datos internos de Cloudflare, seleccionamos y combinamos varias fuentes de datos que creemos que proporcionan una cobertura fiable de las amenazas de seguridad activas con una baja tasa de falsos positivos. En el entorno actual, una dirección IP perteneciente a un proveedor de nube podría estar hoy distribuyendo malware, pero mañana podría ser un recurso crítico para tu empresa.

Algunas clasificaciones de direcciones IP están disponibles públicamente, los datos OSINT, por ejemplo los nodos de salida de Tor, y Cloudflare se encarga de integrarlas en nuestra lista de anonimizadores para que no tengas que gestionar la integración de esta lista en cada activo de tu red. Otras clasificaciones se determinan o investigan mediante diversas técnicas de DNS, como la búsqueda, la búsqueda de registros PTR y la comprobación de DNS pasivo desde la red de Cloudflare.

Nuestras listas, que se centran en el malware y el mando y control, se generan a partir de asociaciones seleccionadas. Un tipo de dirección IP al que nos dirigimos cuando seleccionamos socios son las fuentes de datos que identifican las amenazas a la seguridad que no tienen registros DNS asociados.

Nuestra lista de anonimizadores abarca varios tipos de servicios que realizan la anonimización, como las VPN, los proxies abiertos y los nodos Tor. Es un supraconjunto de la lista de VPN más focalizada (nodos VPN comerciales conocidos), y de la lista de proxies abiertos de Cloudflare (proxies que retransmiten el tráfico sin requerir autenticación).

En las anotaciones de direcciones IP del panel de control

Utilizar estas listas para implementar una política de seguridad preventiva para estas direcciones IP es genial, pero ¿qué te parecería saber si una dirección IP que está interactuando con tu sitio web o aplicación forma parte de una botnet o una VPN? Primero anunciamos la información contextual para los anonimizadores en el marco de la Semana de la seguridad 2022, pero ahora cerramos el círculo ampliando esta función para cubrir todas las listas nuevas.

Como parte de la información sobre amenazas de Cloudflare, presentamos la categoría de IP directamente en el panel de control. Digamos que estás investigando solicitudes que bloqueó el WAF y que parecían estar explorando tu aplicación en busca de vulnerabilidades de software conocidas. Si la dirección IP de origen de estas solicitudes coincide con una de nuestras fuentes (por ejemplo, parte de una VPN), la información contextual aparecerá directamente en la página de análisis.

When the source IP of a WAF event matches one of the threat feeds, we provide contextual information directly onto the Cloudflare dashboard.
Cuando la dirección IP de origen de un evento del WAF coincide con una de las fuentes de amenazas, proporcionamos información contextual directamente en el panel de control de Cloudflare.

Esta información puede ayudarte a ver patrones y a decidir si necesitas utilizar las listas administradas para gestionar el tráfico de estas direcciones IP de una manera concreta, por ejemplo, creando una regla de limitación de velocidad que reduzca la cantidad de solicitudes que estos ciberdelincuentes pueden realizar durante un periodo de tiempo.

¿Quién puede beneficiarse?

La siguiente tabla resume qué planes tienen acceso a cada una de estas funciones. Todos los planes de pago tendrán acceso a la información contextual en el panel de control, pero los clientes del plan Enterprise podrán utilizar diferentes listas administradas. Las listas administradas solo se pueden utilizar en las zonas Enterprise dentro de una cuenta Enterprise.

GRATUITO PRO BIZ ENT ENT AVANZADO *
Anotaciones x
Proxies abiertos x x x
Anonimizadores x x x x
VPN x x x x
Botnet, mando y control x x x x
Malware x x x x

* Ponte en contacto con tu gerente de Customer Success si deseas obtener más información.

Próximas versiones

Estamos trabajando para enriquecer aún más nuestras fuentes de amenazas. En los próximos meses vamos a proporcionar más listas de IP, concretamente estamos estudiando listas para proveedores de nube y para GC-NAT (Carrier-grade Network Address Translation).

Protegemos redes corporativas completas, ayudamos a los clientes a desarrollar aplicaciones web de forma eficiente, aceleramos cualquier sitio o aplicación web, prevenimos contra los ataques DDoS, mantenemos a raya a los hackers, y podemos ayudarte en tu recorrido hacia la seguridad Zero Trust.

Visita 1.1.1.1 desde cualquier dispositivo para empezar a usar nuestra aplicación gratuita y beneficiarte de una navegación más rápida y segura.

Para saber más sobre nuestra misión para ayudar a mejorar Internet, empieza aquí. Si estás buscando un nuevo rumbo profesional, consulta nuestras ofertas de empleo.
EspañolWAF (ES)Product News (ES)

Síguenos en X

Cloudflare|@cloudflare

Publicaciones relacionadas

05 de junio de 2024, 13:00

Elecciones europeas 2024: cómo garantizar los procesos democráticos a tenor de las nuevas amenazas

Entre el 6 y el 9 de junio, cientos de millones de ciudadanos de la UE votarán para elegir a sus representantes en el Parlamento Europeo. Todos los Estados miembros de la UE tienen diferentes procesos electorales, instituciones y métodos, y los riesgos para la seguridad son importantes...

22 de mayo de 2024, 13:00

AI Gateway, interfaz unificada para gestionar y escalar tus cargas de trabajo de IA generativa, ya disponible de forma general

AI Gateway es una plataforma de operaciones de IA que mejora la velocidad, la fiabilidad y la observabilidad de tus aplicaciones de IA. Con una sola línea de código, puedes acceder a funciones eficaces como la limitación de velocidad, el almacenamiento en caché personalizado, los registros...