En los últimos años, tanto Area 1 como Cloudflare han creado canalizaciones para el consumo de datos de indicadores de amenazas que se pueden utilizar en nuestros productos. Durante el proceso de adquisición, comparamos las anotaciones y nos dimos cuenta de que el solapamiento de los indicadores entre nuestros dos sistemas era menor de lo esperado. Esto nos brindó una oportunidad. Una de nuestras primeras tareas al unir las dos empresas ha sido incorporar los datos de los indicadores de amenazas de Area 1 al conjunto de productos de Cloudflare. Esto significa que todos los productos que usen hoy los datos de los indicadores de la propia canalización de Cloudflare se benefician también ahora de los datos de Area 1.
Area 1 diseñó una canalización de datos centrada en la identificación de amenazas de phishing nuevas y activas, que ahora complementa la categoría de phishing que está disponible actualmente en Gateway. Si cuentas con una política que haga referencia a esta categoría, ya te estás beneficiando de esta cobertura adicional ante amenazas.
Cómo identifica Cloudflare las posibles amenazas de phishing
Cloudflare es capaz de combinar los datos, procedimientos y técnicas que han desarrollado de forma independiente tanto el equipo de Cloudflare, como el equipo del Area 1 antes de la adquisición. Los clientes pueden beneficiarse del trabajo de ambos equipos en todo el conjunto de productos de Cloudflare.
Seleccionamos un conjunto de datos procedentes de nuestro propio tráfico de red, de fuentes OSINT y de numerosas asociaciones, y aplicamos un control de falsos positivos personalizado. Los clientes que confían en Cloudflare evitan tener que desarrollar software y la carga de trabajo operativa para distribuir y actualizar estas fuentes de información. Cloudflare se encarga de todo automáticamente, con actualizaciones frecuentes, en ocasiones cada minuto.
Cloudflare es capaz de ir más allá y trabajar para identificar proactivamente la infraestructura de phishing de múltiples maneras. Con la adquisición de Area 1, Cloudflare puede aplicar ahora el enfoque de investigación de amenazas centrado en el adversario de Area 1 en toda nuestra red. Un equipo de investigadores de amenazas rastrea a los ciberdelincuentes financiados por estados y con motivaciones de tipo financiero, las vulnerabilidades y exposiciones comunes (CVE) divulgadas recientemente y las tendencias actuales de phishing.
Cloudflare opera ahora servidores de intercambio de correo para cientos de organizaciones de todo el mundo, además de sus solucionadores de DNS, el paquete Zero Trust y servicios de red. Cada uno de estos productos genera datos que se utilizan para mejorar la seguridad de todos los productos de Cloudflare. Por ejemplo, como parte de la entrega de correo, el motor de correo lleva a cabo búsquedas de dominios, calcula posibles indicadores de phishing mediante aprendizaje automático y busca URL. Estos son datos que se pueden utilizar ahora con las soluciones de Cloudflare.
Cómo identifica Cloudflare Area 1 las posibles amenazas de phishing
El equipo de Cloudflare Area 1 opera un conjunto de herramientas de rastreo web diseñadas para identificar páginas de phishing, detener campañas de phishing y destacar la infraestructura de los atacantes. Además, los modelos de amenazas de Cloudflare Area 1 evalúan las campañas en base a las señales recopiladas de las campañas de ciberdelincuentes, y los indicadores de riesgos asociados de estos mensajes de campaña se utilizan también para enriquecer los datos de amenazas de Cloudflare Area 1 para la detección de campañas futuras. Estas técnicas en conjunto dan una ventaja a Cloudflare Area 1 a la hora de identificar los indicadores de riesgo que muestra un atacante antes de que se produzcan sus ataques contra nuestros clientes. Como parte de este enfoque proactivo, Cloudflare Area 1 también cuenta con un equipo de investigadores de amenazas que rastrea a los ciberdelincuentes financiados por estados y con motivaciones de tipo financiero, las CVE divulgadas recientemente y las tendencias actuales de phishing. Con este proceso de investigación, los analistas añaden con regularidad indicadores de phishing en un amplio sistema de gestión de indicadores, que se pueden utilizar para nuestro producto de correo electrónico o cualquier otro producto que pueda consultarlo.
Cloudflare Area 1 también recopila información sobre amenazas de phishing durante el funcionamiento normal que lleva a cabo como servidor de intercambio de correo para cientos de organizaciones de todo el mundo. Como parte de esa función, el motor de correo realiza búsquedas de dominios, calcula los posibles indicadores de phishing mediante aprendizaje automático y busca las URL. En el caso de los correos electrónicos que se consideren maliciosos, los indicadores asociados al correo electrónico se insertan en nuestro sistema de gestión de indicadores como parte de un bucle de comentarios que se utilizará para la posterior evaluación de los mensajes.
Cómo se utilizarán los datos de Cloudflare para mejorar la detección de phishing
Para admitir los productos de Cloudflare, incluidos Gateway y Page Shield, Cloudflare tiene una canalización de datos que ingiere datos de asociaciones, fuentes OSINT, además de información sobre amenazas que se ha generado de forma interna en Cloudflare. Siempre estamos trabajando para seleccionar un conjunto de información de inteligencia sobre amenazas que sea relevante para nuestros clientes y procesable en los productos que admite Cloudflare. Esta es lo que marca el camino que debemos seguir: qué datos podemos proporcionar que mejoren la seguridad de nuestros clientes sin exigirles que gestionen la complejidad de los datos, las relaciones y la configuración. Ofrecemos una variedad de categorías de amenazas a la seguridad, pero algunas de las principales áreas de enfoque incluyen:
- Distribución de malware
- Comando y control de malware y botnets
- Phishing
- Dominios nuevos y vistos recientemente
El phishing es una amenaza, independientemente de cómo entre en la organización el potencial enlace de phishing, ya sea por correo electrónico, SMS, invitación de calendario o documento compartido, o por cualquier otro medio. Por ello, la detección y el bloqueo de los dominios de phishing ha sido un área de desarrollo activo para el equipo de datos sobre amenazas de Cloudflare, casi desde que se creó.
De cara al futuro, podremos incorporar ese trabajo al proceso de detección de correos electrónicos de phishing de Cloudflare Area 1. La lista de dominios de phishing de Cloudflare puede ayudar a identificar correos electrónicos maliciosos cuando esos dominios aparecen en el remitente, los encabezados de entrega, el cuerpo del mensaje o los enlaces de un correo electrónico.
1+1 = 3: mayor intercambio de conjunto de datos entre Cloudflare y Area 1
Los ciberdelincuentes han tenido una ventaja injusta durante mucho tiempo, y esa ventaja se basa en que conocen su objetivo, y en el tiempo que tienen para establecer campañas específicas contra dichos objetivos. Esa dimensión de tiempo permite a ciberdelincuentes configurar la infraestructura adecuada, realizar operaciones de reconocimiento, organizar campañas, realizar sondeos de prueba, observar sus resultados, iterar, mejorar y luego lanzar sus campañas de "producción". Este preciso elemento de tiempo nos da la oportunidad de descubrir, evaluar y filtrar de forma proactiva la infraestructura de las campañas antes de que estas alcancen un punto crítico. Pero para hacerlo con eficacia, necesitamos visibilidad y conocimiento de la actividad de las amenazas en el espacio público de la IP.
Con la amplia red de Cloudflare y su conocimiento global de los orígenes del tráfico web, DNS o correo electrónico, combinados con los conjuntos de datos de Cloudflare Area 1 de tácticas, técnicas y procedimientos de las campañas, infraestructura de propagación y modelos de amenazas, ahora estamos mejor posicionados que nunca para ayudar a las organizaciones a protegerse contra las actividades complejas de los ciberdelincuentes, y a recuperar esa ventaja que por tanto tiempo ha estado de su lado.
Si quieres ampliar Zero Trust a tu seguridad de correo electrónico para bloquear las amenazas avanzadas, contacta con tu gestor de Customer Success, o solicita una evaluación de riesgo de phishing aquí.