Una aplicación que redirecciona el tráfico mediante proxy se beneficia de una amplia gama de funciones de seguridad fáciles de utilizar. Estas incluyen, entre otras, el WAF, la gestión de bots y la mitigación de DDoS. Para comprender si Cloudflare ha bloqueado el tráfico, hemos creado un eficaz panel de control de eventos de seguridad que te permite analizar los eventos de mitigación. A menudo, los propietarios de las aplicaciones se preguntan qué le ha sucedido a su otro tráfico. ¿Bloquearon todo el tráfico que se detectó como malicioso?
Hoy, junto con nuestro anuncio de la puntuación de ataque del WAF, presentamos también nuestros nuevos análisis de seguridad.
Extracto: Los análisis de seguridad te proporcionan una panorámica detallada de todo tu tráfico HTTP, no solo de las solicitudes mitigadas. De esta forma, puedes centrarte en lo más importante: el tráfico que se considera malicioso pero que podría no haberse mitigado.
Detectar y luego mitigar
Imagina que acabas de incorporar tu aplicación en Cloudflare y, sin ningún esfuerzo adicional, la red de Cloudflare analiza cada solicitud HTTP. Por lo tanto, los análisis se enriquecen con análisis de ataques, análisis de bots y otras señales de seguridad que proporciona Cloudflare.
De forma inmediata, sin riesgo de causar falsos positivos, puedes ver la totalidad de tu tráfico para descubrir qué está sucediendo, cuándo y dónde.
Esto te permite profundizar en el análisis de los resultados de estas señales, así como reducir el tiempo necesario para implementar las mitigaciones de los bloqueos activos y mejorar tu confianza en la toma de decisiones.
Denominamos a este enfoque "detectar y luego mitigar" y ya hemos recibido opiniones muy positivas de los clientes que tuvieron acceso anticipado a él.
De hecho, durante los dos últimos años, la gestión de bots de Cloudflare ha utilizado este modelo. Escuchamos continuamente a nuestros clientes decir que, con una mayor visibilidad, aumentaría su confianza en nuestra solución de puntuación de bots. Para respaldar aún más esta nueva forma de proteger tus aplicaciones web y de unificar todas nuestras señales inteligentes, hemos diseñado y desarrollado los nuevos análisis de seguridad. Estos análisis, de acuerdo con este modelo, empiezan obteniendo las señales del WAF y de otros productos de seguridad.
Nuevos análisis de seguridad
Desarrollados a partir del éxito de nuestras experiencias de análisis, los nuevos análisis de seguridad utilizan los componentes existentes, tales como las estadísticas principales y los filtros rápidos según contexto, con un nuevo diseño de página que permite realizar rápidamente la exploración y validación. En las secciones siguientes desglosaremos este nuevo diseño de nueva que conforma un flujo de trabajo de alto nivel.
La diferencia principal entre los análisis de seguridad y los eventos de seguridad es que los primeros se basan en las solicitudes HTTP y su visibilidad abarca el tráfico de todo el sitio. Por el contrario, los eventos de seguridad utilizan un conjunto de datos distinto que muestra cada vez que se produce una coincidencia con una regla de seguridad activa.
Definir un foco
Los nuevos análisis de seguridad visualizan el conjunto de datos de la muestra de solicitudes HTTP para toda tu aplicación, al igual que los análisis de bots. Al validar el modelo "detectar y luego mitigar" con un grupo de clientes seleccionados, observamos un comportamiento común: utilizar las estadísticas de los N principales para acotar rápidamente la búsqueda a las anomalías más evidentes o a determinados componentes de la aplicación. En función de esta información, la página empieza con las estadísticas de los N principales seleccionados, que abarcan tanto los orígenes como los destinos de las solicitudes, y permite ampliar la visualización a todas las estadísticas disponibles. Preguntas del tipo "¿Cuál es el nivel de protección del área de administración de mi aplicación?” se resuelven con uno o dos clics del filtro rápido en esta área.
Detectar anomalías en las tendencias
Una vez que se ha definido un foco preliminar, el núcleo de la interfaz está dedicado a trazar las tendencias a lo largo del tiempo. El gráfico de series temporales ha resultado ser una herramienta eficaz para detectar anomalías del tráfico, y también posibilita el trazado según otros criterios. Cada vez que aparece un pico de tráfico, es posible que haya tenido lugar un ataque o un intento de ataque.
Como he mencionado anteriormente, a diferencia de los eventos de seguridad, el conjunto de datos utilizado en esta página está formado por las solicitudes HTTP. Estas incluyen tanto las solicitudes mitigadas como las no mitigadas. Cuando aquí nos referimos a solicitudes mitigadas, queremos decir "cualquier solicitud HTTP a la que la plataforma de Cloudflare haya aplicado una acción de terminación". Las demás solicitudes, las que no se han mitigado, las proporciona la caché de Cloudflare o están llegando al origen. En el caso, por ejemplo, de que aparezca un pico en las solicitudes no mitigadas pero una línea plana en las solicitudes mitigadas, podríamos suponer que se ha producido un ataque que no coincidía con ninguna regla del WAF activa. En este ejemplo, puedes hacer clic para filtrar por las solicitudes no mitigadas directamente en el gráfico. Esto actualizará todos los datos visualizados en esta página para que puedas seguir investigando.
Además del trazado por defecto de las solicitudes mitigadas y no mitigadas, también puedes optar por trazar las tendencias de los análisis de ataques o de los análisis de bots. Esto te permite detectar anomalías en busca de comportamientos de ataques o de bots.
Mayor detalle con las señales de análisis
Una de las señales de los análisis que más les gustan a nuestros clientes, y en las que más confían, es la puntuación de bots. Con la última adición de la puntuación de ataque del WAF y la exploración de contenido, unificamos estas funciones en una única página de análisis. Esto te ayudará a detallar más en tu tráfico según algunas de estas señales. La combinación de estas señales te permite encontrar respuestas en caso de situaciones para las que antes era imposible:
- Solicitudes de ataque realizadas por fuentes automatizadas (determinadas)
- Posibles solicitudes de ataque realizadas por humanos
- Contenido subido con/sin contenido malicioso creado por bots
Cuando filtramos en función de una situación determinada, la visualización de los datos de toda la página se actualizará. Esto incluye las estadísticas de los N principales, la tendencia de las solicitudes HTTP y la muestra del registro. Esto te permite detectar cualquier anomalía en las estadísticas de los N principales o en la tendencia de las solicitudes HTTP basada en el tiempo.
Consultar la muestra de registros
Al detallar más en un componente específico del tráfico que podría presentar una anomalía, la muestra de registros proporciona una vista detallada para que puedas verificar tus hallazgos para cada solicitud HTTP. Para analizar los datos de uso de estos registros visualizados en los eventos de seguridad, este paso es esencial en un flujo de trabajo de estudio de la seguridad respaldado por una alta tasa de interacción. A medida que añadimos más datos a cada una de las entradas de registro, la vista ampliada del registro cada vez cuesta más de leer. Por lo tanto, hemos rediseñado la vista ampliada. Para empezar, hemos modificado cómo Cloudflare ha respondido a una solicitud, después nuestras señales de análisis y, por último, los componentes principales de la propia solicitud sin procesar. Al revisar estos detalles, validas tu hipótesis de una posible anomalía, y si se requiere alguna acción de mitigación.
Información útil para empezar
Al probar el prototipo de este panel de control de análisis a nivel interno, descubrimos que el poder de la flexibilidad acelera la curva de aprendizaje. Para ayudarte a empezar a dominar la flexibilidad, hemos diseñado un útil panel de información. Esta se ha desarrollado para destacar perspectivas específicas en tu tráfico total. Con un solo clic en cualquier elemento de información, se aplica directamente un conjunto predefinido de filtros en el área del tráfico que te interesa. Desde aquí, puedes consultar la muestra de registros o bien seguir ajustando cualquiera de los filtros aplicados. Hemos probado este enfoque mediante estudios internos adicionales de un flujo de trabajo con un gran nivel de eficiencia. Este, en muchos casos, será tu punto de partida cuando utilices este panel de control.
¿Cómo puedo conseguirlo?
Los nuevos análisis de seguridad se están implementado en todos nuestros clientes del plan Enterprise que han adquirido los nuevos paquetes de seguridad básica o avanzada de las aplicaciones. Tenemos previsto implementarlos próximamente en todos los demás clientes. Esta nueva vista será adicional al panel de control existente de eventos de seguridad.
¿Y ahora qué?
Nos encontramos aún en una etapa temprana de nuestra adopción del modelo "detectar y luego mitigar", que te proporcionará una mayor visibilidad y más información para proteger mejor tus aplicaciones web. Seguimos trabajando para activar más funciones de detección. No dudes en compartir tu opinión con nosotros para ayudarnos a mejorar la experiencia. Si estás interesado en el acceso anticipado, ponte en contacto con el equipo de tu cuenta para empezar.