Investigating threats using the Cloudflare Security Center

Cloudflare bloquea un importante volumen de amenazas a la seguridad, y algunos de los ataques más interesantes se dirigen al "contenido especializado" (long tail) de millones de propiedades de Internet que protegemos. Los datos que obtenemos de estos ataques entrenan nuestros modelos de aprendizaje automático y mejoran la eficacia de nuestros productos de seguridad de redes y aplicaciones, pero nunca se han podido consultar de manera directa. Esta semana, deja de ser así.

Todos los clientes tendrán acceso en breve a Investigate, nuestro nuevo portal de análisis de amenazas que se encuentra en el Centro de seguridad de Cloudflare (que lanzamos en diciembre de 2021). Además, anotaremos las amenazas con esta información en nuestra plataforma de análisis para agilizar los flujos de trabajo de seguridad y reforzar las vías de respuesta.

¿Qué tipo de datos puedes buscar en el portal? Supongamos que ves una dirección IP en tus registros y quieres saber qué nombres de servidor han apuntado a ella a través de DNS, o que observas un grupo de ataques procedentes de un sistema autónomo (AS) con el que no estás familiarizado. O tal vez, quieras investigar un nombre de dominio para ver cómo se ha clasificado desde el punto de vista de las amenazas. Simplemente tienes que escribir cualquiera de estos puntos en el cuadro de búsqueda omnicanal y te informaremos de todo lo que sabemos.

Desde esta semana, podrás consultar las direcciones IP y los nombres de servidores, y próximamente estarán disponibles los detalles del AS para que puedas conocer las redes que se comunican con tus cuentas de Cloudflare. El mes que viene, añadiremos tipos de datos y propiedades cuando el portal esté disponible de forma general. Las integraciones con nuestros socios te permitirán utilizar tus claves de licencia existentes para ver todos tus datos sobre amenazas en una sola interfaz unificada. También planeamos mostrar cómo tu infraestructura y usuarios corporativos están interactuando con cualquier objeto que estés buscando. Por ejemplo, puedes ver cuántas veces una dirección IP activa una regla del WAF o API Shield, o cuántas veces tus usuarios intentaron resolver un dominio que se sabe que difunde malware.

Anotaciones en el panel de control: información práctica en contexto

Consultar los datos de las amenazas de forma ad hoc está muy bien, pero es mejor cuando esos datos se anotan directamente en los registros y los análisis. A partir de esta semana, comenzaremos a ampliar la información disponible en Investigate en el panel de control, donde sea relevante para tu flujo de trabajo. Comenzaremos con los análisis del firewall de aplicaciones web de los sitios web que protegemos.

Supongamos que estás investigando una alerta de seguridad para un gran número de solicitudes bloqueadas por una regla de firewall de aplicaciones web. Es posible que veas que la activación de la alerta responda a una dirección IP que explora tu sitio web en busca de vulnerabilidades de software comúnmente explotadas. Si la dirección IP en cuestión fuera una dirección IP virtual o estuviera marcada como anonimizador, la información contextual mostrará esa información directamente en la página de análisis.

Este contexto puede ayudarte a observar patrones. ¿Proceden los ataques de anonimizadores, de la red Tor o de máquinas virtuales en la nube? Una dirección IP es solo una dirección IP. Sin embargo, ver un ataque de relleno de credenciales procedente de anonimizadores es un patrón que permite responder de manera proactiva: "¿Está actualizada la configuración de mi herramienta de gestión de bots?"

Analytics view of top events showing requests coming from anonymizer

Posición estratégica de la red de Cloudflare y cómo beneficia a nuestros datos

La escala a la que opera cada conjunto de productos en Cloudflare es asombrosa. En su punto álgido, Cloudflare gestiona 44 millones de solicitudes HTTP por segundo procedentes de más de 250 ciudades en más de 100 países. La red de Cloudflare responde a más de 1,2 billones de consultas DNS al día, y tiene una capacidad de 121 TB/s para servir tráfico y mitigar ataques de denegación de servicio con todos los productos. Pero, además de esta escala inmensa, la arquitectura de Cloudflare permite perfeccionar los datos en bruto y combinar la información de todos nuestros productos para obtener una visión global del panorama de la seguridad.

Podemos obtener señales precisas de los datos brutos generados por cada producto y combinarlas con señales de otros productos y funciones para mejorar nuestras capacidades de datos de redes y amenazas. Desarrollar productos de seguridad que tengan un efecto volante positivo entre los usuarios de los productos es un paradigma común. Si un cliente observa malware, un proveedor de soluciones de protección de puntos de conexión puede implementar una actualización que lo detectará y bloqueará para el resto de sus clientes. Si una botnet ataca a un cliente, esa información se puede utilizar para encontrar la firma de esa botnet y proteger a otros clientes. De la misma manera, si un dispositivo participa en un ataque DDoS, esa información se utilizará para que la red pueda detectar y mitigar más rápidamente futuros ataques DDoS. Nuestra variedad de productos permite que no solo aumenten los beneficios del efecto volante entre usuarios, sino también entre productos.

Veamos algunos ejemplos:

Resolución de DNS y transparencia de certificados

En primer lugar, Cloudflare opera uno de los mayores solucionadores de DNS recursivos del mundo, 1.1.1.1. Funciona de forma privada, por lo que en Cloudflare no sabemos quién o qué dirección IP ha realizado una consulta, ni podemos correlacionar las consultas con distintos usuarios anónimos. Sin embargo, a través de las solicitudes que gestiona el solucionador, Cloudflare observa los últimos dominios registrados y visitados. Además, tenemos uno de los productos de cifrado SSL/TLS más avanzados del mercado, y por eso somos una organización miembro que ayuda a mantener los registros de Transparencia de certificados. Estos son registros públicos de cada certificado TLS emitido por una autoridad de certificación raíz en la que confían los navegadores web. Estos dos productos permiten a Cloudflare tener una visión inigualable de los dominios que hay en Internet y de cuándo se activan. Utilizamos esta información no solo para incluir nuestras categorías de dominios nuevos y recién visitados en nuestro producto Gateway, sino que entrenamos estos dominios con modelos de aprendizaje automático que identifican los dominios sospechosos o potencialmente maliciosos en las primeras etapas de su ciclo de vida.

Seguridad del correo electrónico

Por mencionar otro ejemplo, con la adquisición de Area 1, Cloudflare incorporará a su cartera de productos un nuevo conjunto de capacidades que se refuerzan entre sí. Todas las señales que podemos generar para un dominio desde nuestro solucionador 1.1.1.1 estarán disponibles para ayudar a identificar el correo electrónico malicioso. Además, la trayectoria de Area 1 en la identificación de correo electrónico malicioso se podrá integrar en nuestro producto Gateway y en el solucionador de DNS 1.1.1.1. para familias. En el pasado, los equipos de informática o seguridad serían los encargados de realizar integraciones de datos como esta. En cambio, los datos podrán fluir ahora entre los puntos de la superficie de ataque de tu organización de manera eficiente, reforzando mutuamente la calidad del análisis y la clasificación. Se podrá usar todo el conjunto de herramientas de Cloudflare Zero Trust, incluido el registro de solicitudes, el bloqueo y el aislamiento del navegador remoto, para gestionar los enlaces potencialmente maliciosos enviados a través del correo electrónico, utilizando las mismas políticas que ya se aplican para otros riesgos de seguridad.

En los últimos años, Cloudflare ha integrado el uso del aprendizaje automático en muchos de nuestros productos, pero hoy hemos lanzado una nueva herramienta que también deja en manos de nuestros clientes los datos y las señales que activan nuestra seguridad de red. Ahora, tú, como usuario, también puedes ser parte de la red de Cloudflare, ya sea respondiendo a incidentes de seguridad, buscando amenazas o estableciendo proactivamente políticas de seguridad para proteger tu organización. La posición privilegiada de Cloudflare en la red permite que tu información se pueda utilizar en la red para proteger no solo a tu organización a través de todos los productos de Cloudflare que utilizas, sino participar en el enriquecimiento y protección mutua junto con todos los clientes de Cloudflare.

Perspectivas

Cloudflare puede cubrir toda la superficie de ataque de tu organización, protegiendo los sitios web, los dispositivos y las aplicaciones SaaS con Cloudflare Zero Trust, tus ubicaciones y oficinas con Magic Transit, y tus comunicaciones por correo electrónico. La misión del Centro de seguridad es garantizar que tienes toda la información que necesitas para entender los riesgos de ciberseguridad de hoy día, y ayudarte a proteger tu organización con Cloudflare.

"¿Qué es el malware Wiper que sale en las noticias y cómo puedo proteger a mi empresa?" Te escuchamos, y vamos a responderte, no solo con información útil, sino que te haremos partícipe de lo qué es relevante para ti y el uso que haces de Internet. Tenemos grandes planes para el Centro de seguridad. Un portal de análisis de archivos que te facilitará información sobre archivos JavaScript vistos por Page Shield, archivos ejecutables analizados por Gateway y la posibilidad de cargar y analizar archivos. Los indicadores de riesgo, como las direcciones IP y los dominios, se enlazarán con información sobre los actores de la amenaza en cuestión, cuando se conozcan, lo que te proporcionará más información sobre las técnicas y tácticas a las que te enfrentas, así como información sobre cómo puedes utilizar los productos de Cloudflare para protegerte. La búsqueda por vulnerabilidades y exposiciones comunes (CVE) te permitirá encontrar información sobre vulnerabilidades de software con la misma facilidad con la que estás acostumbrado a leer nuestro blog, que te ayuda a entender la jerga y el lenguaje técnico. El lanzamiento de hoy es solo el principio.