Hoy en día, uno de los mayores desafíos que afrontan los responsables de la ciberseguridad es analizar las detecciones de las fuentes de indicadores de amenaza, que proporcionan metadatos sobre indicadores de riesgo (IOC) específicos, como las direcciones IP, los ASN, los dominios, las URL y los hash. A pesar de la multiplicación de las fuentes de indicadores de amenaza en el sector de la información sobre amenazas, la mayoría de ellas no contienen información contextual sobre por qué incluyen un indicador determinado. Otra limitación de la mayoría de las fuentes actuales es que se centran únicamente en los indicadores que se pueden bloquear y no pueden adaptarse fácilmente a casos más complejos, como una amenaza que explota una CVE o una amenaza interna. Este tipo de información compleja sobre amenazas solo se proporciona en los informes detallados. Sin embargo, estos conllevan sus propios desafíos, como el tiempo que requiere redactarlos y editarlos, lo que puede retrasar considerablemente la publicación a tiempo de la información sobre amenazas.
Para ayudarte a resolver estos desafíos, nos complace lanzar nuestra plataforma de eventos de amenazas para los clientes de Cloudforce One. Cada día, Cloudflare bloquea miles de millones de ciberamenazas. Esta nueva plataforma contiene datos contextuales sobre las amenazas que supervisamos y mitigamos en la red de Cloudflare, y está diseñada para proporcionar a los profesionales de la seguridad y a los responsables de la toma de decisiones información útil desde una perspectiva global.
De media, procesamos 71 millones de solicitudes HTTP por segundo y 44 millones de consultas DNS por segundo. Este volumen de tráfico nos proporciona información valiosa y una visión integral de las amenazas actuales (en tiempo real). La nueva plataforma de eventos de amenazas aprovecha la información sobre este tráfico para ofrecer una visión integral y en tiempo real de la actividad de las amenazas que se producen en Internet. Esto permite a los clientes de Cloudforce One proteger mejor sus activos y responder más eficazmente a las amenazas emergentes.
Desarrollo de la plataforma de eventos de amenazas a partir de la información sobre el tráfico de Cloudflare
El gran volumen de las actividades de amenazas observadas en la red de Cloudflare sobrecargaría a cualquier analista de sistemas o SOC. Por este motivo, organizamos esta actividad en una secuencia de eventos que incluyen no solo indicadores de riesgo (IOC), sino también el contexto, lo que facilita la adopción de medidas basadas en los datos únicos de Cloudflare. Para empezar, exponemos los eventos relacionados con los ataques de denegación de servicio (DOS) observados en nuestra red, junto con las operaciones de amenazas avanzadas identificadas por nuestro equipo de información de Cloudforce One, como la diversidad de herramientas, técnicas y procedimientos utilizados en las amenazas de las que estamos haciendo un seguimiento. Asignamos los eventos al marco MITRE ATT&CK y a las etapas de la cadena de eliminación de seguridad cibernética. En el futuro, añadiremos eventos relacionados con el tráfico bloqueado por nuestro firewall de aplicaciones web (WAF), Zero Trust Gateway, Zero Trust Email Security Business Email Compromise y muchos otros conjuntos de datos propios de Cloudflare. Juntos, estos eventos proporcionarán a nuestros clientes una visión detallada de la actividad de las amenazas que se producen en Internet.
Cada evento de nuestra lista de eventos de amenazas resume la actividad de amenaza específica que hemos observado, de forma similar a un objeto de avistamiento STIX2, y proporciona información contextual en su vista resumida, detallada y mediante la asignación a las etapas MITRE ATT&Ck y KillChain. Para ver una entrada de ejemplo, consulta la documentación de la API.
Nuestro objetivo es ayudar a los clientes a comprender mejor el panorama de las amenazas proporcionándoles información clave que les permita investigar y abordar cuestiones generales y específicas sobre las amenazas contra su organización. Por ejemplo:
¿Quiénes lanzan ataques contra mi vertical de negocio?
¿Quiénes lanzan ataques contra mi país?
¿Qué indicadores puedo utilizar para bloquear los ataques contra mis verticales?
¿Qué ha estado haciendo un ciberdelincuente en la cadena de eliminación de seguridad cibernética durante un periodo de tiempo?
Cada evento tiene un identificador único que lo vincula con la actividad de amenaza identificada, lo que permite a nuestros analistas de la información sobre amenazas de Cloudforce One proporcionar contexto adicional en las investigaciones posteriores.
Desarrollo de la plataforma de eventos de amenazas con Cloudflare Workers
Decidimos utilizar la plataforma para desarrolladores de Cloudflare para desarrollar la plataforma de eventos de amenazas, ya que nos permitía aprovechar la versatilidad y la perfecta integración de Cloudflare Workers. En esencia, la plataforma es un Cloudflare Worker que utiliza Durable Objects respaldado por SQLite para almacenar los eventos observados en la red de Cloudflare. Optamos por utilizar Durable Objects en lugar de D1, la solución de base de datos SQL sin servidor de Cloudflare, porque nos permite crear dinámicamente tablas SQL donde almacenar conjuntos de datos personalizables de forma única. Este método de almacenamiento de los conjuntos de datos permite que los eventos de amenazas se distribuyan en toda nuestra red, lo que nos ofrece resiliencia ante los picos de datos que podrían estar correlacionados con la naturaleza impredecible de los ataques en Internet. También nos permite controlar los eventos según la fuente de datos, compartir un subconjunto de los conjuntos de datos con socios de confianza o restringir el acceso solo a los usuarios autorizados. Por último, los metadatos de cada evento de amenaza individual se almacenan en Durable Object KV para que podamos almacenar los datos contextuales más allá de nuestros campos fijos de búsqueda. Estos datos pueden incluir desde el número de solicitudes por segundo en el caso de nuestros eventos de denegación de servicio hasta información que permita a los analistas de Cloudforce One vincular el evento a la actividad de amenaza exacta para una investigación más detallada.
Utilización de los eventos de amenazas
Los clientes de Cloudforce One pueden acceder a los eventos de amenazas a través del panel de control de Cloudflare en el Centro de seguridad o mediante la API de eventos de amenazas de Cloudforce One. Ambos exponen el flujo de actividad de amenaza que se produce en Internet tal y como lo ve Cloudflare, y se pueden personalizar mediante filtros definidos por el usuario.
En el panel de control de Cloudflare, los usuarios tienen acceso a una vista cronológica de las acciones del atacante, diseñada para responder a preguntas estratégicas, así como a una tabla de eventos más granular para acceder a información más detallada sobre el ataque. Este enfoque garantiza que los usuarios tengan la información más relevante al alcance de su mano.
Tabla de eventos
La tabla de eventos es una vista detallada del Centro de seguridad donde los usuarios pueden acceder a información más detallada sobre la actividad de amenaza específica filtrada según varios criterios. Aquí es donde los usuarios pueden explorar eventos de amenaza específicos y campañas de ciberdelincuentes utilizando la información del tráfico de Cloudflare. Y lo que es más importante, esta tabla proporcionará a nuestros usuarios indicadores de riesgo prácticos y un resumen de los eventos para que puedan proteger adecuadamente sus servicios. Todos los datos disponibles en nuestra tabla de eventos son igualmente accesibles a través de la API de eventos de amenazas de Cloudforce One.
Para mostrar la eficacia de los eventos de amenazas, analicemos un caso real:
Los chats filtrados recientemente de la organización criminal Black Basta expusieron detalles sobre sus víctimas, sus métodos y sus compras de infraestructura. Aunque no podemos confirmar si los chats filtrados fueron manipulados de alguna manera, pudimos verificar fácilmente la infraestructura mencionada en los chats. Como resultado, esta información sobre amenazas ahora está disponible como eventos en los eventos de amenazas, junto con un contexto adicional único de Cloudflare.
Los analistas que buscan dominios, hosts y muestras de archivos utilizados por Black Basta pueden aprovechar los eventos de amenazas para obtener valiosa información sobre las operaciones de estos ciberdelincuentes. Por ejemplo, en la interfaz de usuario de eventos de amenazas, un usuario puede filtrar la columna "Atacante" seleccionando "BlackBasta" en el menú desplegable, como se muestra en la imagen siguiente. Esto proporciona una lista organizada de direcciones IP verificadas, dominios y hash de archivos para una investigación más detallada. Para obtener información más detallada sobre la visibilidad única de Cloudflare sobre la actividad de amenaza de Black Basta, consulta nuestra publicación El error de Black Basta: explotación de los chats filtrados de la organización criminal.
Por qué publicamos los eventos de amenazas
Nuestros clientes afrontan infinidad de ciberamenazas que pueden interrumpir sus operaciones y poner en riesgo sus datos confidenciales. Los ciberdelincuentes son cada vez más sofisticados, por lo que la necesidad de tener información sobre amenazas relevante y a tiempo es mayor que nunca. Por este motivo, presentamos los eventos de amenazas, que proporcionan información más detallada sobre estas amenazas.
La plataforma de eventos de amenazas tiene como objetivo llenar este vacío ofreciendo una visión más detallada y contextualizada de la actividad de amenaza en curso. Esta función permite a los analistas acceder por su cuenta a la información sobre los incidentes y analizarlos mediante filtros personalizables, por lo que pueden identificar patrones y responder de forma más eficaz. Al proporcionar acceso a los datos sobre amenazas en tiempo real, ayudamos a las organizaciones a tomar mejores decisiones sobre sus estrategias de seguridad.
Para validar el valor de nuestra plataforma de eventos de amenazas, un equipo de información sobre amenazas de la lista Fortune 20 la puso a prueba. Realizaron un análisis comparativo con otras 110 fuentes de información sobre amenazas, y consideraron a Cloudflare como la principal fuente de información sobre amenazas. Concluyeron que somos únicos en el campo de la información sobre amenazas. Todavía es pronto, pero los primeros comentarios que hemos recibido confirman que nuestra información no solo es única, sino que también ofrece un valor excepcional a los responsables de la ciberseguridad.
¿Y ahora qué?
Si bien los clientes de Cloudforce One ya tienen acceso a nuestra API y a nuestro panel de control, lo que les permite integrar perfectamente la información sobre amenazas en sus sistemas existentes, pronto también tendrán acceso a más visualizaciones y análisis de los eventos de amenazas que les permitirán comprender mejor sus hallazgos e informar sobre ellos. Esta próxima interfaz de usuario incluirá visualizaciones cronológicas mejoradas de los ataques, resúmenes de las campañas y gráficos de los ataques, que proporcionarán información aún más detallada sobre las amenazas que afronta tu organización. Además, añadiremos la capacidad de integración con las plataformas SIEM existentes y compartiremos los indicadores en todos los sistemas.
Aquí puedes obtener más información sobre la investigación de la información sobre amenazas que publica nuestro equipo, o bien puedes ponerte en contacto con tu equipo de cuenta para saber cómo aprovechar nuestros nuevos eventos de amenazas para mejorar tu postura de ciberseguridad.