Aujourd'hui, nous sommes très heureux d'annoncer nos plans concernant notre système de détection des intrusions Cloudflare, un nouveau produit qui surveille votre réseau et vous avertit lorsqu'une attaque est suspectée. Grâce à son intégration poussée dans Cloudflare One, le système de détection des intrusions vous donne une vue aérienne de tout votre réseau global et inspecte l'ensemble du trafic pour détecter les mauvais comportements, qu'ils proviennent de l'extérieur ou de l'intérieur de votre réseau.

Analysez votre réseau sans le moindre effort

Les entreprises établissent des règles de pare-feu pour protéger leurs réseaux contre les menaces externes et internes. Lorsque des acteurs malveillants tentent d'attaquer un réseau, ces pare-feux vérifient si l'attaque correspond à un modèle de règle. Si c'est le cas, le pare-feu intervient et bloque l'attaque.

Les équipes avaient l'habitude de configurer ces règles sur des pare-feu physiques, souvent de marques et de modèles différents, déployés sur des sites physiques. Hier, nous avons annoncé Magic Firewall, le pare-feu réseau de Cloudflare utilisé dans nos datacenters du monde entier. Votre équipe peut écrire une règle de pare-feu une fois, la déployer sur Cloudflare, et notre réseau global protégera vos bureaux et datacenters sans qu'il soit nécessaire d'installer des équipements sur site.

C'est parfait si vous savez d'où proviennent les attaques. Mais si vous avez quelques doutes, trouver ces types d'attaques est un casse-tête coûteux. Les attaquants sophistiqués peuvent examiner les défenses d'un réseau pour déterminer les règles qui existent ou n'existent pas. Ils peuvent exploiter ces informations pour lancer des attaques plus silencieuses. Ou pire encore : compromettre vos employés et attaquer depuis l'intérieur.

Nous sommes ravis de finir la semaine Zero Trust en annonçant ce tout dernier service : le système de détection des intrusions (IDS) de Cloudflare, une solution qui analyse simultanément l'ensemble de votre réseau et vous alerte des événements que vos règles risquent de ne pas détecter.

L'IDS de Cloudflare constitue un élément critique de Cloudflare One. WARP connecte vos appareils, Magic Transit connecte vos bureaux et datacenters à Cloudflare, et l'IDS de Cloudflare se dresse en haut des deux, vous permettant d'examiner et d'évaluer tout le trafic simultanément.  Vous disposez ainsi d'une vue unique sur ce qui se passe à l'intérieur de votre réseau et des endroits où des violations ont pu se produire. L'IDS de Cloudflare s'améliore aussi constamment dans l'identification des menaces et des attaques. Vous pouvez choisir de recevoir des alertes et, d'un simple clic, bloquer rapidement et facilement les tentatives d'intrusion de se faufiler à travers les règles statiques. Plus important encore, votre équipe bénéficie des renseignements que Cloudflare recueille sur les attaques dans d'autres régions ou secteurs pour signaler les événements qui vous touchent.

Comment ce système fonctionne-t-il ?

Supposons une violation

Les anciens modèles de sécurité faisaient implicitement confiance à toute connexion au sein du réseau. Cela les rendait vulnérables aux violations et aux attaques d'acteurs malveillants provenant de l'intérieur. Le concept Zero Trust inverse le modèle en supposant que chaque connexion est dangereuse. Au lieu d'attendre la preuve qu'une violation précise s'est produite, l'hypothèse est qu'une violation a déjà eu lieu.

Pour appliquer efficacement le modèle Zero Trust, vous avez besoin de deux éléments essentiels :

  • Une vue complète sur l'ensemble de votre réseau, qui est constamment analysé pour détecter des problèmes que les règles statiques auraient pu manquer, et ;
  • Un système de détection des intrusions (acheté ou développé en interne), qui effectue les analyses.

L'efficacité de l'IDS de Cloudflare est en partie due à son intégration profonde avec Cloudflare One. WARP et Magic Transit fournissent le premier composant, vous permettant de connecter l'ensemble de votre réseau et tous les appareils à Cloudflare, pour vous offrir une vue aérienne sur chaque paquet et chaque connexion.

L'IDS de Cloudflare aide ensuite à détecter les attaques provenant de tout emplacement à l'intérieur du réseau en examinant activement le trafic et son contenu. L'IDS suivra deux approches : la forme du trafic et l'inspection du trafic. En examinant le comportement du trafic sur votre réseau, nous pouvons déterminer à quoi ressemble le comportement normal : un utilisateur ne se connecte qu'à un seul système chaque jour, il n'accède qu'à certaines applications, etc. On ne s'attendrait pas à ce que quelqu'un essaie de se connecter à plusieurs systèmes à la fois ou à analyser les ports sur le réseau : il s'agit là de signes évidents de mauvaise intention.

L'inspection du trafic constitue l'autre forme de détection des intrusions que nous employons : elle consiste à regarder à l'intérieur du trafic qui passe par votre réseau pour déterminer si quelqu'un effectue une attaque très ciblée. Ces styles d'attaques ne peuvent pas être détectés via des méthodes traditionnelles, car ils ressemblent à du trafic normal : ce n'est qu'en regardant à l'intérieur que l'on peut vérifier si l'acteur tente une opération malveillante.

Immunité collective

Les auteurs d'attaques ont tendance à suivre un profil d'attaque. Ceux qui tentent d'attaquer une entreprise répéteront ensuite cette même attaque ailleurs. Nous avons malheureusement constaté cette augmentation, ces derniers temps : des attaques comme la campagne DDoS de Fancy Bear passent d'une organisation à l'autre et répètent le même scénario.

Nous pensons qu'en matière de sécurité l'union fait la force. L'IDS de Cloudflare apprend des attaques contre notre réseau et contre les réseaux de nos tous clients, dans l'optique d'identifier en permanence les nouveaux types d'attaques lancés. Nous pouvons ainsi faire profiter votre équipe des enseignements tirés en assurant la sécurité de Cloudflare et des autres clients. La plateforme intègre également des flux de menaces externes et, enfin, vous permet d'intégrer les vôtres.

Se décharger du temps processeur

Les clients qui exécutent leur propre solution IDS (qu'elle soit élaborée en interne ou achetée) se plaignent constamment du fait que les solutions IDS requièrent une forte utilisation des processeurs. Ils doivent garder beaucoup d'état en mémoire et ont besoin d'un volume élevé de calculs pour fonctionner avec précision et efficacité.

Avec l'IDS de Cloudflare, vous pouvez vous décharger de ce fardeau sur notre réseau. Cloudflare a été entièrement conçu pour être évolutif à l'infini. Chaque datacenter en périphérie utilise exactement le même logiciel, ce qui nous permet de réduire la charge de travail efficacement et à grande échelle. Avec Cloudflare qui exécute votre IDS, vous pouvez vous débarrasser du poids des ressources de calcul des solutions traditionnelles et arrêter de vous soucier de la capacité.

Une facilité déconcertante

Lorsque votre équipe déploie l'IDS de Cloudflare, elle n'a qu'à cliquer sur un bouton. Nous commencerons à analyser le profil de votre trafic Magic Transit et des événements Magic Firewall pour les comparer à nos informations sur les menaces.

Si nous détectons quelque chose de suspect, nous enverrons une alerte pour en informer votre équipe. Votre équipe de sécurité pourra alors commencer à examiner la tentative et à fouiller dans les données pour déterminer ce qui s'est passé. Vous pourrez obtenir plus d'informations sur le type d'attaque et l'endroit où elles s'est produite en consultant le tableau de bord. Il suffit d'établir une règle et de la transmettre au réseau global de Cloudflare, et nous stopperons net l'attaque.

Quel est la suite ?

Le lancement de l'IDS de Cloudflare suivra la mise à disposition générale de Magic Firewall. Si vous souhaitez être le premier à adopter notre IDS, contactez l'équipe chargée de votre pour en savoir plus.