Aujourd'hui, l'une des plus grandes difficultés auxquelles les spécialistes de la cyberdéfense doivent faire face se trouve dans l'analyse des résultats de détection provenant de flux d'indicateurs, qui fournissent des métadonnées sur des indicateurs de compromission spécifiques (IOC), comme les adresses IP, les les ASN, les domaines, les URL et les hachages. Les flux d'indicateurs ont proliféré dans l'ensemble du secteur des informations sur les menaces, mais la plupart d'entre eux ne contiennent aucune information contextuelle concernant la raison pour laquelle un indicateur a été placé sur le flux. Une autre limitation de la plupart des flux actuels tient à ce qu'ils se concentrent uniquement sur des indicateurs pouvant être bloqués et ne peuvent pas facilement prendre en charge les cas plus complexes, tels qu'un acteur malveillant exploitant une vulnérabilité CVE ou une menace interne. À la place, ce genre d'informations sur les menaces complexes est laissé aux signalements traditionnels. Toutefois, cette technique comporte son lot de difficultés, comme le temps nécessaire à la rédaction et à l'édition, susceptible d'entraîner des retards considérables dans la publication en temps opportun d'informations sur les menaces.
Pour les surmonter, nous sommes heureux de lancer notre plateforme dédiée aux événements constituant une menace pour les clients de Cloudforce One. Chaque jour, Cloudflare bloque des milliards de cybermenaces. Cette nouvelle plateforme contient des données contextuelles concernant les menaces que nous surveillons et atténuons sur le réseau Cloudflare. Elle est conçue pour fournir aux professionnels de la sécurité et aux décisionnaires des informations exploitables à l'échelle mondiale.
En moyenne, nous traitons 71 millions de requêtes HTTP par seconde et 44 millions de requêtes DNS par seconde. Ce volume de trafic nous fournit des informations précieuses, ainsi qu'une vision complète (en temps réel) sur les menaces actuelles. La nouvelle plateforme d'événements de menace tire parti des informations issues de ce trafic pour proposer une vision complète et en temps réel des activités liées aux menaces sur Internet, afin de permettre aux clients de Cloudforce One de mieux protéger leurs actifs et de répondre aux menaces émergentes.
Comment nous avons développé la plateforme consacrée aux événements constituant une menace à l'aide des informations de Cloudflare sur le trafic
Le volume considérable d'activités malveillantes observées sur le réseau de Cloudflare submergerait n'importe quel analyste système ou SOC. Nous proposons donc non seulement des indicateurs de compromission (IOC, Indicators of Compromise) mais également des contextes, afin de faciliter la décision des mesures à prendre à partir des données uniques de Cloudflare. Pour commencer, nous exposons les événements liés aux attaques par déni de service (DOS) observés sur notre réseau, ainsi que les opérations de menace sophistiquées suivies par notre équipe chargée des informations Cloudforce One, et les différents outils, techniques et procédures utilisés par les acteurs malveillants que nous suivons. Nous avons mis en correspondance les événements avec la matrice MITRE ATT&CK et les étapes de la cybercriminalité. À l'avenir, nous ajouterons des événements liés au trafic bloqué par notre pare-feu d'applications web (WAF), notrepasserelle Zero Trust, notre solution de sécurité des e-mails Zero Trust, Business Email Compromise et de nombreux autres ensembles de données propriétaires de Cloudflare. Ensemble, ces événements permettront à nos clients de bénéficier d'une vue détaillée des activités malveillantes sur Internet.
Chaque événement relevé dans notre liste d'événements constituant une menace résume une activité malveillante spécifique que nous avons observée, à l'instar d'un objet d'observation STIX2, et fournit des informations contextuelles par son résumé et sa vue détaillée, ou encore par la correspondance dans MITRE ATT&Ck et les étapes KillChain. Pour consulter un exemple, lisez la documentation de l'API.
Notre objectif consiste à permettre aux clients de mieux comprendre le panorama des menaces en leur fournissant des informations essentielles, qui leur permettent d'enquêter et de répondre aux questions générales et spécifiques concernant les menaces visant leur entreprise. Par exemple :
Qui cible mon marché vertical ?
Qui cible mon pays ?
Quels indicateurs puis-je utiliser pour bloquer les attaques ciblant mes marchés verticaux ?
Quelles ont été au fil du temps les actions d'un adversaire durant le cycle hostile d'une cyberattaque ?
Chaque événement est associé à un identifiant unique qui le relie à l'activité menaçante identifiée, ce qui permet à nos analystes en informations sur les menaces de Cloudforce One de fournir du contexte supplémentaire pour les enquêtes qui suivent.
Comment nous avons développé la plateforme consacrée aux événements constituant une menace à l'aide de Cloudflare Workers
Nous avons choisi d'utiliser la plateforme pour développeurs de Cloudflare pour développer la plateforme consacrée aux événements constituant une menace, car elle nous permettait de tirer parti de la polyvalence et de la fluidité d'intégration de Cloudflare Workers. Au fond, la plateforme est un Cloudflare Worker qui utilise Durable Objects avec le soutien de SQLite pour stocker les événements observés sur le réseau Cloudflare. Nous avons choisi d'utiliser Durable Objects sur D1, la solution de base de données SQL serverless de Cloudflare, car elle nous permet de créer dynamiquement des tables SQL pour le stockage d'ensembles de données personnalisables uniques. Cette forme de stockage des ensembles de données permet aux événements constituant des menaces de s'étendre sur l'ensemble de notre réseau. Nous sommes ainsi résilients face aux pics de données susceptibles d'être corrélés avec la nature imprévisible des attaques sur Internet. Nous pouvons également contrôler les événements en fonction de la source des données, partager un sous-ensemble d'ensembles de données avec des partenaires de confiance ou restreindre l'accès aux seuls utilisateurs autorisés. Enfin, les métadonnées de chaque événement individuel constituant une menace sont stockées dans l'instance Durable Objects KV afin de nous permettre de stocker des données contextuelles au-delà de nos champs fixes interrogeables. Ces données peuvent se présenter sous la forme de requêtes par seconde pour nos événements de déni de service, ou d'informations sur la source qui permettent aux analystes de Cloudforce One de relier l'événement à l'exacte activité malveillante afin de pousser plus loin les investigations.
Utilisation des événements constituant une menace
Les clients de Cloudforce One peuvent accéder aux événements de menace via le tableau de bord Cloudflare dans le Centre de sécurité ou via l'API consacrée aux événements constituant une menace Cloudforce One. Les deux exposent le flux d'activités menaçantes qui se déroulent sur Internet, telles que les observe Cloudflare, et des filtres définis pas l'utilisateur permettent de les personnaliser.
Depuis le tableau de bord Cloudflare, les utilisateurs ont accès à une vue chronologique des agissements d'un acteur malveillant conçue pour répondre à des questions stratégiques, ainsi qu'à un tableau des événements plus détaillé, permettant d'approfondir l'examen de l'attaque. Les utilisateurs ont ainsi facilement accès aux informations les plus pertinentes.
Tableau des événements
Le tableau des événements offre une vue détaillée du Centre de sécurité, permettant aux utilisateurs d'analyser en profondeur les activités liées à des menaces spécifiques, filtrées selon différents critères. C'est ici que les utilisateurs peuvent explorer des menaces spécifiques et des campagnes d'acteurs malveillants à partir d'informations concernant le trafic compilées par Cloudflare. Plus important encore, ce tableau fournira à nos utilisateurs des indicateurs de compromission exploitables et un résumé des événements, afin qu'ils puissent défendre correctement leurs services. L'ensemble des données disponibles dans notre tableau des événements est également accessible par l'intermédiaire de l'API consacrée aux événements constituant une menace Cloudforce One.
Pour illustrer la puissance des événements constituant une menace, examinons un cas réel :
Récemment, des détails ont fuité d'une discussion de Black Basta, l'entreprise criminelle a divulgué des détails sur ses victimes, ses méthodes et ses achats d'infrastructure. S'il est impossible d'affirmer avec certitude si les discussions qui ont fuité ont été manipulées d'une manière ou d'une autre, l'infrastructure évoquée dans ces discussions était simple à vérifier. Ainsi, ces informations sur les menaces sont désormais disponibles en tant qu'événement dans les événements menaçants, accompagnées d'un contexte Cloudflare unique supplémentaire.
Les analystes à la recherche de domaines, d'hôtes et d'échantillons de fichiers utilisés par Black Basta peuvent tirer parti des événements menaçants pour obtenir des informations précieuses sur les opérations menées par l'acteur malveillant. Par exemple, dans l'interface utilisateur des événements constituant une menace, un utilisateur peut filtrer la colonne « Attacker » en sélectionnant « BlackBasta » dans le menu déroulant, comme l'illustre l'image ci-dessous. Il est ainsi possible d'obtenir une liste organisée d'adresses IP, de domaines et de hachages de fichiers vérifiés, à des fins d'investigation. Pour des informations plus détaillées sur la visibilité unique de Cloudflare sur les activités malveillantes de Black Basta, consultez L'erreur de Black Basta : exploiter les fuites des discussions du groupe.
Les raisons pour lesquelles nous publions les événements constituant une menace
Nos clients sont confrontés à une myriade de cybermenaces susceptibles de perturber des opérations et de compromettre des données sensibles. Alors que les adversaires emploient des méthodes de plus en plus sophistiquées, il n'a jamais été aussi indispensable de disposer d'informations sur les menaces opportunes et pertinentes. C'est pourquoi nous présentons les événements de menace, qui fournissent des informations plus détaillées sur ces menaces.
La plateforme dédiée aux événements constituant une menace vise à combler cette lacune en offrant une vue plus détaillée et contextualisée des activités malveillantes en cours. Cette fonctionnalité permet aux analystes d'explorer d'explorer en toute autonomie les incidents à l'aide de filtres personnalisables, dans le but d'identifier les logiques et de répondre efficacement. En ouvrant l'accès à des données en temps réel sur les menaces, nous offrons aux organisations les moyens de prendre des décisions éclairées concernant leurs stratégies de sécurité.
Pour valider la valeur de notre plateforme consacrée aux événements de menace, nous avons demandé à une équipe chargée des informations sur les menaces figurant au classement Fortune 20 de la tester. Elle a réalisé une analyse comparative avec de 110 autres sources, et nous avons été classés première source d'informations sur les menaces. Nous avons été qualifiés de « véritable licorne » dans le domaine des informations sur les menaces. Nous n'en sommes encore qu'au commencement, mais les premiers retours confirment que nos informations sont non seulement uniques, mais qu'elles offrent également une valeur exceptionnelle aux défenseurs.
Et maintenant ?
Les clients de Cloudforce One ont désormais accès à notre API et à notre tableau de bord, une fonctionnalité qui leur permet d'intégrer en toute fluidité des informations sur les menaces à leurs systèmes existants ; ils auront bientôt accès à davantage de visualisations et d'analyses des événements de menaces qui leur permettront mieux comprendre et générer des rapports avec leurs conclusions. Cette interface utilisateur à venir proposera des visualisations chronologiques améliorées des attaques, des vues d'ensemble des campagnes et des graphiques sur les attaques, le tout offrant des informations encore plus approfondies sur les menaces qui pèsent sur votre entreprise. Par ailleurs, nous ajouterons la possibilité d'intégrer les plateformes SIEM existantes et de partager des indicateurs entre les systèmes.
Découvrez la recherche d'informations sur les menaces que notre équipe publie ici ou contactez l'équipe chargée de votre compte pour découvrir comment tirer parti de nos nouveaux événements de menace afin d'améliorer votre stratégie de cybersécurité.