Hari ini kami mengumumkan dukungan untuk deteksi dan pencegahan malware langsung dari edge Cloudflare, yang memberi pengguna Gateway garis pertahanan tambahan terhadap ancaman keamanan.
Gateway Cloudflare melindungi karyawan dan data dari ancaman di Internet, dan melakukannya tanpa mengorbankan kinerja demi keamanan. Alih-alih melakukan backhaul lalu lintas ke lokasi pusat, pelanggan Gateway terhubung ke salah satu pusat data Cloudflare di 200 kota di seluruh dunia di mana jaringan kami dapat menerapkan kebijakan konten dan keamanan untuk melindungi lalu lintas terikat Internet mereka.
Tahun lalu, Gateway berkembang dari solusi pemfilteran DNS yang aman menjadi Secure Web Gateway yang mampu melindungi lalu lintas HTTP setiap pengguna juga. Ini memungkinkan admin untuk mendeteksi dan memblokir tidak hanya ancaman di layer DNS, tetapi juga URL berbahaya dan jenis file yang tidak diinginkan. Selain itu, admin sekarang memiliki kemampuan untuk membuat kebijakan yang berdampak tinggi di seluruh perusahaan yang dapat melindungi semua pengguna dengan satu klik, atau mereka dapat membuat aturan yang lebih terperinci berdasarkan identitas pengguna.
Awal bulan ini, kami meluncurkan kebijakan aplikasi di Gateway Cloudflare untuk memudahkan administrator dalam memblokir aplikasi web tertentu. Dengan fitur ini, administrator dapat memblokir aplikasi yang biasa digunakan untuk menyebarkan malware, seperti penyimpanan file cloud publik.
Fitur-fitur di Gateway ini memungkinkan pendekatan keamanan berlapis. Dengan pemfilteran DNS Gateway, pelanggan dilindungi dari ancaman yang dapat menyalahgunakan protokol DNS untuk tujuan berkomunikasi dengan server C2, men-download muatan implan, atau mengekstrak data perusahaan. Pemfilteran DNS berlaku untuk semua aplikasi yang menghasilkan kueri DNS, dan pemeriksaan lalu lintas HTTP melengkapinya dengan mendalami ancaman yang mungkin dihadapi pengguna saat mereka menavigasi Internet.
Hari ini, kami dengan senang hati mengumumkan layer pertahanan lain dengan tambahan perlindungan antivirus di Gateway Cloudflare. Sekarang administrator dapat memblokir malware dan file berbahaya lainnya agar tidak di-download ke perangkat perusahaan saat mereka melewati edge Cloudflare untuk pemeriksaan file.
Menghentikan penyebaran malware
Melindungi infrastruktur dan perangkat perusahaan agar tidak terinfeksi malware sejak awal adalah salah satu prioritas utama bagi admin TI. Malware dapat mendatangkan berbagai macam malapetaka: operasi bisnis dapat dilumpuhkan oleh ransomware, data sensitif dapat dieksfiltrasi oleh spyware, atau sumber daya CPU lokal dapat disedot untuk keuntungan finansial oleh malware cryptojacking.
Untuk menyusup ke jaringan, pelaku kejahatan biasanya mencoba menyebarkan malware melalui lampiran email atau tautan berbahaya yang dikirim melalui email. Baru-baru ini, untuk menghindari keamanan email, pelaku ancaman mulai memanfaatkan saluran komunikasi lain, seperti SMS, suara, dan perangkat lunak tiket dukungan untuk menyebarkan malware.
Dampak buruk dari malware, ditambah dengan permukaan serangan yang luas yang membahayakan, membuat pencegahan malware menjadi perhatian utama bagi tim keamanan.
Pertahanan secara Mendalam
Tidak ada alat atau pendekatan tunggal yang memberikan keamanan sempurna, yang memerlukan pertahanan berlapis terhadap ancaman yang melewati berbagai alat ini. Tidak semua ancaman sebelumnya diketahui oleh peneliti ancaman, yang mengharuskan admin untuk menggunakan alat pemeriksaan tambahan setelah pengguna berhasil terhubung ke situs yang berisi konten yang berpotensi berbahaya.
Ancaman yang sangat canggih dapat masuk ke jaringan pengguna dan tugas utama tim keamanan adalah dengan cepat menentukan ruang lingkup serangan terhadap organisasi mereka. Dalam skenario terburuk ini, di mana pengguna mengakses domain, situs web, atau file yang dianggap berbahaya, garis pertahanan terakhir untuk tim keamanan adalah mencapai pemahaman yang jelas tentang sumber serangan pada organisasi mereka dan sumber daya apa yang terpengaruh.
Mengumumkan Pemindaian File
Hari ini, dengan Cloudflare Gateway, Anda dapat meningkatkan perlindungan titik akhir dan mencegah file berbahaya di-download ke perangkat karyawan. Gateway akan memindai file yang masuk dari Internet saat melewati edge Cloudflare di pusat data terdekat. Cloudflare mengelola layer pertahanan ini untuk pelanggan sama dengan mengelola kecerdasan yang digunakan untuk pemfilteran lalu lintas DNS dan HTTP, yang membebaskan admin dari membeli lisensi antivirus tambahan atau khawatir dengan selalu menjaga definisi virus up to date.
Ketika pengguna memulai download dan file tersebut melewati Gateway di edge Cloudflare, file tersebut dikirim ke mesin pemindai malware. Mesin ini berisi definisi sampel malware dan diperbarui setiap hari. Ketika Gateway memindai file dan mendeteksi keberadaan malware, Gateway akan memblokir transfer file dengan mereset koneksi yang kemudian ditampilkan kepada pengguna di browser mereka sebagai kesalahan download. Gateway juga menyimpan log URL tempat file di-download, hash SHA-256 file, dan fakta bahwa file diblokir karena adanya malware.
Pendekatan umum untuk keamanan adalah dengan "menganggap pelanggaran." Asumsi tim keamanan ini mengakui bahwa tidak semua ancaman diketahui sebelumnya dan dioptimalkan untuk merespons ancaman dengan cepat. Dengan Gateway, administrator memiliki visibilitas penuh atas dampak ancaman terhadap organisasi mereka dengan memanfaatkan logging terpusat Gateway, yang memberikan langkah-langkah yang jelas untuk pemulihan ancaman sebagai bagian dari respons insiden.
Mendeteksi malware pascakompromi
Saat menggunakan pendekatan "menganggap pelanggaran", tim keamanan mengandalkan wawasan yang dapat ditindaklanjuti dari semua informasi yang tersedia seputar serangan. Serangan yang lebih canggih mungkin terungkap dengan cara ini:
Setelah mengeksploitasi sistem pengguna melalui sejumlah cara (yang menyebabkan pendekatan "menganggap pelanggaran"), implan tahap 0 (atau dropper) ditempatkan pada perangkat yang dieksploitasi.
File ini mungkin lengkap atau memerlukan potongan tambahan implan yang lebih besar, dan mengirimkan kueri DNS ke domain yang sebelumnya tidak diketahui melalui penelitian ancaman karena dikaitkan dengan C2 untuk kampanye serangan.
Respons terhadap kueri ke server C2 mengkodekan informasi yang menunjukkan di mana implan dapat men-download komponen tambahan implan.
Implan menggunakan tunneling DNS ke domain yang berbeda, yang juga tidak diketahui melalui penelitian ancaman sebagai berbahaya, untuk men-download komponen tambahan implan.
Implan yang dibangun sepenuhnya melakukan sejumlah tugas yang diberikan oleh server C2 lain. Termasuk dalam tugas ini adalah mengekstrak file lokal, bergerak secara lateral di jaringan, mengenkripsi semua file di mesin lokal, atau bahkan menggunakan CPU lokal untuk tujuan menambang mata uang kripto.
Gateway Cloudflare lebih dari sekadar mendeteksi dan memblokir kueri ke domain yang sebelumnya diketahui terkait dengan C2, tunneling DNS, atau yang tampaknya dihasilkan oleh Domain Generation Algorithm (DGA). Gateway menggunakan heuristik dari penelitian ancaman untuk mengidentifikasi kueri yang tampaknya dihasilkan oleh DGA untuk tujuan serangan yang diuraikan di atas, mendeteksi ancaman yang sebelumnya tidak diketahui ini dari data log organisasi, dan secara proaktif memblokirnya sebelum admin keamanan perlu campur tangan secara manual.
Penelitian ancaman terus berkembang. Gateway Cloudflare melepaskan beban admin TI dalam mengimbangi ancaman keamanan dengan memberikan wawasan yang berasal dari jaringan Cloudflare untuk melindungi organisasi dari berbagai ukuran di mana pun mereka berada.
Apa selanjutnya
Tujuan kami adalah memberikan kemampuan keamanan yang canggih, namun mudah diterapkan, kepada organisasi terlepas dari ukurannya sehingga mereka dapat kembali ke hal yang penting bagi bisnis mereka. Kami senang dapat terus memperluas kemampuan Gateway untuk melindungi pengguna dan data mereka. Tunneling DNS dan deteksi DGA termasuk dalam pemfilteran DNS Gateway tanpa biaya untuk tim dengan hingga 50 pengguna. Deteksi malware sebaris di Cloudflare akan disertakan dengan paket Teams Standard dan Teams Enterprise.
Nantikan pemfilteran di tingkat jaringan dan integrasi dengan tunnel GRE — kami baru saja memulai. Ikuti tautan ini untuk mendaftar hari ini.