Investigating threats using the Cloudflare Security Center

Cloudflare blocca numerose e variegate minacce alla sicurezza, con alcuni degli attacchi più interessanti che prendono di mira la "coda lunga" dei milioni di proprietà Internet che proteggiamo. I dati che raccogliamo da questi attacchi addestrano i nostri modelli di machine learning e migliorano l'efficacia dei nostri prodotti per la sicurezza della rete e delle applicazioni, ma storicamente non sono stati disponibili per l'interrogazione diretta. Questa cosa cambierà questa settimana.

A breve tutti i clienti potranno accedere al nostro nuovo portale per le indagini sulle minacce, Investigate, nel Centro sicurezza Cloudflare (lanciato per la prima volta a dicembre 2021). Inoltre, prenderemo nota delle minacce sulla nostra piattaforma di analisi con questa intelligence per ottimizzare i flussi di lavoro di sicurezza e serrare i cicli di feedback.

Che tipo di dati potresti voler cercare? Diciamo che stai vedendo un indirizzo IP nei tuoi log e vuoi sapere quali nomi host lo hanno puntato tramite DNS oppure stai vedendo un cluster di attacchi provenire da un sistema autonomo (AS) con cui non hai familiarità. O forse desideri indagare su un nome di dominio per vedere come è stato classificato dal punto di vista delle minacce. Inserisci semplicemente uno di questi elementi nella casella di ricerca e ti diremo tutto ciò che sappiamo.

Gli IP e i nomi host saranno disponibili per le query questa settimana, seguiti dai dettagli AS per fornirti informazioni dettagliate sulle reti che comunicano con i tuoi account Cloudflare. Il mese prossimo, mentre passiamo alla disponibilità generale, aggiungeremo tipi di dati e proprietà. Le integrazioni con i partner ti consentiranno di utilizzare le chiavi di licenza esistenti per visualizzare tutti i dati sulle minacce in un'unica interfaccia unificata. Abbiamo anche in programma di mostrare in che modo sia la tua infrastruttura che i dipendenti aziendali interagiscono con qualsiasi oggetto che cerchi, ad esempio puoi vedere quante volte un IP attiva una regola WAF o API Shield o quante volte i tuoi dipendenti hanno provato a risolvere un dominio che è noto per distribuisce malware.

Annotazioni nel dashboard: intelligence fruibile nel contesto

La ricerca dei dati sulle minacce su base ad hoc è ottima, ma è meglio quando i dati vengono annotati direttamente nei log e nelle analisi. A partire da questa settimana, inizieremo a distribuire le informazioni disponibili in Investigate nel dashboard dove è rilevante per il tuo flusso di lavoro. Stiamo iniziando con l'analisi del Web Application Firewall per i siti Web che utilizzano Cloudflare.

Supponiamo che tu stia esaminando un avviso di sicurezza per un numero elevato di richieste bloccate da una regola del Web Application Firewall. Potresti vedere che l'avviso è stato causato da un indirizzo IP che ha sondato il tuo sito Web per le vulnerabilità software presenti comunemente. Se l'IP in questione era un IP cloud o contrassegnato come anonimizzatore, l'intelligence contestuale mostrerà tali informazioni direttamente nella pagina di analisi.

Questo contesto può aiutarti a vedere i modelli. Gli attacchi provengono da anonimizzatore o dalla rete Tor? Provengono da macchine virtuali cloud? Un IP è solo un IP. Ma vedere un attacco di sottrazione e uso illecito delle credenziali proveniente dagli anonimizzatori è uno schema che consente una risposta proattiva: "La mia configurazione di gestione del bot è aggiornata?"

Analytics view of top events showing requests coming from anonymizer

Il punto di osservazione della rete di Cloudflare e come vengono restituiti i dati

La scala su cui opera ogni suite di prodotti in Cloudflare è sbalorditiva. Al picco, Cloudflare gestisce 44 milioni di richieste HTTP al secondo, da più di 250 città in oltre 100 paesi. La rete Cloudflare risponde a oltre 1,2 trilioni di query DNS al giorno e ha una capacità di rete da 121 Tb/s per servire il traffico e mitigare gli attacchi DDoS su tutti i prodotti. Ma oltre a questa immensa scala, l'architettura di Cloudflare consente di perfezionare i dati grezzi e combinare l'intelligenza di tutti i nostri prodotti per tracciare un quadro olistico del panorama della sicurezza.

Siamo in grado di ottenere segnali raffinati dai dati grezzi generati da ciascun prodotto e combinarli con i segnali di altri prodotti e capacità per migliorare la nostra rete e le capacità dei dati sulle minacce. È un paradigma comune per i prodotti di sicurezza da costruire in modo da avere effetti volano positivi tra gli utenti dei prodotti. Se un cliente vede un nuovo malware, un fornitore di protezione degli endpoint può distribuire un aggiornamento che rileverà e bloccherà questo malware per tutti gli altri clienti. Se una botnet attacca un cliente, questo potrà fornire informazioni che possono essere utilizzate per trovare la firma di quella botnet e proteggere altri clienti. Se un dispositivo partecipa a un attacco DDoS (Distributed Denial of Service), tali informazioni potranno essere utilizzate perché la rete possa rilevare e mitigare più rapidamente futuri attacchi DDoS. L'ampiezza delle offerte di prodotti di Cloudflare significa che i vantaggi dell'effetto volano per gli utenti non si accumulano solo tra gli utenti, ma anche tra prodotti.

Diamo un'occhiata ad alcuni esempi:

Risoluzione DNS e trasparenza dei certificati

Per prima cosa, Cloudflare utilizza 1.1.1.1, uno dei più grandi resolver DNS ricorsivi al mondo. Lo utilizziamo in modo rispettoso della privacy, quindi non sappiamo chi o quale IP abbia eseguito una query, né siamo in grado di correlare le query a utenti anonimi distinti. Tuttavia, attraverso le richieste gestite dal resolver, Cloudflare vede domini appena registrati e appena visti. Inoltre, Cloudflare dispone di uno dei prodotti di crittografia SSL/TLS più avanzati sul mercato e, come parte di ciò, è un'organizzazione membro che aiuta a mantenere i registri di trasparenza dei certificati. Si tratta di registri pubblici di ogni certificato TLS emesso da un'autorità di certificazione root considerata attendibile dai browser Web. Tra questi due prodotti, Cloudflare ha una visione impareggiabile di quali domini sono disponibili su Internet e quando diventano attivi. Utilizziamo queste informazioni non solo per popolare le nostre categorie di domini nuovi e visti di recente per il nostro prodotto Gateway, ma inseriamo questi domini in modelli di machine learning che etichettano i domini sospetti o potenzialmente dannosi all'inizio del loro ciclo di vita.

Sicurezza e-mail

Come altro esempio, con l'acquisizione dell'Area 1, Cloudflare porterà nella sua offerta di prodotti una nuova serie di capacità che si rafforzano a vicenda. Tutti i segnali che possiamo generare per un dominio dal nostro resolver 1.1.1.1 diventeranno disponibili per aiutare a identificare e-mail dannose e gli anni di esperienza di Area 1 nell'identificazione di e-mail dannose saranno in grado di fornire feedback al prodotto Gateway di Cloudflare e 1.1.1.1 per le famiglie del resolver DNS. In passato, integrazioni di dati come questa sarebbero state eseguite da team IT o di sicurezza. Al contrario, i dati potranno fluire senza interruzioni tra i punti sulla superficie di attacco dell'organizzazione, rafforzando reciprocamente la qualità dell'analisi e della classificazione. L'intero toolkit Cloudflare Zero Trust, inclusi la registrazione delle richieste, il blocco e l'isolamento remoto del browser, sarà disponibile per gestire collegamenti potenzialmente dannosi inviati tramite e-mail, utilizzando le stesse politiche già in atto per altri rischi per la sicurezza.

Negli ultimi anni, Cloudflare ha integrato l'uso dell'apprendimento automatico in molte delle nostre offerte di prodotti, ma oggi abbiamo lanciato un nuovo strumento che mette anche i dati e i segnali che alimentano la sicurezza della nostra rete nelle mani dei nostri clienti. Che tu risponda agli incidenti di sicurezza, alla caccia alle minacce o all'impostazione proattiva di policy di sicurezza per proteggere la tua organizzazione, ora anche tu, umano, puoi far parte della rete Cloudflare. La posizione unica di Cloudflare nella rete implica che le tue informazioni possono essere reimmesse nella rete per proteggere non solo l'organizzazione attraverso tutti i prodotti Cloudflare che utilizza, ma possono anche partecipare alle informazioni e alla difesa reciproche tra tutti i clienti Cloudflare.

Cosa ci aspetta

Cloudflare può coprire l'intera superficie di attacco della tua organizzazione: difesa di siti Web, protezione di dispositivi e applicazioni SaaS con Cloudflare Zero Trust, sedi e uffici con Magic Transit e comunicazioni e-mail. Il Centro sicurezza è qui per assicurarti di avere tutte le informazioni necessarie per comprendere i rischi per la sicurezza informatica presenti oggi e per aiutarti a difendere la tua organizzazione utilizzando Cloudflare.

"Qual è il malware wiper di cui ho sentito parlare al telegiornale e come posso proteggere la mia azienda da esso?" Ascoltiamo le tue domande e ti daremo le risposte. Non solo informazioni grezze, ma cosa è rilevante per te e come usi Internet. Abbiamo grandi progetti per il Centro sicurezza. Un portale di scansione dei file ti fornirà informazioni sui file JavaScript visti da Page Shield, sui file eseguibili scansionati da Gateway e sulla possibilità di caricare e scansionare i file. Indicatori di compromissione come indirizzi IP e domini si collegheranno alle informazioni sugli attori delle minacce rilevanti, quando conosciuti, fornendoti maggiori informazioni sulle tecniche e le tattiche che devi affrontare e informazioni su come i prodotti Cloudflare possono essere utilizzati per difendersi da essi. La ricerca CVE ti consentirà di trovare informazioni sulle vulnerabilità del software, insieme alla stessa prospettiva Cloudflare di facile comprensione che sei abituato a leggere su questo blog per aiutare a decodificare il gergo e il linguaggio tecnico. Con il rilascio di oggi, abbiamo appena iniziato.