Subscribe to receive notifications of new posts:

Subscription confirmed. Thank you for subscribing!

Cloudflare Security Center를 사용한 위협 조사

Loading...

Investigating threats using the Cloudflare Security Center

Cloudflare는 다수의 보안 위협을 차단하며, 그 중 일부는 당사가 보호하는 수백만 개 인터넷 자산의 "롱테일"을 대상으로 하는 더욱 흥미로운 공격입니다. 이러한 공격에서 모은 데이터로는 기계 학습 모델을 훈련하고 네트워크 및 응용 프로그램 보안 제품의 효과를 향상하지만, 역사적으로는 직접 쿼리할 수 없었습니다. 이번 주에는 이것을 변경합니다.

모든 고객은 Cloudflare 보안 센터(2021년 12월 첫 출시)에 있는 새로운 위협 조사 포털인 Investigate에 곧 액세스할 수 있습니다. 또한 이 인텔리전스를 통해 분석 플랫폼 전반에 걸쳐 위협에 주석을 달아 보안 워크플로를 간소화하고 피드백 루프를 강화할 것입니다.

여기에서 어떤 종류의 데이터를 찾아보고 싶습니까? 로그에서 IP 주소를 보고 DNS를 통해 이를 가리키는 호스트 이름을 파악하고 싶거나, 익숙하지 않은 AS(자율 시스템)에서 공격 클러스터가 오는 것을 보고 있다고 가정하겠습니다. 또는 도메인 이름을 조사하여 위협 관점에서 분류되는 방법을 조사하고 싶을 수도 있습니다. 이러한 항목 중 하나를 옴니 검색 상자에 입력하기만 하면 당사가 알고 있는 모든 것을 알려 드리겠습니다.

IP와 호스트 이름은 이번 주에 쿼리할 수 있게 되며, Cloudflare 계정과 통신하는 네트워크에 대한 인사이트를 제공하는 AS 세부정보가 이에 뒤따릅니다. 다음 달 일반 공급으로 전환함에 따라 데이터 유형과 속성을 추가할 예정입니다. 파트너와의 통합을 통해 여러분은 기존 라이선스 키를 사용하여 단일 통합 인터페이스에서 모든 위협 데이터를 확인할 수 있습니다. 또한 인프라와 회사 직원이 여러분이 찾아보는 개체와 상호 작용하는 방법을 보여드릴 계획입니다. 예를 들어 IP가 WAF 또는 API Shield 규칙을 트리거한 횟수 또는 직원이 맬웨어를 제공하는 것으로 알려진 도메인을 해결하기 위해 시도한 횟수를 확인할 수 있습니다.

대시보드의 주석: 상황에 맞고 실행 가능한 인텔리전스

즉석에서 위협 데이터를 찾아보는 것도 좋지만, 해당 데이터가 로그 및 분석에서 직접 주석 처리되는 것이 낫습니다. 이번 주부터 인텔리전스를 롤아웃하기 시작하며, 이는 워크플로와 관련된 대시보드의 Investigate에서 사용할 수 있습니다. Cloudflare 뒤의 웹 사이트에 대한 웹 애플리케이션 방화벽 분석과 함께 시작합니다.

웹 애플리케이션 방화벽 규칙에 따라 차단된 요청 다수에 대한 보안 경고를 여러분이 조사하고 있는 것으로 가정하겠습니다. 일반적으로 악용되는 소프트웨어 취약성에 대한 웹 사이트를 조사하는 IP 주소로 인해 경고가 발생했음을 확인할 수 있습니다. 문제의 IP가 클라우드 IP이거나 익명인 것으로 플래그 지정된 경우, 컨텍스트 인텔리전스가 분석 페이지에 해당 정보를 직접 표시합니다.

이 컨텍스트는 패턴을 보는 데 도움이 될 수 있습니다. 공격이 익명성 도구 또는 토르 네트워크에서 발생합니까? 공격이 클라우드 가상 머신에서 발생합니까? IP는 IP일 뿐입니다. 하지만 익명성 도구로부터 크리덴셜 스터핑 공격이 발생하는 것을 보는 것은 "내 봇 관리 구성이 최신 상태인가?"라는 사전 대응을 활성화하는 패턴입니다.

Analytics view of top events showing requests coming from anonymizer

Cloudflare의 네트워크 강점과 이를 통해 데이터를 알려주는 방법

Cloudflare에서 각 제품군이 작동하는 규모는 믿기 어려운 수준입니다. Cloudflare는 피크 시 100여 개 국가250여 개 도시에서 초당 4,400만 개 HTTP 요청을 처리합니다. Cloudflare 네트워크는 하루에 1조 2천억 개 이상 DNS 쿼리에 응답하고, 121Tbps의 네트워크 용량을 통해 트래픽을 처리하고 모든 제품에 걸쳐 서비스 거부 공격을 완화합니다. 하지만 이 엄청난 규모 외에도 Cloudflare의 아키텍처를 통해 원시 데이터를 정제하고 모든 제품에서 인텔리전스를 결합하여 보안 환경에 대한 총체적 그림을 그릴 수 있습니다.

각 제품에서 생성된 원시 데이터에서 정제된 신호를 가져와 다른 제품 및 기능의 신호와 결합하여 네트워크 및 위협 데이터 기능을 향상할 수 있습니다. 이는 보안 제품에 대한 일반적인 패러다임으로, 제품 사용자들 간에 긍정적인 플라이휠 효과를 주기 위해 구축됩니다. 한 고객이 새로운 맬웨어를 확인하면 엔드포인트 보호 벤더는 다른 모든 고객을 위해 이 맬웨어를 감지하고 차단하는 업데이트를 배포할 수 있습니다. 봇넷이 한 고객을 공격하는 경우, 그에 따라 해당 봇넷의 서명을 찾고 다른 고객을 보호하는 데 사용할 수 있는 정보가 제공됩니다. 장치가 분산 서비스 거부 공격(DDoS Attack)에 동원되는 경우 해당 정보를 사용하여 네트워크에서 향후 DDoS 공격을 더 빠르게 감지하고 완화할 수 있습니다. Cloudflare가 제공하는 제품 오퍼링의 폭은 사용자에 대한 플라이휠 효과의 이점이 사용자 간뿐만 아니라, 제품 간에도 축적됨을 의미합니다.

몇 가지 예를 살펴보겠습니다.

DNS 확인 및 인증서 투명성

첫째, Cloudflare는 1.1.1.1을 작동하는데, 이것은 세계에서 가장 큰 재귀 DNS 확인자 중 하나입니다. 당사는 이것을 프라이버시 포워드(privacy-forward) 방식으로 운영하므로, 이곳 Cloudflare에서는 누가 또는 어떤 IP가 쿼리를 수행했는지 알지 못하며 쿼리를 별개의 익명 사용자와 함께 연관 지을 수 없습니다. 그렇지만 확인자가 처리하는 요청을 통해 Cloudflare는 새로 등록된 도메인과 새로 본 도메인을 확인합니다. 또한 Cloudflare는 시중에서 가장 발전한 SSL/TLS 암호화 제품 중 하나를 보유하고 있으며, 그 일부는 인증서 투명성 로그를 유지 관리하는 데 도움을 주는 회원 조직입니다. 이는 웹 브라우저에서 신뢰하는 루트 인증 기관에서 발급한 모든 TLS 인증서의 공개 로그입니다. 이 두 제품 사이에서 Cloudflare는 인터넷에 어떤 도메인이 있고 언제 활성화되는지에 대해 타의 추종을 불허하는 관점을 가지고 있습니다. 당사는 이 정보를 사용하여 게이트웨이 제품을 위해 새로 표시되는 도메인 범주를 채울 뿐만 아니라 수명주기 초기에 의심스럽거나 잠재적으로 악의적 도메인에 레이블을 지정하는 기계 학습 모델에 이러한 도메인을 제공합니다.

이메일 보안

또 다른 예로, Area 1의 인수를 통해 Cloudflare는 제품 오퍼링에 상호 강화 기능의 새로운 세트를 가져오게 됩니다. 우리가 1.1.1.1 확인자에서 도메인을 위해 생성할 수 있는 모든 신호는 악의적 이메일을 식별하는 데 사용할 수 있으며, 악의적 이메일 식별에 대한 Area 1의 여러 해에 걸친 전문 지식을 통해 Cloudflare의 Gateway 제품과 가정용 1.1.1.1 DNS 확인자에 피드백할 수 있습니다. 과거에는 이와 같은 데이터 통합을 IT 또는 보안 팀에서 수행했을 것입니다. 대신 데이터가 조직의 공격 표면에 있는 지점 간에 원활하게 흐를 수 있게 되어 분석 및 분류 품질이 상호 강화됩니다. 요청 로깅, 차단, 원격 브라우저 격리를 포함한 전체 Cloudflare Zero Trust 도구 키트는 이메일을 통해 전달되는 잠재적인 악의적 링크를 처리하는 데 사용할 수 있게 되며, 이는 다른 보안 위험에 대해 이미 적용된 동일한 정책을 사용합니다.

지난 몇 년 동안 Cloudflare는 많은 제품에 기계 학습 사용을 통합했지만, 오늘 당사는 네트워크 보안을 강화하는 데이터와 신호를 고객에게 제공하는 새로운 도구를 출시했습니다. 보안 사고와 위협 사냥에 대응하든 조직을 보호하기 위해 사전에 보안 정책을 설정하든, 인간은 이제 Cloudflare 네트워크의 일부가 될 수 있습니다. 네트워크상에서 Cloudflare의 고유한 위치가 갖는 의미는 네트워크에 인사이트를 피드백하여 조직에서 사용하는 모든 Cloudflare 제품 전반에 걸쳐 조직을 보호할 뿐만 아니라 모든 Cloudflare 고객 간의 상호 인사이트 및 방어에 참여할 수 있다는 것입니다.

앞으로의 전망

Cloudflare는 조직의 전체 공격 표면을 다룰 수 있으며, 여기에는 웹 사이트 방어, Cloudflare Zero Trust를 통한 장치 및 SaaS 응용 프로그램 보호, Magic Transit을 통한 위치 및 사무실 보호, 이메일 통신 보호가 포함됩니다. 보안 센터는 오늘날 존재하는 사이버 보안 위험을 이해하는데 필요한 모든 정보를 제공하며 Cloudflare를 사용하여 조직을 방어하는 데 도움이 됩니다."뉴스에서 듣게 되는 와이퍼 맬웨어란 무엇이며, 어떻게 와이퍼 맬웨어로부터 우리 회사를 보호할 수 있습니까?" 이러한 질문을 받고 답변을 드리겠습니다. 원시 정보뿐만 아닌 귀하와 관련된 정보와 인터넷을 사용하는 방법입니다. 우리는 보안 센터에 대한 큰 그림을 그리고 있습니다. 파일 스캐닝 포털에서는 Page Shield에서 확인한 JavaScript 파일, Gateway에서 스캔한 실행 파일, 파일 업로드 및 스캔 기능에 대한 정보를 제공합니다. IP 주소와 도메인과 같은 손상 지표는 알려진 경우에 관련 위협 행위자에 대한 정보로 연결되며, 직면한 기술과 전술에 대한 더 많은 정보와 Cloudflare 제품을 사용하여 이를 방어하는 방법에 대한 정보를 제공합니다. CVE 검색을 통해 소프트웨어 취약점에 대한 정보를 찾을 수 있으며, 이 블로그에서 읽는 것과 동일한 이해하기 쉬운 Cloudflare 관점을 함께 제공하여 전문 용어와 기술 언어를 이해하는 데 도움을 드립니다. 오늘 출시와 함께, 이제 막 시작합니다.

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.

Security Week (KO) 위협 인텔리전스 보안 센터 위협 데이터

Follow on Twitter

Patrick R. Donahue |@prdonahue
Cloudflare |Cloudflare

Related Posts

March 17, 2022 9:59AM

Cloudflare와 CrowdStrike는 파트너 관계를 맺어 CISO에 장치, 응용 프로그램 및 기업 네트워크 전반에 걸쳐 보안 제어를 제공합니다

오늘, CrowdStrike와의 새로운 통합 기능 여러 가지를 발표하게 되어 기쁩니다. 이번 통합은 Cloudflare의 광범위한 네트워크와 Zero Trust 제품군을 CrowdStrike의 EDR(엔드포인트 위협 감지 및 대응) 및 인시던트 복원 서비스와 결합합니다...