In het huidige snelle digitale landschap beheren bedrijven een steeds complexere mix van omgevingen: van SaaS-applicaties en public cloud tot datacenters op locatie en hybride configuraties. Deze gevarieerde infrastructuur biedt flexibiliteit en schaalbaarheid, maar creëert ook nieuwe aanvalsoppervlakken.
Om zowel de bedrijfscontinuïteit als de beveiligingsbehoeften te ondersteunen, moet 'beveiliging van reactief naar voorspellend evolueren'. Voor een solide beveiligingspositie moet je je beveiliging in de gaten houden en versterken om risico's te identificeren, naleving te waarborgen en jezelf te beschermen tegen nieuwe dreigingen. Dankzij de nieuwste mogelijkheden kun je Cloudflare nu gebruiken om de beveiliging van je SaaS- en webapplicaties optimaal te houden. Dit beantwoordt de ultieme (dagelijkse) vraag van elk beveiligingsteam: Hoe goed zijn onze assets en documenten beschermd?
Voorspellende beveiliging is gebaseerd op de volgende belangrijke onderdelen:
Realtime detectie en inventarisatie van al je assets en documenten
Continue assetbewuste dreigingsdetectie en risicobeoordeling
Geprioriteerde herstelsuggesties om je bescherming te vergroten
Vandaag laten we zien hoe we deze belangrijke onderdelen voor SaaS- en webapplicaties hebben ontwikkeld en hoe je ze kunt gebruiken om de beveiligingspositie van je bedrijf te beheren.
Je beveiligingspositie in één oogopslag
Ongeacht welke applicaties je met het wereldwijde netwerk van Cloudflare hebt verbonden, scant Cloudflare regelmatig en actief op risico's en verkeerde configuraties van elke applicatie. Geïdentificeerde risico's en verkeerde configuraties worden in het dashboard onder Beveiligingscentrum weergegeven als inzichten.
De inzichten worden gegroepeerd op basis van de ernst, het type risico en de bijbehorende Cloudflare-oplossing. Zo krijg je verschillende invalshoeken om in te zoomen op waar je je op wilt richten. Soms is er een oplossing met één klik beschikbaar voor bepaalde soorten inzichten, zoals het instellen van de minimale TLS-versie op 1.2, wat wordt aanbevolen door PCI DSS. Deze eenvoud wordt zeer gewaardeerd door klanten die een groeiend aantal assets binnen een organisatie beheren.
Om de tijd tot een oplossing verder te verkorten, hebben we onlangs RBAC/op rollen gebaseerd toegangsbeheer toegevoegd aan Beveiligingsinzichten op het Cloudflare-dashboard. Nu hebben individuele beveiligingsprofessionals toegang tot een gedistilleerd overzicht van de inzichten die relevant zijn voor hun rol. Een gebruiker met een beheerdersrol (bijvoorbeeld een CSO) kan alle inzichten weergeven en inzien.
Naast accountbrede beveiligingsinzichten bieden we ook overzichten van je beveiligingspositie die nauwer aansluiten bij de beveiligingsconfiguraties van je SaaS- en web-applicaties. Laten we ze eens onder de loep nemen.
Je SaaS-applicaties beveiligen
Zonder gecentraliseerd positiebeheer kunnen SaaS-applicaties aanvoelen als het wilde westen in beveiligingsland. Ze bevatten een schat aan gevoelige informatie: bestanden, databases, werkruimten, ontwerpen, facturen en alles wat je bedrijf nodig heeft om te functioneren. Maar de controle erover is beperkt tot de instellingen van de leverancier, waardoor je minder inzicht en aanpassingsopties hebt. Verder zijn teamleden voortdurend bezig met het maken, updaten en verwijderen van content die kan leiden tot configuratieafwijkingen en blootstelling van gegevens, zoals het openbaar delen van bestanden, het toevoegen van persoonlijk identificeerbare informatie aan niet-conforme databases of het verlenen van toegang aan integraties van derden. Met Cloudflare heb je via één dashboard inzicht in al je SaaS-applicaties.
Inzichten in de beveiligingspositie van je SaaS-applicaties
Je kunt accountbrede beveiligingsinzichten bekijken over mogelijke SaaS-beveiligingsproblemen:
Kiezen ervoor om dieper te graven met Cloud Access Security Broker (CASB) voor een grondige beoordeling van verkeerde configuraties, risico's en niet-naleving van best practices in je SaaS-applicaties. Je kunt een schat aan beveiligingsinformatie zien, zoals:
Openbaar beschikbare of extern gedeelde bestanden
Toepassingen van derden met lees- of bewerkingsrechten
Onbekende of anonieme gebruikerstoegang
Databases met blootgestelde referenties
Gebruikers zonder tweefactorauthenticatie
Inactieve gebruikersaccounts
Je kunt ook de pagina Positiebevindingen verkennen. Daarmee kun je eenvoudig zoeken en navigeren in documenten die in de SaaS-applicaties opgeslagen zijn.
Ook kun je beleid maken om configuratieafwijkingen in je omgeving te voorkomen. Preventief beleid helpt een veilige configuratie en nalevingsnormen te handhaven, terwijl beveiligingsteams geen overdaad aan waarschuwingen krijgen. Bovendien kan dit beleid de ongewenste verplaatsing of exfiltratie van gevoelige gegevens voorkomen. Door controles en inzicht in verschillende omgevingen op één plek te hebben, kun je gereguleerde gegevensklassen eenvoudiger vergrendelen, gedetailleerde controletrajecten bijhouden via logboeken en je beveiligingspositie verbeteren om het risico op inbreuken te verkleinen.
Hoe het werkt: nieuwe, realtime SaaS-documentdetectie
Om onze klanten informatie over hun SaaS-beveiligingspositie te kunnen bieden, moeten we enorme hoeveelheden gegevens verzamelen van een hele reeks platforms. Om ervoor te zorgen dat alle documenten in je SaaS-applicaties (bestanden, ontwerpen, enz.) beveiligd zijn, moeten we informatie verzamelen over hun configuratie: worden ze openbaar gedeeld, hebben apps van derden toegang en is multifactorauthenticatie (MFA) ingeschakeld?
Eerder deden we dit met crawlers, die gegevens uit de SaaS-API's haalden. Maar bij grotere datasets kregen we te maken met snelheidslimieten van de SaaS-leveranciers. Dit dwong ons om in batches te werken en meer of minder scans uit te voeren, afhankelijk van de leveranciers. Dit leidde tot verouderde bevindingen en maakte herstel lastig en onduidelijk. Cloudflare meldde bijvoorbeeld een korte tijd nadat machtigingen waren ingetrokken dat een bestand nog openbaar werd gedeeld, wat tot verwarring bij klanten leidde.
Om dit probleem op te lossen, hebben we onze pijplijn voor gegevensverzameling verbeterd, zodat deze dynamisch en realtime is en reageert op wijzigingen in je omgeving zodra ze zich voordoen. Het maakt daarbij niet uit of het gaat om een nieuwe beveiligingsbevinding, een bijgewerkte asset of een kritieke waarschuwing van een leverancier. We zijn begonnen met de ontdekking van en positie-inzichten voor Microsoft-assets, waarmee je realtime inzicht krijgt in je configuraties van Microsoft Admin Center, OneDrive, Outlook en SharePoint. We breiden de ondersteuning binnenkort uit naar meer SaaS-leveranciers.
Luisteren naar updategebeurtenissen van Cloudflare Workers
Cloudflare Workers dienen als toegangspunt voor webhooks van leveranciers en verwerken meldingen over wijzigingen in assets van externe services. De workflow verloopt als volgt:
Webhook-listener: een eerste Worker dient als webhook-listener en ontvangt berichten van leveranciers over wijzigingen in assets.
Gegevensopslag en wachtrijen: na ontvangst van een bericht uploadt de Worker de onbewerkte payload van de wijzigingsmelding naar Cloudflare R2 voor langdurige opslag en publiceert hij deze in een Cloudflare-wachtrij voor onbewerkte assetwijzigingen.
Transformation Worker: Een tweede Worker, die als consument is gekoppeld aan de wachtrij voor onbewerkte assetwijzigingen, verwerkt de inkomende berichten. Deze Worker transformeert de onbewerkte leverancierspecifieke gegevens naar een generiek formaat dat geschikt is voor CASB. De getransformeerde gegevens worden dan:
Opgeslagen in Cloudflare R2 voor de toekomst.
Gepubliceerd in een andere Cloudflare-wachtrij, bestemd voor getransformeerde berichten.
CASB-verwerking: consumenten en crawlers
Zodra de getransformeerde berichten de CASB-laag bereiken, worden ze verder verwerkt:
Polling consumer: CASB heeft een consumer die de getransformeerde berichtenwachtrij pollt. Zodra een bericht wordt ontvangen, bepaalt hij welke handler nodig is voor de verwerking.
Crawler-uitvoering: de handler wijst het bericht vervolgens toe aan een geschikte crawler, die samenwerkt met de API van de leverancier om de meest recente assetgegevens op te halen.
Gegevensopslag: De opgehaalde assetgegevens worden opgeslagen in de CASB-database, zodat deze toegankelijk zijn voor beveiligings- en nalevingscontroles.
Dankzij deze verbetering verwerken we nu 10 tot 20 Microsoft-updates per seconde, ofwel 864.000 tot 1,72 miljoen updates per dag. Hierdoor krijgen klanten ongelooflijk snel inzicht in hun omgeving. Blijf ons volgen, want de komende maanden breiden we dit uit naar andere SaaS-leveranciers.
Je webapplicaties beveiligen
Een unieke uitdaging bij het beveiligen van webapplicaties is dat er niet één geschikte oplossing voor alle applicaties is. Assetbewust beveiligingspositiebeheer overbrugt de kloof tussen een universele beveiligingsoplossing en unieke zakelijke behoeften, en biedt aanbevelingen op maat voor beveiligingsteams om te beschermen wat ertoe doet.
Overzicht van beveiligingspositie tegen aanvallen, dreigingen en risico's
Vanaf vandaag hebben alle Cloudflare-klanten toegang tot Security Overview, een nieuwe landingspagina die aan elk van je aangesloten domeinen is aangepast. Op deze pagina worden beveiligingssuggesties voor al je webapplicaties verzameld en geprioriteerd:
Alle (lopende) gedetecteerde aanvallen die onmiddellijke aandacht vereisen
De status (afgeweerd, afkomstig van Cloudflare, afkomstig van oorsprong) van al het geproxiede verkeer van de afgelopen 7 dagen
Samenvatting van momenteel actieve beveiligingsmodules die dreigingen detecteren
Suggesties voor het verbeteren van je beveiligingspositie met een stapsgewijze handleiding
En een blik op je meest actieve en laatst bijgewerkte beveiligingsregels
Deze beveiligingsadviezen op maat worden weergegeven op basis van je verkeersprofiel en zakelijke behoeften. Dit is mogelijk door je geproxiede webapplicaties te detecteren.
Ontdekking van webassets
Veel webapplicaties, ongeacht hun branche of use case, vereisen vergelijkbare functionaliteiten: gebruikersidentificatie, het accepteren van betalingsgegevens, etc. Door te ontdekken welke assets deze functionaliteit ondersteunen, kunnen we gerichte dreigingsdetectie ontwikkelen en uitvoeren om ze goed te beschermen.
Zo heeft botverkeer naar marketingpagina's en inlogpagina's bijvoorbeeld een andere impact op het bedrijf. Automatisch verzamelen van content kan gericht zijn op je marketingmateriaal, iets wat je wel of niet wilt toestaan, terwijl credential stuffing op je inlogpagina je onmiddellijke aandacht verdient.
Webassets worden beschreven door een lijst met eindpunten. Door elk van deze assets te labelen, worden hun zakelijke doelen gedefinieerd. Een eenvoudig voorbeeld zijn POST-verzoeken naar het pad /portal/login, wat waarschijnlijk een API voor gebruikersauthenticatie beschrijft. Terwijl de GET-aanvragen naar het pad /portal/login verwijzen naar de daadwerkelijke inlogpagina.
Om de zakelijke doelen van eindpunten te beschrijven, gebruiken we labels. POST-verzoeken naar het eindpunt /portal/login voor eindgebruikers en naar het eindpunt /api/admin/login dat door werknemers wordt gebruikt, kunnen beide worden gelabeld met hetzelfde cf-log-in-label. Zo weet Cloudflare dat het normaal is dat gebruikersnamen en wachtwoorden naar deze eindpunten worden verzonden.
API Shield-klanten kunnen nu al gebruikmaken van eindpunt-labelling. Begin Q2 2025 voegen we labeldetectie- en suggestiemogelijkheden toe, te beginnen met drie labels: cf-log-in, cf-sign-up en cf-rss-feed. Alle andere klanten kunnen deze labels handmatig toevoegen aan de opgeslagen eindpunten. Een voorbeeld, dat hieronder wordt uitgelegd, is het voorkomen dat er bij aanmeldingen wegwerpbare e-mailadressen worden gebruikt.
Detectie van dreigingen en risicobeoordeling die altijd aanstaat
Detectie van dreigingen op basis van use case
Vanwege de groeiende belangstelling voor generatieve AI, vertelden klanten ons dat ze ondersteuning nodig hebben om deze nieuwe technologie te beveiligen zonder dat dit innovatie in de weg staat. Detectie van LLM-gestuurde services maakt het mogelijk om de relevante beveiligingsmaatregelen voor deze specifieke technologie nauwkeurig af te stemmen. Denk bijvoorbeeld aan het inspecteren van prompts, het beperken van de promptfrequentie op basis van het tokengebruik, etc. In een apart Security Week-blogbericht leggen we uit hoe we een Cloudflare Firewall voor AI hebben ontwikkeld en hoe je je generatieve AI-workloads eenvoudig kunt beschermen.
Detectie van accountfraude, dat meerdere aanvalsvectoren omvat, is een ander belangrijk gebied waarop we ons in 2025 richten.
Op veel inlog- en registratiepagina's wordt een CAPTCHA-oplossing gebruikt om alleen mensen door te laten, op basis van de aanname dat alleen bots ongewenste acties uitvoeren. Afgezien van het feit dat de meeste visuele CAPTCHA-puzzels tegenwoordig eenvoudig door AI kunnen worden opgelost, lost deze aanpak de hoofdoorzaak van de meeste vormen van accountfraude niet goed op. Een voorbeeld is dat mensen wegwerpbare e-mailadressen gebruiken om eenmalige accounts aan te maken en te profiteren van promoties.
Om dit probleem met frauduleuze aanmeldingen op te lossen, kan een beveiligingsregel die nu in ontwikkeling is worden geïmplementeerd zoals hieronder. Deze regel blokkeert alle pogingen waarbij wegwerpbare e-mailadressen als gebruikers-ID worden gebruikt, ongeacht of de aanvrager geautomatiseerd is of niet. Alle bestaande en toekomstige eindpunten met het label cf-log-in of cf-sign-up worden beschermd door deze ene regel, omdat ze allebei gebruikersidentificatie vereisen.
Onze snelgroeiende, op use cases gebaseerde dreigingsdetecties worden standaard uitgevoerd vanaf het moment dat je je verkeer naar Cloudflare hebt geleid. De direct beschikbare detectieresultaten kun je bekijken via beveiligingsanalyses, zodat je snel en weloverwogen beslissingen kunt nemen.
Risicobeoordeling van API-eindpunt
API's hebben hun eigen risico's en kwetsbaarheden. Cloudflare levert vandaag zeven nieuwe risicoscans via API-positiebeheer. Deze nieuwe functionaliteit van API Shield helpt risico's te beperken door beveiligingsproblemen te identificeren en ze zo snel mogelijk op te lossen, voordat API's worden aangevallen. Omdat API's meestal uit veel verschillende backendservices bestaan, moeten beveiligingsteams vaststellen welke backendservice kwetsbaar is. Zo kunnen ontwikkelingsteams de geïdentificeerde problemen verhelpen.
Onze nieuwe scans van risico's in API-positiebeheer doen precies dat: gebruikers kunnen snel identificeren welke API-eindpunten mogelijk een aantal kwetsbaarheden hebben, waaronder blootstelling van gevoelige gegevens, authenticatiestatus en BOLA-aanvallen (Broken Object Level Authorization).
De authenticatiepositie is een van de risicoscans die je in het nieuwe systeem zult zien. We hebben ons hier als eerste op gericht, omdat gevoelige gegevens gevaar lopen als API-authenticatie als verplicht wordt beschouwd, maar in werkelijkheid niet werkt. Authenticatiepositie helpt klanten authenticatiefouten voor API's te identificeren en waarschuwt voor de aanwezigheid ervan. Dit is mogelijk door op succesvolle verzoeken bij de API te scannen en de authenticatiestatus vast te stellen. API Shield scant dagelijks het verkeer en labelt API-eindpunten met ontbrekende en gemengde authenticatie voor verdere beoordeling.
Klanten die sessie-ID's in API Shield hebben geconfigureerd, kunnen de nieuwe labels voor risicoscans en authenticatiegegevens per eindpunt vinden in API Shield. Beveiligingsteams kunnen deze informatie doorgeven aan hun ontwikkelingsteams, zodat zij de defecte authenticatie kunnen herstellen.
Vandaag lanceren we scans voor de authenticatiepositie, gevoelige gegevens, onvoldoende beveiligde API's, BOLA-aanvallen en anomaliescans voor API-prestaties op het gebied van fouten, latentie en responsgrootte.
Behoud makkelijker een goede beveiligingspositie met Cloudflare
Om in een snel veranderende omgeving een goede beveiligingspositie te bereiken, heb je innovatieve oplossingen nodig die complexe zaken eenvoudig maken. De mogelijkheid om met één platform constant dreigingen en risico's in openbare én particuliere IT-omgevingen te beoordelen, is onze eerste stap om klanten te helpen een goede beveiligingspositie te behouden.
Om de relevantie van de inzichten en suggesties op het gebied van beveiliging verder te vergroten en je te helpen je acties beter te prioriteren, onderzoeken we de mogelijkheid om Cloudflare's wereldwijde visie op dreigingslandschappen te integreren. Zo krijg je extra perspectieven over bijvoorbeeld de grootste dreigingen voor je sector en waar aanvallers zich op dit moment op richten. Blijf ons volgen voor meer updates later dit jaar.
Zet je SaaS- en webapplicaties vandaag nog over naar Cloudflare en krijg direct inzicht in hoe je de beveiligingspositie van je bedrijf kunt verbeteren.