Een van de grootste uitdagingen waar cyberverdedigers tegenwoordig mee te maken hebben, is het analyseren van detectietreffers in de indicatorfeeds. Deze feeds leveren metadata over specifieke inbreukindicatoren (IOC's), zoals IP-adressen, ASN's, domeinen, URL en hashes. Hoewel indicatorfeeds in de dreigingsinformatiesector als paddenstoelen uit de grond zijn geschoten, bevatten de meeste feeds geen contextuele informatie over de reden waarom een indicator in de feed is opgenomen. Nog een beperking van de meeste huidige feeds is dat ze zich uitsluitend op blokkeerbare indicatoren richten en complexere gevallen niet eenvoudig kunnen verwerken, zoals een dreigingsactor die misbruik maakt van een CVE of een interne bedreiging. In plaats daarvan wordt dit soort complexe dreigingsinformatie voor uitgebreide rapportages bewaard. Deze lange rapporten gaan echter ook met uitdagingen gepaard, zoals de tijd die nodig is voor het schrijven en bewerken van het document, wat veel tijd in beslag kan nemen, zodat de dreigingsinformatie niet tijdig wordt vrijgegeven.
Vanwege deze uitdagingen presenteren we ons dreigingsplatform voor Cloudforce One-klanten. Cloudflare blokkeert elke dag miljarden cyberdreigingen. Dit nieuwe platform bevat contextuele gegevens over de dreigingen die we op het Cloudflare-netwerk monitoren en aanpakken. Het is ontworpen om beveiligingsprofessionals en besluitvormers van bruikbare informatie te voorzien vanuit een wereldwijd perspectief.
Gemiddeld verwerken we 71 miljoen HTTP-verzoeken en 44 miljoen DNS-query's per seconde. Dit verkeersvolume verschaft ons waardevolle inzichten en een compleet beeld van actuele (realtime) dreigingen. Het nieuwe dreigingsplatform maakt gebruik van de informatie die dit verkeer oplevert voor een uitgebreid, realtime overzicht van de dreigingsactiviteiten op het internet. Zo kunnen Cloudforce One-klanten hun activa beter beschermen en op opkomende bedreigingen reageren.
We bouwen het dreigingsplatform met gebruik van de verkeersinzichten van Cloudflare
De enorme hoeveelheid dreigingen die in het netwerk van Cloudflare wordt waargenomen, is overweldigend voor elk systeem en elke SOC-analist. In plaats daarvan bundelen we deze activiteit tot een gebeurtenisstroom die niet alleen inbreukindicatoren (IOC's) bevat, maar ook context. Hierdoor wordt het eenvoudiger om actie te ondernemen op basis van de unieke gegevens van Cloudflare. Ten eerste leggen we gebeurtenissen bloot die verband houden met denial-of-service (DOS)-aanvallen die we in ons netwerk waarnemen, samen met de geavanceerde dreigingen die door ons Cloudforce One Intelligence-team worden getraceerd, zoals de verschillende hulpmiddelen, technieken en procedures die worden gebruikt door de dreigingsactoren die we volgen. We hebben de gebeurtenissen in kaart gebracht op basis van het MITRE ATT&CK-framework conform de cyber kill chain-fasen. In de toekomst zullen we gebeurtenissen toevoegen die betrekking hebben op het verkeer dat wordt geblokkeerd door onze Web Application Firewall (WAF), Zero Trust Gateway, Zero Trust Email Security Business Email Compromise en vele andere datasets waar alleen Cloudflare over beschikt. Samen bieden deze gebeurtenissen onze klanten een uitgebreid overzicht van de dreigingsactiviteiten die op het internet plaatsvinden.
Elke dreigingsgebeurtenis omvat de specifieke dreigingsactiviteit die we hebben waargenomen, vergelijkbaar met een STIX2-waarnemingsobject. Daarnaast wordt een samenvatting gegeven van de contextuele informatie, plus een uitgebreide weergave en een overzicht van de MITRE ATT&CK- en Cyber Kill Chain-fasen. Raadpleeg de API-documentatie voor een voorbeeld.
Ons doel is om klanten meer inzicht te bieden in de dreigingen die momenteel plaatsvinden. Dat doen we door hen belangrijke informatie te verschaffen waarmee ze zowel algemene als specifieke vragen over de dreigingen voor hun organisaties kunnen onderzoeken en beantwoorden. Bijvoorbeeld:
Wie valt mijn branche aan?
Wie valt mijn land aan?
Welke indicatoren kan ik gebruiken om aanvallen op mijn branche te blokkeren?
Wat heeft een cybercrimineel gedurende een bepaalde periode in de kill chain gedaan?
Elke gebeurtenis heeft een unieke identificatiecode waarmee die aan de geïdentificeerde dreigingsactiviteit wordt gekoppeld. Hierdoor kunnen onze Cloudforce One dreigingsinformatie-analisten aanvullende context voor vervolgonderzoeken leveren.
We hebben het dreigingsplatform met gebruik van Cloudflare Workers gebouwd
We hebben ervoor gekozen om het dreigingsplatform met behulp van het Cloudflare Developer Platform te bouwen, omdat we hiermee optimaal gebruik konden maken van de veelzijdigheid en naadloze integratie van Cloudflare Workers. Het platform is in feite een Cloudflare Worker die gebruikmaakt van SQLite-backed Durable Objects om gebeurtenissen op te slaan die op het Cloudflare-netwerk worden waargenomen. We hebben ervoor gekozen om Durable Objects te gebruiken in plaats van D1, de serverless SQL-databaseoplossing van Cloudflare, omdat we hiermee dynamisch SQL-tabellen kunnen aanmaken om unieke, aanpasbare datasets op te slaan. Door datasets op deze manier op te slaan, kunnen we de dreigingsgebeurtenissen over ons netwerk opschalen. Zo zijn we bestand tegen de datapieken, gezien de onvoorspelbare aard van internet-aanvallen. Hierdoor kunnen we ook gebeurtenissen per databron beheren, een subset van datasets met vertrouwde partners delen of de toegang tot alleen bevoegde gebruikers beperken. Tot slot wordt de metadata van elke afzonderlijke dreigingsgebeurtenis in de Durable Object KV opgeslagen, zodat we over contextuele data beschikken die verder gaan dan onze vaste, doorzoekbare velden. Voorbeelden hiervan zijn requests-per-second voor onze denial-of-service-gebeurtenissen of broninformatie, zodat Cloudforce One-analisten de gebeurtenis aan de exacte dreigingsactiviteit kunnen koppelen voor nader onderzoek.
Zo gebruiken wij de dreigingsgebeurtenissen
Cloudforce One-klanten hebben toegang tot dreigingsgebeurtenissen via het Cloudflare Dashboard in Security Center of via de API voor dreigingsgebeurtenissen van Cloudforce One. Elk van deze filters toont de stroom van dreigingsactiviteiten die op het internet plaatsvindt, zoals waargenomen door Cloudflare. Deze stroom kan worden aangepast met door de gebruiker gedefinieerde filters.
Op het Cloudflare Dashboard hebben gebruikers toegang tot de Attacker Timelapse-weergave, waarmee ze strategische vragen kunnen beantwoorden. Ook hebben ze toegang tot een uitgebreide gebeurtenistabel om dieper op de aanvalsdetails in te gaan. Deze aanpak zorgt ervoor dat gebruikers altijd de meest relevante informatie binnen handbereik hebben.
Gebeurtenissentabel
De gebeurtenissentabel is een uitgebreid overzicht in het Security Center waarin gebruikers specifieke dreigingsactiviteiten kunnen analyseren, gefilterd op diverse criteria. Hier kunnen gebruikers specifieke dreigingsgebeurtenissen en vijandige campagnes onderzoeken met behulp van de verkeersinzichten van Cloudflare. Het allerbelangrijkste is dat deze tabel onze gebruikers bruikbare inbreukindicatoren en een samenvatting van gebeurtenissen levert, zodat ze hun diensten op de juiste manier kunnen verdedigen. Alle gegevens in onze gebeurtenistabel zijn ook toegankelijk via de API voor dreigingsgebeurtenissen van Cloudforce One.
Hier volgt een praktijkvoorbeeld van de kracht van deze dreigingsgebeurtenissen:
Onlangs gelekte chats van de criminele organisatie Black Basta onthulden informatie over hun slachtoffers, methoden en infrastructuuraankopen. Hoewel we niet kunnen bevestigen of de gelekte chats op enigerlei wijze waren gemanipuleerd, konden we de besproken infrastructuur eenvoudig verifiëren. Hierdoor is deze dreigingsinformatie nu beschikbaar in de vorm van dreigingsgebeurtenissen, compleet met alle unieke contextgegevens van Cloudflare.
Analisten die de domeinen, hosts en bestandsamples zoeken die door Black Basta worden gebruikt, kunnen dankzij de dreigingsgebeurtenissen waardevolle inzichten verkrijgen in de activiteiten van deze dreigingsactor. In de gebruikersinterface voor dreigingsgebeurtenissen kan een gebruiker bijvoorbeeld de kolom 'Aanvaller' filteren door 'BlackBasta' uit het keuzemenu te selecteren, zie onderstaande afbeelding. Dit levert een samengestelde lijst op met geverifieerde IP-adressen, domeinen en bestandshashes voor verder onderzoek. Voor meer informatie over het unieke inzicht dat Cloudflare in de dreigingsactiviteiten van Black Basta biedt, lees Black Basta's blunder: de gelekte groepschats.
Waarom we dreigingsgebeurtenissen publiceren
Onze klanten worden geconfronteerd met talloze cyberdreigingen die de bedrijfsvoering kunnen verstoren en gevoelige gegevens in gevaar kunnen brengen. Aangezien de cybercriminelen steeds geraffineerder worden, is de behoefte aan tijdige en relevante dreigingsinformatie groter dan ooit. Daarom maken we informatie over dreigingsgebeurtenissen bekend, om een beter inzicht in deze dreigingen te leveren.
Het dreigingsplatform wil aan deze behoefte voldoen met een uitgebreider en meer gecontextualiseerd overzicht van de actuele dreigingsactiviteiten. Hierdoor kunnen analisten de incidenten zelf via aanpasbare filters onderzoeken en analyseren om patronen te identificeren en effectieve tegenmaatregelen te treffen. Door toegang te bieden tot realtime dreigingsgegevens, stellen we organisaties in staat om weloverwogen beslissingen over hun beveiligingsstrategieën te nemen.
Wij wilden de waarde van ons dreigingsplatform valideren en daarom hebben we het platform door een Fortune 20-dreigingsinformatieteam laten testen. Dit team voerde een analyse uit op basis van 110 andere bronnen en wij eindigden als dreigingsinformatiebron op de eerste plaats. Ze vonden ons een 'eenhoorn' op het gebied van dreigingsinformatie. Het is nog vroeg, maar de eerste feedback bevestigt dat onze intelligentie niet alleen uniek, maar ook van uitzonderlijke waarde is voor verdedigingsteams.
Wat is de volgende stap?
Cloudforce One-klanten hebben nu toegang tot onze API en ons dashboard, waardoor ze de dreigingsinformatie naadloos in hun bestaande systemen kunnen integreren. Binnenkort krijgen ze ook toegang tot meer visualisaties en analyses van de dreigingsgebeurtenissen, zodat ze hun bevindingen beter kunnen begrijpen en er beter over kunnen rapporteren. Deze nieuwe gebruikersinterface bevat verbeterde visualisaties van aanvalstijdlijnen, campagneoverzichten en aanvalsgrafieken die nog meer inzicht leveren in de dreigingen voor organisaties. Bovendien maken wij het mogelijk om deze service in bestaande SIEM-platforms te integreren en de indicatoren met andere systemen te delen.
Lees hier meer over het dreigingsinformatie-onderzoek dat ons team publiceert of neem contact op met je accountteam over hoe je onze nieuwe dreigingsevenementen kunt gebruiken om de cybersecuritypositie van jouw bedrijf te verbeteren.