Assine para receber notificações de novos posts:

Novidade! O Security Analytics fornece uma visão abrangente de todo o seu tráfego

2022-12-09

6 min. de leitura
Introducing Security Analytics: a view across all your traffic

Um tráfego de proxy de aplicativos através da Cloudflare se beneficia de uma ampla variedade de recursos de segurança fáceis de usar, incluindo WAF, gerenciamento de bots e mitigação de DDoS. Para entender se o tráfego foi bloqueado pela Cloudflare, criamos um poderoso painel no Security Events que permite examinar quaisquer eventos de mitigação. Os proprietários de aplicativos geralmente se perguntam o que aconteceu com o restante do tráfego. Eles bloquearam todo o tráfego detectado como malicioso?

Hoje, juntamente com o comunicado do WAF Attack Score, lançamos o novo Security Analytics.

O Security Analytics oferece uma lente de segurança em todo o seu tráfego HTTP, não apenas em solicitações mitigadas, permitindo que você se concentre no que mais importa: tráfego considerado malicioso, mas possivelmente não mitigado.

Detectar e mitigar

Imagine que você acabou de integrar seu aplicativo à Cloudflare e sem nenhum esforço adicional, cada solicitação HTTP é analisada pela rede Cloudflare. As análises são, portanto, enriquecidas com análises de ataques, análises de bots e qualquer outro sinal de segurança fornecido pela Cloudflare.

Imediatamente, sem risco de causar falsos positivos, você pode visualizar todo o seu tráfego para explorar o que está acontecendo, quando e onde.

Isso permite que você se aprofunde diretamente na análise dos resultados desses sinais, reduzindo o tempo necessário para implantar mitigações de bloqueio ativo e aumentando sua confiança na tomada de decisões.

Diagram of detecting incoming requests before deploying mitigation rules

Chamamos essa abordagem de “detectar e mitigar” e já recebemos feedback bastante positivo de clientes com acesso antecipado.

Na verdade, o Gerenciamento de bots da Cloudflare tem usado esse modelo nos últimos dois anos. Constantemente ouvimos comentários de nossos clientes que, com maior visibilidade, eles têm muita confiança em nossa solução de pontuação de bots. Para apoiar ainda mais essa nova forma de proteger seus aplicativos web e reunir todos os nossos sinais inteligentes, projetamos e desenvolvemos o novo Security Analytics que passa a trazer sinais do WAF e outros produtos de segurança para seguir esse modelo.

Screenshot of plotting attack analysis over time as bar chart, indicating some likely attacks

Novo Security Analytics

Criado com base no sucesso de nossas experiências de análise de dados, o novo Security Analytics emprega componentes existentes, como estatísticas principais, filtros rápidos no contexto, com um novo layout de página que permite exploração e validação rápidas. As seções a seguir detalham esse novo layout de página, formando um fluxo de trabalho de alto nível.

A principal diferença entre o Security Analytics e o Security Events é que o primeiro é baseado em solicitações HTTP que cobrem a visibilidade de todo o tráfego do site, enquanto o Security Events usa um conjunto de dados diferente que visualiza sempre que há uma correspondência com qualquer regra de segurança ativa.

Definir um foco

O novo Security Analytics visualiza o conjunto de dados de solicitações HTTP de amostra com base em todo o seu aplicativo, da mesma forma que a análise de bots. Ao validar o modelo “detectar e mitigar” com clientes selecionados, um comportamento comum observado é usar os principais N estatísticos para restringir rapidamente tanto as anomalias óbvias quanto certas partes do aplicativo. Com base nesse insight, a página começa com os principais N estatísticos selecionadas, abrangendo as origens e os destinos da solicitação, permitindo a expansão para visualizar todas as estatísticas disponíveis. Perguntas como “Qual o nível de proteção da área do administrador do meu aplicativo?” são respondidas com um ou dois cliques rápidos de filtro nesta área.

Screenshot of expandable top N statistics

Detectar anomalias nas tendências

Depois que um foco preliminar é definido, o núcleo da interface é dedicado a traçar tendências ao longo do tempo. O gráfico de séries temporais provou ser uma ferramenta poderosa para ajudar a detectar anomalias de tráfego, permitindo também plotar com base em diferentes critérios. Sempre que houver um pico, é provável que tenha ocorrido um ataque ou tentativa de ataque.

Conforme mencionado acima, diferente do Security Events, o conjunto de dados usado nesta página são solicitações HTTP que incluem solicitações mitigadas e não mitigadas. Por solicitações mitigadas aqui, queremos dizer “qualquer solicitação HTTP que teve uma ação de ‘encerramento’ aplicada pela plataforma Cloudflare”. O restante das solicitações que não foram mitigadas são atendidas pelo cache da Cloudflare ou chegam à origem. No caso de um pico em solicitações não mitigadas, mas estável em solicitações mitigadas, pode-se supor que houve um ataque que não correspondeu a nenhuma regra WAF ativa. Neste exemplo, você pode clicar uma vez para filtrar as solicitações não mitigadas diretamente no gráfico que atualizará todos os dados visualizados nesta página, dando suporte a futuras investigações.

Além da plotagem padrão de solicitações não mitigadas e mitigadas, você também pode optar por plotar tendências de análise de ataque ou análise de bots, permitindo identificar anomalias para comportamentos de ataque ou de bots.

Screenshot of default plotting of mitigated versus not mitigated requests

Ampliação dos sinais de análise

Um dos sinais de análise mais amados e confiáveis por nossos clientes é a pontuação de bots. Com a mais recente adição do WAF Attack Score e do Content Scanning, unimos todos em uma página de análise de dados, que ajuda você a observar de forma ampliada seu tráfego com base em alguns desses sinais. A combinação desses sinais permite encontrar respostas para cenários que até agora não eram possíveis:

  • Solicitações de ataque feitas por fontes automatizadas (definidas)
  • Prováveis solicitações de ataque feitas por humanos
  • Conteúdo carregado com/sem conteúdo malicioso feito por bots

Depois que um cenário é filtrado, a visualização de dados de toda a página, incluindo os principais N estatísticos, tendência de solicitações HTTP e amostras de logs, será atualizada, permitindo que você identifique quaisquer anomalias entre um dos principais N estatísticos ou a tendência das solicitações HTTP baseadas em tempo.

Screenshot of analysis signals

Analisar as amostras de logs

Depois de ampliar uma parte específica de seu tráfego que pode ser uma anomalia, as amostras de logs fornecem uma visão detalhada para verificar sua descoberta por solicitação HTTP. Esta é uma etapa essencial em um fluxo de trabalho de estudo de segurança apoiado pela alta taxa de engajamento ao examinar os dados de uso de tais logs visualizados em Security Events. Enquanto adicionamos mais dados a cada entrada de log, a exibição de logs expandida se torna menos legível com o tempo. Portanto, redesenhamos a visão expandida, começando com como a Cloudflare respondeu a uma solicitação, seguida por nossos sinais de análise e, por último, os principais componentes da própria solicitação bruta. Ao analisar esses detalhes, você valida sua hipótese de anomalia e se alguma ação de mitigação é necessária.

Screenshot of sampled logs with one log entry expanded

Insights úteis para começar

Ao testar o protótipo desse painel de análise de dados internamente, aprendemos que o poder da flexibilidade gera uma curva de aprendizado ascendente. Para ajudar você a começar a dominar a flexibilidade, criamos um prático painel de insights. Esses insights são elaborados para destacar perspectivas específicas em seu tráfego total. Com um simples clique em qualquer um dos insights, uma predefinição de filtros é aplicada, ampliando diretamente a parte do tráfego em que você está interessado. A partir daqui, você pode analisar as amostras de logs ou ajustar ainda mais qualquer um dos filtros aplicados. Essa abordagem foi comprovada com mais estudos internos de um fluxo de trabalho altamente eficiente que, em muitos casos, será seu ponto de partida para usar esse painel.

Screenshot of 5 insights of different perspective of total traffic

Como posso adquirir?

O novo Security Analytics está sendo implementado gradualmente para todos os clientes Enterprise que adquiriram o novo Application Security Core ou Advanced Bundles. Planejamos lançá-lo para todos os demais clientes em um futuro próximo. Essa nova visualização estará ao lado do painel Security Events existente.

Screenshot of updated navigation of security analytics and security events

O que vem a seguir

Ainda estamos em um estágio inicial do modelo “detectar e mitigar”, para capacitar você com maior visibilidade e inteligência e proteger melhor seus aplicativos web. Enquanto trabalhamos para habilitar mais recursos de detecção, compartilhe suas ideias e comentários conosco para nos ajudar a melhorar a experiência. Se você quer obter acesso antecipado, entre em contato com sua equipe de conta para começar.

Protegemos redes corporativas inteiras, ajudamos os clientes a criarem aplicativos em escala de internet com eficiência, aceleramos qualquer site ou aplicativo de internet, evitamos os ataques de DDoS, mantemos os invasores afastados e podemos ajudar você em sua jornada rumo ao Zero Trust.

Acesse 1.1.1.1 a partir de qualquer dispositivo para começar a usar nosso aplicativo gratuito que torna sua internet mais rápida e mais segura.

Para saber mais sobre nossa missão de construir uma internet melhor, comece aqui. Se estiver procurando uma nova carreira para trilhar, confira nossas vagas disponíveis.
Application Services (PT)User Research (PT)Português

Seguir no X

Radwa Radwan|@RadwaRadwan__
Cloudflare|@cloudflare

Posts relacionados