Подпишитесь, чтобы получать уведомления о новых публикациях:

Новинка! Security Analytics обеспечивает комплексный обзор всего вашего трафика

2022-12-09

5 мин. чтения
Другие языки, на которых доступна эта публикация: English, Español и Português.

Приложение, проксирующее трафик через Cloudflare, обладает широким спектром простых в использовании функций безопасности, включая WAF, управление ботами и нейтрализацию DDoS-атак. Чтобы понять, был ли трафик заблокирован Cloudflare, мы создали мощную панель управления Security Events, которая позволяет пользователю просматривать любые события по нейтрализации атак. Владельцы приложений часто задаются вопросом, что произошло с остальной частью их трафика. Удалось ли им блокировать весь трафик, который был признан вредоносным?

Introducing Security Analytics: a view across all your traffic

Сегодня, наряду с нашим объявлением о WAF Attack Score, мы также объявляем о запуске нашего нового продукта — Security Analytics.

Security Analytics обеспечит вам представление о безопасности всего вашего HTTP-трафика, а не только нейтрализованных запросов, позволяя сосредоточиться на том, что наиболее важно: трафик, признанный вредоносным, но потенциально не нейтрализованный.

Обнаружение, затем нейтрализация

Представьте, что вы только что подключили свое приложение к Cloudflare, и без каких-либо дополнительных усилий каждый HTTP-запрос анализируется сетью Cloudflare. Таким образом, аналитика расширяется за счет анализа атак, анализа ботов и любого другого сигнала о безопасности, предоставляемого Cloudflare.

Без какого-либо риска ложных срабатываний, вы можете просмотреть непосредственно весь свой трафик, чтобы узнать, что именно происходит, когда и где.

Это позволяет вам сразу же приступить к анализу результатов этих сигналов, сокращая время, необходимое для развертывания активных мер по нейтрализации атаки, и повышая вашу уверенность в принятии решений.

Мы называем такой подход «обнаружение, затем нейтрализация», и мы уже получили весьма положительные отзывы от клиентов, получивших ранний доступ.

Diagram of detecting incoming requests before deploying mitigation rules

Фактически, решение Cloudflare по управлению ботами — Bot Management — использует эту модель в течение последних двух лет. Мы постоянно получаем отзывы наших клиентов о том, что благодаря улучшенным возможностям мониторинга сети они больше доверяют нашему решению по оценке ботов. Для дальнейшей поддержки этого нового способа защиты ваших веб-приложений и объединения всех наших интеллектуальных сигналов мы спроектировали и разработали новую систему аналитики безопасности — Security Analytics, которая начинает получать сигналы от WAF и других продуктов безопасности, чтобы следовать этой модели.

Новая система Security Analytics

Screenshot of plotting attack analysis over time as bar chart, indicating some likely attacks

Созданная на основе нашего успешного опыта аналитики, новая система аналитики безопасности — Security Analytics — использует существующие компоненты, такие как лучшие статистические данные, быстрые контекстные фильтры, на новом макете страницы, обеспечивающем быстрое исследование и подтверждение. В следующих разделах этот новый макет страницы будет разбит на части, образующие рабочий процесс высокого уровня.

Ключевое различие между аналитикой безопасности (Security Analytics) и событиями безопасности (Security Events) заключается в том, что Security Analytics основана на HTTP-запросах, которые охватывают возможности мониторинга всего трафика вашего сайта, а Security Events используют другой набор данных, который визуализируется всякий раз, когда имеет место совпадение с любым активным правилом безопасности.

Определение фокуса

Новая система Security Analytics визуализирует набор данных выборочных HTTP-запросов на основе всего вашего приложения, аналогично аналитике ботов. При подтверждении модели «обнаружение, затем нейтрализация» с выбранными клиентами, как правило, наблюдается использование наилучших статистических данных N для быстрого сужения до либо очевидных аномалий, либо определенных частей приложения. Основываясь на этих аналитических данных, страница начинается с выбранной статистики наилучших данных N, охватывающей как источники запросов, так и назначения запросов, что позволяет выполнить расширение, с тем, чтобы просмотреть всю доступную статистику. Такие вопросы, как «Насколько хорошо защищена область администратора моего приложения?» отображается одним или двумя быстрыми щелчками по фильтру в этой области.

Выявление аномалий в тенденциях

Screenshot of expandable top N statistics

После определения предварительного фокуса, ядро интерфейса предназначено для построения графиков тенденций с течением времени. Диаграмма временных рядов зарекомендовала себя как мощный инструмент, помогающий выявлять аномалии трафика, а также позволяющий строить графики на основе различных критериев. Всякий раз, когда возникает пик трафика, скорее всего, имела место атака или попытка атаки.

Как упоминалось выше, в отличие от Security Events, набор данных, используемый на этой странице, представляет собой HTTP-запросы, которые включают как нейтрализованные, так и не нейтрализованные запросы. Под нейтрализованными запросами здесь мы подразумеваем «любой HTTP-запрос, который имел "завершающее" действие, примененное платформой Cloudflare». Остальные запросы, которые не были нейтрализованы, либо обслуживаются кэшем Cloudflare, либо достигают источника. В таких случаях, как наличие пика в не нейтрализованных запросах, но при этом с равномерным уровнем нейтрализованных запросов, можно предположить, что имела место атака, которая не соответствует ни одному активному правилу WAF. В данном примере вы можете одним щелчком мыши отфильтровать не нейтрализованные запросы непосредственно на диаграмме, что инициирует обновление всех данных, визуализированных на этой странице, оказывая поддержку дальнейшим исследованиям.

В дополнение к отображению по умолчанию нейтрализованных или не нейтрализованных запросов вы также можете выбрать график тенденций либо анализа атак, либо анализа ботов, что позволит вам выявлять аномалии в отношении атак или поведения ботов.

Увеличение масштаба с помощью сигналов анализа

Screenshot of default plotting of mitigated versus not mitigated requests

Одним из наиболее предпочитаемых и надежных аналитических сигналов для наших клиентов является оценка ботов. С последним добавлением WAF Attack Score и сканирования контента, мы объединяем их на одной странице аналитики, помогая вам еще больше увеличить масштаб своего трафика на основе некоторых из этих сигналов. Комбинация этих сигналов позволяет вам найти ответы на сценарии, которые до сих пор были невозможны:

  • Запросы на атаку, выполненные (определенными) автоматическими источниками

  • Запросы на вероятную атаку, выполненные людьми

  • Содержимое, загруженное с вредоносным контентом, созданным ботами, или без него

После того как сценарий будет отфильтрован, визуализация данных всей страницы, включая статистику наилучших статистических данных N, тренд HTTP-запросов и журнал с выборкой, будет обновлен, что позволит вам обнаружить любые аномалии либо среди одного из наборов наилучших статистических данных N, либо среди тенденции HTTP-запросов, основанной на времени.

Просмотр журналов выборок

Screenshot of analysis signals

После увеличения масштаба определенной части вашего трафика, которая может являться аномалией, журналы выборок предоставляют подробное представление для проверки вашего обнаружения по HTTP-запросу. Это важнейший шаг в рабочем процессе исследования безопасности, подтвержденный высоким коэффициентом вовлеченности при изучении данных об использовании таких журналов, просматриваемых в событиях безопасности (Security Events). Хотя мы добавляем больше данных в каждую запись журнала, расширенное представление журнала со временем становится менее читаемым. Соответственно, мы переработали расширенное представление, начиная с реакции Cloudflare на запрос, затем наши сигналы анализа и, наконец, заканчивая ключевыми компоненты самого необработанного запроса. Изучая эти сведения, вы подтверждаете свою гипотезу об аномалии и принимаете решение о необходимости принятия каких-либо мер по ее нейтрализации.

Полезные информация для начала работы

Screenshot of sampled logs with one log entry expanded

При внутреннем тестировании прототипа этой аналитической панели мы выяснили, что степень гибкости приводит к увеличению кривой обучения. Чтобы помочь вам начать осваивать гибкость, разработана удобная панель аналитики. Эти аналитические данные созданы для того, чтобы выделить конкретные аспекты вашего общего трафика. Простым щелчком мыши на любом из результатов анализа применяется набор фильтров, увеличивающих масштаб непосредственно той части вашего трафика, которая вас интересует. Здесь вы можете просмотреть журналы выборок или дополнительно настроить любой из примененных фильтров. Данный подход был подтвержден дальнейшими внутренними исследованиями высокоэффективного рабочего процесса, который во многих случаях станет вашей отправной точкой при использовании этой информационной панели.

Как мне это получить?

Screenshot of 5 insights of different perspective of total traffic

Новая система Security Analytics постепенно развертывается для всех клиентов плана Enterprise, которые приобрели новые пакеты Application Security Core или Advanced. В ближайшем будущем мы планируем развернуть эту систему для всех других клиентов. Это новое представление будет находиться рядом с существующей информационной панелью Security Events.

Что дальше

Screenshot of updated navigation of security analytics and security events

Мы все еще находимся на ранней стадии перехода к модели «обнаружение, затем нейтрализация», которая обеспечит вам больше возможностей мониторинга и интеллектуальных функций для лучшей защиты ваших веб-приложений. Пока мы работаем над расширением возможностей обнаружения, поделитесь с нами своими мыслями и отзывами, чтобы помочь нам улучшить наши результаты. Если вы хотите получить доступ раньше, обратитесь к своим специалистам по работе с клиентами, чтобы приступить.

Мы защищаем целые корпоративные сети, помогаем клиентам эффективно создавать интернет-приложения в глобальном масштабе, ускорять любые веб-сайты или интернет-приложения, отражать DDoS-атаки, не допускать действий хакеров, и можем оказать поддержку на вашем пути к Zero Trust.

Посетите 1.1.1.1 с любого устройства, чтобы начать работу с нашим бесплатным приложением, благодаря которому ваша интернет-навигация станет еще быстрее и безопаснее.

Чтобы узнать больше о нашей миссии, которая состоит в том, чтобы способствовать развитию и совершенствованию Интернета, начните здесь. Если вы ищете новое направление для развития своей карьеры, ознакомьтесь с нашими открытыми позициями.
Application ServicesAnalytics

Подписаться на X

Radwa Radwan|@RadwaRadwan__
Cloudflare|@cloudflare

Связанные публикации

27 сентября 2024 г. в 13:00

AI Everywhere with the WAF Rule Builder Assistant, Cloudflare Radar AI Insights, and updated AI bot protection

This year for Cloudflare’s birthday, we’ve extended our AI Assistant capabilities to help you build new WAF rules, added new AI bot & crawler traffic insights to Radar, and given customers new AI bot ...

19 сентября 2024 г. в 14:00

How Cloudflare is helping domain owners with the upcoming Entrust CA distrust by Chrome and Mozilla

Chrome and Mozilla will stop trusting Entrust’s public TLS certificates issued after November 2024 due to concerns about Entrust’s compliance with security standards. In response, Entrust is partnering with SSL.com to continue providing trusted certificates. Cloudflare will support SSL.com as a CA, simplifying certificate management for customers using Entrust by automating issuance and renewals....