Подпишитесь, чтобы получать уведомления о новых публикациях:

Новинка! Security Analytics обеспечивает комплексный обзор всего вашего трафика

09.12.2022

6 мин. чтения
Introducing Security Analytics: a view across all your traffic

Приложение, проксирующее трафик через Cloudflare, обладает широким спектром простых в использовании функций безопасности, включая WAF, управление ботами и нейтрализацию DDoS-атак. Чтобы понять, был ли трафик заблокирован Cloudflare, мы создали мощную панель управления Security Events, которая позволяет пользователю просматривать любые события по нейтрализации атак. Владельцы приложений часто задаются вопросом, что произошло с остальной частью их трафика. Удалось ли им блокировать весь трафик, который был признан вредоносным?

Сегодня, наряду с нашим объявлением о WAF Attack Score, мы также объявляем о запуске нашего нового продукта — Security Analytics.

Security Analytics обеспечит вам представление о безопасности всего вашего HTTP-трафика, а не только нейтрализованных запросов, позволяя сосредоточиться на том, что наиболее важно: трафик, признанный вредоносным, но потенциально не нейтрализованный.

Обнаружение, затем нейтрализация

Представьте, что вы только что подключили свое приложение к Cloudflare, и без каких-либо дополнительных усилий каждый HTTP-запрос анализируется сетью Cloudflare. Таким образом, аналитика расширяется за счет анализа атак, анализа ботов и любого другого сигнала о безопасности, предоставляемого Cloudflare.

Без какого-либо риска ложных срабатываний, вы можете просмотреть непосредственно весь свой трафик, чтобы узнать, что именно происходит, когда и где.

Это позволяет вам сразу же приступить к анализу результатов этих сигналов, сокращая время, необходимое для развертывания активных мер по нейтрализации атаки, и повышая вашу уверенность в принятии решений.

Diagram of detecting incoming requests before deploying mitigation rules

Мы называем такой подход «обнаружение, затем нейтрализация», и мы уже получили весьма положительные отзывы от клиентов, получивших ранний доступ.

Фактически, решение Cloudflare по управлению ботами — Bot Management — использует эту модель в течение последних двух лет. Мы постоянно получаем отзывы наших клиентов о том, что благодаря улучшенным возможностям мониторинга сети они больше доверяют нашему решению по оценке ботов. Для дальнейшей поддержки этого нового способа защиты ваших веб-приложений и объединения всех наших интеллектуальных сигналов мы спроектировали и разработали новую систему аналитики безопасности — Security Analytics, которая начинает получать сигналы от WAF и других продуктов безопасности, чтобы следовать этой модели.

Screenshot of plotting attack analysis over time as bar chart, indicating some likely attacks

Новая система Security Analytics

Созданная на основе нашего успешного опыта аналитики, новая система аналитики безопасности — Security Analytics — использует существующие компоненты, такие как лучшие статистические данные, быстрые контекстные фильтры, на новом макете страницы, обеспечивающем быстрое исследование и подтверждение. В следующих разделах этот новый макет страницы будет разбит на части, образующие рабочий процесс высокого уровня.

Ключевое различие между аналитикой безопасности (Security Analytics) и событиями безопасности (Security Events) заключается в том, что Security Analytics основана на HTTP-запросах, которые охватывают возможности мониторинга всего трафика вашего сайта, а Security Events используют другой набор данных, который визуализируется всякий раз, когда имеет место совпадение с любым активным правилом безопасности.

Определение фокуса

Новая система Security Analytics визуализирует набор данных выборочных HTTP-запросов на основе всего вашего приложения, аналогично аналитике ботов. При подтверждении модели «обнаружение, затем нейтрализация» с выбранными клиентами, как правило, наблюдается использование наилучших статистических данных N для быстрого сужения до либо очевидных аномалий, либо определенных частей приложения. Основываясь на этих аналитических данных, страница начинается с выбранной статистики наилучших данных N, охватывающей как источники запросов, так и назначения запросов, что позволяет выполнить расширение, с тем, чтобы просмотреть всю доступную статистику. Такие вопросы, как «Насколько хорошо защищена область администратора моего приложения?» отображается одним или двумя быстрыми щелчками по фильтру в этой области.

Screenshot of expandable top N statistics

Выявление аномалий в тенденциях

После определения предварительного фокуса, ядро интерфейса предназначено для построения графиков тенденций с течением времени. Диаграмма временных рядов зарекомендовала себя как мощный инструмент, помогающий выявлять аномалии трафика, а также позволяющий строить графики на основе различных критериев. Всякий раз, когда возникает пик трафика, скорее всего, имела место атака или попытка атаки.

Как упоминалось выше, в отличие от Security Events, набор данных, используемый на этой странице, представляет собой HTTP-запросы, которые включают как нейтрализованные, так и не нейтрализованные запросы. Под нейтрализованными запросами здесь мы подразумеваем «любой HTTP-запрос, который имел "завершающее" действие, примененное платформой Cloudflare». Остальные запросы, которые не были нейтрализованы, либо обслуживаются кэшем Cloudflare, либо достигают источника. В таких случаях, как наличие пика в не нейтрализованных запросах, но при этом с равномерным уровнем нейтрализованных запросов, можно предположить, что имела место атака, которая не соответствует ни одному активному правилу WAF. В данном примере вы можете одним щелчком мыши отфильтровать не нейтрализованные запросы непосредственно на диаграмме, что инициирует обновление всех данных, визуализированных на этой странице, оказывая поддержку дальнейшим исследованиям.

В дополнение к отображению по умолчанию нейтрализованных или не нейтрализованных запросов вы также можете выбрать график тенденций либо анализа атак, либо анализа ботов, что позволит вам выявлять аномалии в отношении атак или поведения ботов.

Screenshot of default plotting of mitigated versus not mitigated requests

Увеличение масштаба с помощью сигналов анализа

Одним из наиболее предпочитаемых и надежных аналитических сигналов для наших клиентов является оценка ботов. С последним добавлением WAF Attack Score и сканирования контента, мы объединяем их на одной странице аналитики, помогая вам еще больше увеличить масштаб своего трафика на основе некоторых из этих сигналов. Комбинация этих сигналов позволяет вам найти ответы на сценарии, которые до сих пор были невозможны:

  • Запросы на атаку, выполненные (определенными) автоматическими источниками
  • Запросы на вероятную атаку, выполненные людьми
  • Содержимое, загруженное с вредоносным контентом, созданным ботами, или без него

После того как сценарий будет отфильтрован, визуализация данных всей страницы, включая статистику наилучших статистических данных N, тренд HTTP-запросов и журнал с выборкой, будет обновлен, что позволит вам обнаружить любые аномалии либо среди одного из наборов наилучших статистических данных N, либо среди тенденции HTTP-запросов, основанной на времени.

Screenshot of analysis signals

Просмотр журналов выборок

После увеличения масштаба определенной части вашего трафика, которая может являться аномалией, журналы выборок предоставляют подробное представление для проверки вашего обнаружения по HTTP-запросу. Это важнейший шаг в рабочем процессе исследования безопасности, подтвержденный высоким коэффициентом вовлеченности при изучении данных об использовании таких журналов, просматриваемых в событиях безопасности (Security Events). Хотя мы добавляем больше данных в каждую запись журнала, расширенное представление журнала со временем становится менее читаемым. Соответственно, мы переработали расширенное представление, начиная с реакции Cloudflare на запрос, затем наши сигналы анализа и, наконец, заканчивая ключевыми компоненты самого необработанного запроса. Изучая эти сведения, вы подтверждаете свою гипотезу об аномалии и принимаете решение о необходимости принятия каких-либо мер по ее нейтрализации.

Screenshot of sampled logs with one log entry expanded

Полезные информация для начала работы

При внутреннем тестировании прототипа этой аналитической панели мы выяснили, что степень гибкости приводит к увеличению кривой обучения. Чтобы помочь вам начать осваивать гибкость, разработана удобная панель аналитики. Эти аналитические данные созданы для того, чтобы выделить конкретные аспекты вашего общего трафика. Простым щелчком мыши на любом из результатов анализа применяется набор фильтров, увеличивающих масштаб непосредственно той части вашего трафика, которая вас интересует. Здесь вы можете просмотреть журналы выборок или дополнительно настроить любой из примененных фильтров. Данный подход был подтвержден дальнейшими внутренними исследованиями высокоэффективного рабочего процесса, который во многих случаях станет вашей отправной точкой при использовании этой информационной панели.

Screenshot of 5 insights of different perspective of total traffic

Как мне это получить?

Новая система Security Analytics постепенно развертывается для всех клиентов плана Enterprise, которые приобрели новые пакеты Application Security Core или Advanced. В ближайшем будущем мы планируем развернуть эту систему для всех других клиентов. Это новое представление будет находиться рядом с существующей информационной панелью Security Events.

Screenshot of updated navigation of security analytics and security events

Что дальше

Мы все еще находимся на ранней стадии перехода к модели «обнаружение, затем нейтрализация», которая обеспечит вам больше возможностей мониторинга и интеллектуальных функций для лучшей защиты ваших веб-приложений. Пока мы работаем над расширением возможностей обнаружения, поделитесь с нами своими мыслями и отзывами, чтобы помочь нам улучшить наши результаты. Если вы хотите получить доступ раньше, обратитесь к своим специалистам по работе с клиентами, чтобы приступить.

Мы защищаем целые корпоративные сети, помогаем клиентам эффективно создавать интернет-приложения в глобальном масштабе, ускорять любые веб-сайты или интернет-приложения, отражать DDoS-атаки, не допускать действий хакеров, и можем оказать поддержку на вашем пути к Zero Trust.

Посетите 1.1.1.1 с любого устройства, чтобы начать работу с нашим бесплатным приложением, благодаря которому ваша интернет-навигация станет еще быстрее и безопаснее.

Чтобы узнать больше о нашей миссии, которая состоит в том, чтобы способствовать развитию и совершенствованию Интернета, начните здесь. Если вы ищете новое направление для развития своей карьеры, ознакомьтесь с нашими открытыми позициями.
Application Services (RU)Analytics (RU)Pусский

Подписаться на X

Cloudflare|@cloudflare