订阅以接收新文章的通知:

Area 1 威胁指标现已在 Cloudflare Zero Trust 可用

2022-06-20

4 分钟阅读时间
这篇博文也有 English한국어Español日本語版本。

过去几年中,Area 1 和 Cloudflare 都构建了提取威胁指标数据的管道,以便在我们的产品中使用。我们在收购过程中进行了比较,发现我们各自系统之间的指标重合度低于预期。这于我们是一个机会:我们已经开始将 Area 1 的威胁指标数据引入 Cloudflare 产品套件中,这也是两家公司合并的首要任务之一。因此,所有使用 Cloudflare 自有管道的指标数据的产品,现在还可使用 Area 1 的数据。

Area 1 构建的数据管道专注识别新的活跃的网络钓鱼威胁,补充了 Gateway 可识别的网络钓鱼类别。如果您的策略中提到了这一类别,那您已经开始享受这一额外的威胁保障了。

Cloudflare 如何识别潜在的网络钓鱼威胁

Cloudflare 能够结合 Cloudflare 团队和 Area 1 团队在合并前各自独立开发的数据、程序和技术。客户能够通过 Cloudflare 产品套件利用两个团队的研究成果。

Cloudflare 从我们自己的网络流量、OSINT 来源和众多合作伙伴那里精选了一系列数据馈送,并应用了自定义误报控制。通过 Cloudflare,客户无需再开发软件,还省却了分发和更新这些馈送的操作工作量。因为 Cloudflare 会自动处理,更新频率高达每分钟一次。

除此之外,Cloudflare 还通过多种方式主动识别网络钓鱼基础设施。收购 Area 1 后,Cloudflare 现在能够在我们的网络中应用 Area 1 以对手为中心的威胁研究方法。威胁研究团队致力于追踪政府支持的和有经济动机的威胁行为者、新披露的 CVE 以及当前的网络钓鱼趋势。

除 DNS 解析器、Zero Trust 套件和网络服务外,Cloudflare 现在还为全球数百家机构运营邮件交换服务器。这些产品全都会产生数据,可用于增强所有 Cloudflare 产品的安全性。例如,在邮件交付过程中,邮件引擎执行域名查询,通过机器学习对潜在的网络钓鱼指标进行评分,并获取 URL。现可通过 Cloudflare 的产品使用这些数据。

Cloudflare Area 1 如何识别潜在的网络钓鱼威胁

Cloudflare Area 1 团队运营着一套网络爬取工具,旨在识别钓鱼网页,捕获钓鱼工具包,并突出显示攻击者的基础设施。此外,Cloudflare Area 1 威胁模型根据从威胁行为者活动中收集的信号,评估威胁活动;而这些活动消息的相关 IOC 又可进一步丰富 Cloudflare Area 1 威胁数据,以便日后发现威胁活动。通过综合利用这些技术,Cloudflare Area 1 可以在攻击者攻击客户之前,识别攻击者的破坏指标。Cloudflare Area 1 积极主动的策略还包括成立了一支威胁研究团队,负责追踪政府支持的和有经济动机的威胁行为者、新披露的 CVE 以及当前的网络钓鱼趋势。通过这种研究,分析师定期将网络钓鱼指标插入一个庞大的指标管理系统,用于我们的电子邮件产品或任何其他可以查询该系统的产品中。

在我们为全球数百家机构正常运营邮件交换服务器的过程中,Cloudflare Area 1 也收集了一些有关网络钓鱼威胁的信息。在邮件交付过程中,邮件引擎执行域名查询,通过机器学习对潜在的网络钓鱼指标进行评分,并提取 URL。如果发现恶意邮件,便会将与该邮件相关的指标插入我们的指标管理系统,组成后续消息评估的反馈回路。

如何使用 Cloudflare 数据改进网络钓鱼检测

为了支持 Cloudflare 的产品,包括 Gateway 和 Page Shield,Cloudflare 构建了一个数据管道,从合作伙伴、OSINT 来源以及 Cloudflare 内部生成的威胁情报中获取数据。我们一直在努力编排与客户相关、可在 Cloudflare 支持的产品中操作的威胁情报数据集。我们的方向是:我们能提供什么数据来增强客户的安全性,无需客户来管理复杂的数据、关系和配置。我们提供各种安全威胁类别,主要的重点领域包括:

  • 恶意软件分发

  • 恶意软件和僵尸网络命令与控制

  • 网络钓鱼

  • 新域名和新发现的域名

无论潜在的网络钓鱼链接是如何进入组织的,无论是通过电子邮件、短信、日程邀请或共享文件,还是其他方式,网络钓鱼都是一种威胁。因此,自 Cloudflare 的威胁数据团队成立以来,检测和阻止网络钓鱼域名一直是其积极开发的领域。

展望未来,我们将能把这项工作纳入 Cloudflare Area 1 的网络钓鱼邮件检测流程。电子邮件的发件人、标题、正文或链接中包含这些域名时,Cloudflare 的网络钓鱼域名列表可帮助识别恶意电子邮件。

1+1=3:Cloudflare 与 Area 1 共享更多数据集

长期以来,威胁行为者一直有着不公平的优势——他们了解自己的目标,有时间针对目标准备特定的活动。威胁行为者有时间构建正确的基础设施,侦察,发起活动,试探,观察结果,迭代,改进,然后发起“生产”活动。这一精确的时间要素也让我们有机会在威胁活动达到临界质量之前,发现、评估和主动过滤活动基础设施。但要有效做到这一点,我们必须能看见并了解整个公共 IP 空间的威胁活动。

凭借 Cloudflare 庞大的网络和对 DNS 源站、电子邮件或网络流量的全球洞察力,结合 Cloudflare Area 1 的活动战术、技术和程序 (TTP)、种子基础设施和威胁模式数据集,我们现在比以往任何时候都更具优势,帮助企业抵御老练的威胁行为者的活动,夺回长期为坏人所有的优势。

若想将 Zero Trust 扩展到电子邮件安全,以阻止高级威胁,请联系您的 Customer Success 经理,或在此请求进行网络钓鱼风险评估。

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
Cloudflare One Week产品新闻Zero TrustEmail Security安全性1.1.1.1Cloudflare GatewayCloudflare Zero Trust

在 X 上关注

Cloudflare|@cloudflare

相关帖子

2024年10月24日 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

2024年10月23日 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...

2024年10月15日 13:00

Protect against identity-based attacks by sharing Cloudflare user risk scores with Okta

Uphold Zero Trust principles and protect against identity-based attacks by sharing Cloudflare user risk scores with Okta. Learn how this new integration allows your organization to mitigate risk in real time, make informed access decisions, and free up security resources with automation....