今天,网络防御者面临的最大挑战之一是分析来自指标源的检测命中。这些指标源提供有关特定入侵指标(IOC)的元数据,例如 IP 地址、ASN、域、URL 和哈希。尽管指标源在威胁情报行业中已变得很常见,但大多数源并不包含关于为什么将某个指标纳入源中的上下文信息。当今大多数指标源的另一个局限性在于,它们只关注可阻止的指标,而不能轻松容纳更复杂的案例,例如威胁行为者利用 CVE 或内部威胁的情况。取而代之,这类复杂的威胁情报只能通过详细的长篇报告来呈现。然而,长篇报告本身也面临诸多挑战,例如撰写和编辑所需的时间,可能导致及时威胁情报发布的显著延迟。
为了帮助解决这些挑战,我们推出了面向 Cloudforce One 客户的威胁事件平台。每天, Cloudflare 阻止数十亿次网络威胁。这个新平台包含了我们在 Cloudflare 网络上监测和缓解的威胁的上下文信息,旨在通过全球视角为安全从业者和决策者提供可操作的洞察。
平均而言,我们每秒处理 7100 万次 HTTP 请求和 4400 万次 DNS 查询。凭借这种流量规模,我们获得有关当前(实时)威胁的宝贵见解和全面视图。新的威胁事件平台利用从这些流量中获得的洞察,就互联网上发生的威胁活动提供全面、实时的视图 ,使 Cloudforce One 客户能够更好地保护其资产和应对新兴威胁。
我们如何利用 Cloudflare 的流量洞察打造威胁事件平台
在 Cloudflare 网络中观察到的海量威胁活动将会使任何系统或安全运营中心(SOC)分析师不堪重负。因此,我们将这些活动整理成事件流,不仅包含入侵指标(IOC),还提供相应的上下文,使您能更容易基于 Cloudflare 的独特数据采取行动。首先,我们公开在我们的网络中观察到的拒绝服务(DoS)攻击相关事件,以及我们的 Cloudforce One 情报团队跟踪的高级威胁行动,包括威胁行为者所使用的各种工具、技术和程序。我们将这些事件映射到 MITRE ATT&CK 框架和 网络杀伤链阶段。未来,我们将添加由 Web 应用防火墙(WAF)、Zero Trust Gateway、Zero Trust 电子邮件安全、企业电子邮件破坏及其他多种 Cloudflare 专有数据集阻止的流量相关事件。以上结合在一起,就互联网上发生的威胁活动提供一个详尽的视图。
这些威胁事件中的每个事件都总结了我们观察到的特定威胁活动,类似于 STIX2 目击对象,并通过摘要、详细视图以及映射到 MITRE ATT&CK 和网络杀伤链阶段提供上下文信息。有关示例条目,请参阅 API 文档 。

我们的目标是提供关键信息,让客户能够调查和处理针对其组织的威胁的相关广泛性和特定性问题,从而更好地了解威胁态势。例如:
谁在针对我的行业垂直领域?
谁在针对我所在地国家/地区?
我可以使用哪些指标来阻止针对我所在行业垂直领域的攻击?
攻击者在一段时间内跨越网络杀伤链进行了哪些行动?
每个事件都具有唯一标识符,将其链接到已识别的威胁活动,使我们的 Cloudforce One 威胁情报分析师能够在后续调查中提供额外的上下文信息。
我们如何使用 Cloudflare Workers 构建威胁事件平台
我们选择使用Cloudflare 开发人员平台来构建威胁事件平台,以便充分利用 Cloudflare Workers 的多功能性和无缝集成特性。该平台的核心是一个 Cloudflare Worker,它使用基于 SQLite 的 Durable Objects 存储在Cloudflare 网络上观察到的事件。我们选择使用 Durable Objects ,而非 D1(Cloudflare 的无服务器 SQL 数据库解决方案),因为前者允许我们动态创建 SQL 表来存储独特可定制的数据集。以这种方式存储数据集允许威胁事件在我们的网络中扩展,从而使我们能够从容应对与互联网攻击中不可预测性相关的数据激增。它还允许我们按数据源控制事件,与可信合作伙伴共享数据集的子集,或仅限授权用户访问。最后,每个威胁事件的元数据存储在 Durable Object KV 中,使我们能够存储超出固定可搜索字段的上下文数据。这些数据可能是拒绝服务事件的每秒请求数,或者是来源信息,因而 Cloudforce One 分析师能够将事件与具体的威胁活动关联,以开展进一步调查。

如何使用威胁事件
Cloudforce One 客户可以通过 Cloudflare 仪表板中的安全中心或 Cloudforce One 威胁事件 API 访问威胁事件。任一方式都能获得 Cloudflare 观测到的互联网威胁活动数据流,并可通过用户自定义的过滤器定制。
在 Cloudflare 仪表板中,用户可以访问 Attacker Timelapse(攻击者时间轴)视图(旨在回答战略性问题),同时还提供了更细粒度的事件表格,供深入查看攻击详情。这种方法确保用户能够轻松获取最相关的信息。
事件表格

事件表格是安全中心中的一个详细视图,用户可以根据多种条件筛选以深入查看特定的威胁活动。在此,用户可以使用 Cloudflare 的流量洞察探索特定的威胁事件和攻击活动。最为关键的是,这个表格将为用户提供可操作的入侵指标和事件摘要,使其能够有效防御自己的服务。事件表格中的所有数据同时可通过 Cloudforce One 威胁事件 API 访问。
为了展示威胁事件的强大力量,我们来探索一个真实世界的案例:
最近泄露的 Black Basta 犯罪集团聊天记录披露了关于其受害者、作案手法和基础设施采购的详细信息。尽管我们无法确认这些泄露的聊天记录是否经过任何篡改,但聊天中提及的基础设施很容易验证。因此,这些威胁情报现在作为威胁事件平台中的事件提供,并附加额外的独特 Cloudflare 上下文信息。
分析人员在搜寻 Black Basta 使用的域名、主机和文件样本时,可以利用威胁事件平台获得有关该威胁行为者活动的宝贵洞察。例如,在威胁事件用户界面中,用户可以通过在下拉菜单中选择“BlackBasta”来过滤“攻击者”列,如下图所示。这将提供一份经过验证的 IP 地址、域名和文件哈希值的列表以供进一步调查。若要进一步了解 Cloudflare 有关 Black Basta 威胁活动的独特洞察,请参阅《Black Basta 的失误:利用该犯罪集团的泄露聊天记录》。

我们为何发布威胁事件
我们的客户面临着众多可能中断业务运营并危及敏感数据的网络威胁。随着威胁行为者的攻击手段日益复杂,我们比以往任何时候都更加需要及时、相关的威胁情报。这就是我们发布威胁事件的初衷:为网络威胁提供更深入的洞察。
威胁事件平台旨在就进行中的威胁活动提供更详细、上下文化视图,以填补这一空白。该功能允许分析师通过可自定义的过滤器自助探索事件,支持其识别威胁模式并有效响应。通过提供实时威胁数据,我们帮助组织就其安全策略做出明智的决策。
为验证我们威胁事件平台的价值,我们邀请了一家财富 20 强企业的威胁情报团队进行测试。在对比了另外 110 个来源后,该团队将我们评为第一威胁情报源。他们认为我们在威胁情报领域“堪称独角兽”。尽管还处于早期阶段,但初步反馈已确认我们的情报不仅具有独特性,还为防御者提供了卓越价值。
下一步
目前,Cloudforce One 客户已经可以访问我们的 API 和仪表板,从而实现威胁情报与现有系统的无缝集成。此外,客户将很快获得更多威胁事件的可视化和分析工具,以便更好地理解和报告调查发现。即将推出的用户界面将包含攻击者时间线、攻击活动概览和攻击图表的增强可视化,为组织面临的威胁提供更深入的洞察。此外,我们将增加与现有 SIEM 平台集成和跨系统共享指标的功能。
欢迎查看我们团队发布的威胁情报研究以了解更多信息,或联系您的客户经理,了解如何利用我们的新威胁事件平台来增强您的网络安全态势。