如今,網路防禦者面臨的最大挑戰之一是分析來自指標摘要的偵測命中。這些指標摘要提供有關特定入侵指標 (IOC) 的中繼資料,例如 IP 位址、ASN、網域、URL 和雜湊。儘管指標摘要在威脅情報產業中呈激增趨勢,但大多數摘要並不包含關於為何要將某個指標納入摘要的背景資訊。如今大多數指標摘要的另一個限制在於,它們僅關注可封鎖的指標,而無法輕鬆容納更複雜的情況,例如威脅行為者利用 CVE 或內部人員威脅的情況。這類複雜的威脅情報只能透過詳細的長篇報告來呈現。然而,長篇報告本身也面臨許多挑戰,例如撰寫和編輯所需的時間,可能導致在威脅情報發佈方面存在顯著延遲。
為了幫助應對這些挑戰,我們很高興地為 Cloudforce One 客戶推出了威脅事件平台。Cloudflare 每天都會封鎖數十億次網路威脅。這個新平台包含我們在 Cloudflare 網路上監控並緩解之威脅的相關背景資料,旨在從全球視角為安全從業者和決策者提供可操作的見解。
我們平均每秒處理 7100 萬次 HTTP 要求和 4400 萬次 DNS 查詢。如此龐大的流量為我們提供了寶貴的見解以及目前(即時)威脅的全面檢視。全新威脅事件平台利用這些流量中的深入解析,提供網際網路上所發生之威脅活動的全面即時檢視,支援 Cloudforce One 客戶更好地保護他們的資產並應對新出現的威脅。
我們如何利用 Cloudflare 的流量深入解析建置威脅事件平台
在 Cloudflare 網路上觀察到的威脅活動數量之多,會讓任何系統或 SOC 分析師都不堪重負。因此,我們將活動整理成事件流,其中不僅包含入侵指標 (IOC),還包括背景資訊,讓使用者能夠更加容易根據 Cloudflare 的獨到資料採取行動。首先,我們公開在我們的網路上觀察到的與阻斷服務 (DOS) 攻擊相關的事件,以及我們的 Cloudforce One 情報團隊追蹤的進階威脅操作,例如我們正在追蹤的威脅行為者使用的各種工具、技術和程序。我們將這些事件對應到 MITRE ATT&CK 框架和網路攻擊鏈階段。未來,我們將新增與我們的 Web 應用程式防火牆 (WAF)、Zero Trust Gateway、Zero Trust 電子郵件安全性、商業電子郵件入侵等產品封鎖的流量及許多其他 Cloudflare 專有資料集相關的事件。這些事件將共同為我們的客戶提供整個網際網路上所發生之威脅活動的詳細檢視。
威脅事件中的每個事件都對我們觀察到的特定威脅活動進行了總結(類似於 STIX2 sighting object),並透過摘要、詳細檢視以及對應到 MITRE ATT&CK 和網路攻擊鏈階段來提供背景資訊。有關範例項目,請參閱 API 文件。
我們的目標是,透過提供關鍵訊息,讓客戶能夠調查並處理針對其組織之威脅的廣泛性和特定性問題,從而更好地瞭解威脅情勢。例如:
誰在針對我的產業垂直市場?
誰以我所在的國家/地區為目標?
我可以使用哪些指標來封鎖針對我所在垂直市場的攻擊?
攻擊者在某段時間內具體執行了攻擊鏈中的哪些步驟?
每個事件都有一個唯一識別碼,將其與識別出的威脅活動相關聯,讓我們的 Cloudforce One 威脅情報分析師能夠在後續調查中提供更多的背景資訊。
我們如何使用 Cloudflare Workers 建置威脅事件平台
我們選擇使用 Cloudflare 開發人員平台來建置威脅事件平台,如此即可使用 Cloudflare Workers 的多功能性和無縫整合。該平台的核心是一個 Cloudflare Worker,其使用 SQLite 支援的Durable Objects 來儲存在 Cloudflare 網路上觀察到的事件。我們選擇使用 Durable Objects 而不是 D1(Cloudflare 的無伺服器 SQL 資料庫解決方案),因為它允許我們動態建立 SQL 表格來儲存獨特且可自訂的資料集。以這種方式儲存資料集可使威脅事件在我們的網路中擴展,因此我們能夠應對因網際網路攻擊的不可預測性而可能導致的資料激增。它還允許我們依資料來源控制事件、與受信任的合作夥伴共用部分資料集,或僅向授權使用者開放存取。最後,每個威脅事件的中繼資料都儲存在 Durable Object KV 中,以便我們可以儲存固定、可搜尋欄位之外的背景資料。這些資料可能是阻斷服務事件的每秒要求數,也可能是來源資訊,以便 Cloudforce One 分析師可以將事件與確切的威脅活動聯繫起來,進行進一步調查。
如何使用威脅事件
Cloudforce One 客戶可以透過安全中心的 Cloudflare 儀表板或 Cloudforce One 威脅事件 API 存取威脅事件。每個事件都會公開 Cloudflare 所觀察到的網際網路上發生的威脅活動流,並且可以透過使用者定義的篩選器進行自訂。
在 Cloudflare 儀表板中,使用者可以存取「攻擊者間時攝影」檢視(旨在回答策略性問題)以及更細緻的事件表格,以深入瞭解攻擊詳細資料。這種方法可確保使用者能夠輕鬆取得最相關的資訊。
事件表格
事件表格是安全中心內的詳細檢視,使用者可以在其中深入瞭解按各種條件篩選的特定威脅活動。在這裡,使用者可以使用 Cloudflare 的流量深入解析來探索特定的威脅事件和攻擊者活動。最重要的是,此表格將為我們的使用者提供可採取動作的入侵指標和事件摘要,以便他們能夠正確保護他們的服務。我們事件表格中的所有可用資料都可以透過 Cloudforce One 威脅事件 API 來存取。
為了展示威脅事件平台的強大力量,我們來看一個真實案例:
近期洩露的 Black Basta 犯罪集團聊天記錄揭露了有關其受害者、方法和基礎架構購買的詳細資料。雖然我們無法確認洩露的聊天記錄是否以任何方式被操縱,但聊天記錄中討論的基礎架構很容易驗證。因此,這項威脅情報現已作為事件呈現在威脅事件平台中,並附加 Cloudflare 獨有的背景資訊。
分析人員在搜尋 Black Basta 使用的網域、主機和檔案樣本時,可以利用威脅事件平台來取得有關該威脅行為者營運情況的寶貴見解。例如,在威脅事件 UI 中,使用者可以透過在下拉式清單中選擇「BlackBasta」來篩選「攻擊者」欄,如下圖所示。這將提供一份經過驗證的 IP 位址、網域名稱和檔案雜湊值清單,以供進一步調查。若要進一步瞭解 Cloudflare 有關 Black Basta 威脅活動的獨到見解,請參閱《Black Basta 出現重大失誤:利用該團體洩漏的聊天記錄》。
我們發佈威脅事件的原因
我們的客戶面臨著無數的網路威脅,這些威脅可能會中斷營運並破壞敏感性資料。隨著對手變得越來越老練,我們比以往任何時候都更加需要及時取得相關的威脅情報。這就是我們推出威脅事件平台的初衷:提供對網路威脅的更深入見解。
威脅事件平台將針對不斷發生的威脅活動提供更詳細、更具體的檢視,從而填補這一空白。此功能允許分析師透過可自訂的篩選器自助探索事件,支援其識別模式並做出有效回應。透過提供即時威脅資料,我們協助組織就其安全策略做出明智的決策。
為驗證我們威脅事件平台的價值,我們邀請了一家《財星》20 強企業的威脅情報團隊進行測試。在對比了另外 110 個來源後,該團隊將我們評為排名第一的威脅情報來源。他們認為我們在威脅情報領域「堪稱獨角獸」。儘管還處於早期階段,但初步回饋已確認我們的情報不僅具有獨特性,還為防禦者提供了卓越價值。
下一步驟
目前,Cloudforce One 客戶已經可以存取我們的 API 和儀表板,從而實現威脅情報與現有系統的無縫整合。此外,客戶很快就可獲得有關威脅事件的更多視覺化和分析工具,以便更好地理解和報告其調查發現。這一即將推出的使用者介面將包含攻擊者時間軸、攻擊活動概觀和攻擊圖表的增強視覺化,提供有關組織所面臨威脅的更深入見解。此外,我們將增加與現有 SIEM 平台整合和跨系統分享指標的功能。
歡迎閱讀我們團隊發佈的威脅情報研究以瞭解更多資訊,或聯繫您的客戶經理,瞭解如何利用我們的全新威脅事件平台來增強您的網路安全狀態。