La gestión de la postura de riesgo, es decir, cómo tu empresa evalúa, prioriza y mitiga los riesgos, nunca ha sido fácil. Sin embargo, la continua expansión de las superficies de ataque ha hecho esta tarea cada vez más compleja e ineficiente. (Una encuesta global reveló que los miembros del equipo del SOC dedican, de media, un tercio de su jornada laboral a incidentes que no suponen una amenaza).
Pero, ¿y si pudieras mitigar el riesgo sin tanto esfuerzo y complejidad?
Esta publicación explora la manera en la que Cloudflare puede ayudar a los clientes a conseguirlo, gracias a un nuevo conjunto de funciones que combina las capacidades de nuestras carteras de soluciones de seguridad SASE (perímetro de servicio de acceso seguro y WAAP (protección de aplicaciones web y API). Te explicamos:
Las razones por las que este enfoque ayuda a proteger una mayor superficie de ataque, al tiempo que reduce el esfuerzo de los equipos de SecOps.
Los tres casos de uso clave, incluida la aplicación de un modelo de seguridad Zero Trust con CrowdStrike, con quien hemos ampliado nuestra asociación.
Otros proyectos nuevos que estamos explorando sobre la base de estas capacidades.
Cloudflare for Unified Risk Posture
Hoy anunciamos Cloudflare for Unified Risk Posture, un nuevo conjunto de funciones de gestión de riesgos de ciberseguridad que puede ayudar a las empresas con la aplicación automatizada y dinámica de la postura de riesgo en toda su superficie de ataque en expansión. Hoy en día, una plataforma unificada permite a las organizaciones:
Evaluar el riesgo entre los usuarios y las aplicaciones: Cloudflare evalúa el riesgo que plantean los usuarios mediante modelos de análisis del comportamiento de usuarios y entidades (UEBA) y los riesgos para las aplicaciones, las API y los sitios web mediante modelos de carga malintencionada, amenazas de día cero y detección de bots.
Intercambiar indicadores de riesgo con los mejores socios: Cloudflare ingiere las puntuaciones de riesgo de los mejores socios de soluciones de protección de puntos finales (EPP) y proveedores de identidad (IDP) y comparte la telemetría con las plataformas de gestión de eventos e información de seguridad (SIEM) y de detección y respuesta extendidas (XDR) con el fin de proporcionar análisis más detallados, todo a través de integraciones únicas con nuestra API unificada .
Aplicar controles de riesgo automatizados a escala: en función de estas puntuaciones de riesgo dinámicas propias y de terceros, Cloudflare aplica controles de riesgo coherentes para los usuarios y las aplicaciones en cualquier lugar del mundo.
Figura 1: Diagrama Unified Risk Posture
Como hemos mencionado anteriormente, este conjunto de funciones integra las capacidades de nuestras carteras de soluciones de seguridad SASE y WAAP en nuestra red global. Ahora los clientes pueden beneficiarse de la funcionalidad integrada de gestión de riesgos que forma parte de estas carteras.
Este lanzamiento se basa en nuestros esfuerzos progresivos para ampliar la visibilidad y los controles propios y las integraciones de terceros que facilitan a las organizaciones la adaptación a la evolución de los riesgos. Por ejemplo, como parte de la Security Week 2024, anunciamos la disponibilidad general de la puntuación de riesgo de los usuarios basada en el comportamiento y la versión beta de un asistente habilitado para IA para ayudarte a analizar los riesgos a los que se enfrenta tu aplicación. Además, en una integración reciente en otoño de 2023, anunciamos que nuestros clientes de soluciones de seguridad del correo electrónico en la nube pueden ingerir y mostrar nuestras detecciones de amenazas en el panel de control CrowdStrike Falcon® Next-Gen SIEM.
Para mejorar la gestión de tu postura de riesgo, podrás beneficiarte de las nuevas funciones e integraciones de Cloudflare, que incluyen:
Una nueva integración para compartir Cloudflare Zero Trust y datos de registro de correo electrónico con CrowdStrike Falcon Next-Gen SIEM (ya disponible).
Una nueva integración para compartir la puntuación de riesgo de los usuarios de Cloudflare con Okta para aplicar las políticas de acceso (disponible a finales del segundo trimestre de 2024).
Nuevos modelos UEBA propios, que incluyen las puntuaciones de riesgo de los usuarios basadas en las comprobaciones de la postura del dispositivo (disponible a finales del segundo trimestre de 2024).
La unificación de las fases de evaluación, intercambio y aplicación de la gestión de riesgos en la plataforma de Cloudflare ayuda a los responsables de seguridad a mitigar el riesgo con menos esfuerzo. Como proveedor de ciberseguridad que defiende tanto la infraestructura pública como la interna, Cloudflare está en una posición única para proteger una amplia parte de tu superficie de ataque en expansión. La combinación de la puntuación de riesgo dinámica propia, las integraciones flexibles y la aplicación automatizada ayuda a conseguir dos resultados empresariales importantes:
Menos carga laboral para los equipos de SecOps, gracias a la reducción de la creación manual de políticas y el aumento de la agilidad en la respuesta a incidentes. Estas ventajas se traducen en menos clics para crear políticas, flujos de trabajo más automatizados y un tiempo medio de detección (MTTD) y de respuesta (MTTR) más bajo a los incidentes.
Reducción del ciberriesgo con visibilidad y controles que abarcan a los usuarios y las aplicaciones. Esta ventaja supone menos incidentes críticos y más amenazas bloqueadas de manera automática.
Clientes como Indeed, la principal web de empleo del mundo, ya están experimentando estas ventajas tras asociarse con Cloudflare:
"Cloudflare nos ayuda a mitigar el riesgo de forma más eficaz sin apenas esfuerzo, y simplifica cómo ofrecemos la seguridad Zero Trust en toda la organización".— Anthony Moisant, vicepresidente sénior, director de informática y director de seguridad de Indeed
Problema: numerosos riesgos en demasiada superficie de ataque
La gestión de la postura de riesgo es un desafío intrínsecamente amplio, que abarca los peligros internos y las amenazas externas en los vectores de ataque. A continuación, se muestra solo un ejemplo de los factores de riesgo que los CISO y sus equipos de seguridad rastrean en tres ámbitos cotidianos: los usuarios, las aplicaciones y los datos.
Riesgos para los usuarios: phishing, ingeniería social, malware, ransomware, acceso remoto, amenazas internas, acceso físico en riesgo, terceros / cadena de suministro y dispositivos móviles / BYOD.
Riesgos para las aplicaciones: denegación de servicio, vulnerabilidades de día cero, inyección de código SQL, cross-site scripting, ejecución de código remota, relleno de credenciales, apropiación de cuentas, uso de elementos de Shadow IT y abuso de las API.
Riesgos para los datos: pérdida/exposición de datos, robo/fuga de datos, vulneración de la privacidad, incumplimientos y manipulación de datos.
Existen soluciones específicas para bloquear algunos de estos riesgos específicos y vectores de ataque. Sin embargo, con el tiempo, las organizaciones han acumulado numerosos servicios con una capacidad limitada para comunicarse entre sí y crear una visión más integral del riesgo. La telemetría granular generada por cada herramienta ha creado una sobrecarga de información para el personal de seguridad, que a menudo ya está al límite. Las plataformas de gestión de eventos e información de seguridad (SIEM) y de detección y respuesta extendidas (XDR) desempeñan un papel fundamental en la agregación de datos de riesgo en todos los entornos y la mitigación de amenazas basadas en el análisis. No obstante, estas herramientas siguen exigiendo tiempo, recursos y experiencia para funcionar de forma eficaz. Todos estos desafíos han empeorado a medida que las superficies de ataque se han expandido con rapidez, las empresas adoptan el trabajo híbrido, crean nuevas aplicaciones digitales y, más recientemente, experimentan con la IA.
Cloudflare te ayuda a gestionar la postura de riesgo
Para ayudar a recuperar el control sobre esta complejidad, Cloudflare for Unified Risk Posture proporciona una plataforma para evaluar el riesgo, intercambiar indicadores y aplicar controles dinámicos en todos los entornos informáticos y en todo el mundo, al tiempo que complementa las herramientas de seguridad de las que ya depende tu empresa.
Si bien los riesgos específicos que Cloudflare puede mitigar son muy variados (incluidos todos los de los ejemplos anteriores), los siguientes tres casos de uso representan toda la gama de nuestras capacidades, que puedes empezar a aprovechar hoy mismo.
Caso de uso n.º 1: Aplicar un modelo de seguridad Zero Trust con Cloudflare y CrowdStrike
Este primer caso de uso destaca la flexibilidad con la que Cloudflare se adapta a tu ecosistema de seguridad actual para facilitar la adopción de las prácticas recomendadas de Zero Trust.
Cloudflare integra y usa señales de seguridad de los mejores socios de plataformas de protección de puntos finales (EPP) y proveedores de identidad (IDP) para aplicar comprobaciones de identidad y postura del dispositivo para cualquier solicitud de acceso a cualquier destino. Incluso puedes incorporar varios proveedores a la vez para aplicar diferentes políticas en diferentes contextos. Por ejemplo, la integración con CrowdStrike Falcon®, permite a nuestros clientes comunes aplicar políticas basadas en la puntuación Falcon Zero Trust Assessment (ZTA), que ofrece evaluaciones continuas en tiempo real de la postura de seguridad en todos los puntos finales de una organización, independientemente de la ubicación, la red o el usuario. Además, los clientes pueden enviar los registros de actividad generados por Cloudflare, incluidas todas las solicitudes de acceso, a cualquier proveedor de almacenamiento en la nube o de análisis que prefieran.
Hoy anunciamos la ampliación de nuestra asociación con CrowdStrike para una nueva integración que permite a las organizaciones compartir registros con Falcon Next-Gen SIEM y obtener análisis e investigaciones más exhaustivas. Falcon Next-Gen SIEM unifica los datos propios y de terceros, la información nativa sobre amenazas, la IA y la automatización del flujo de trabajo para impulsar la transformación del SOC y mejorar la protección contra amenazas. La integración de Cloudflare Zero Trust y los registros de correo electrónico con Falcon Next-Gen SIEM permite a los clientes comunes identificar e investigar los riesgos de la conectividad Zero Trust y el correo electrónico y analizar los datos con otras fuentes de registro para descubrir amenazas ocultas.
"CrowdStrike Falcon Next-Gen SIEM ofrece un rendimiento de búsquedas hasta 150 veces más rápido que los SIEM heredados y los productos posicionados como alternativas SIEM. Nuestra telemetría transformadora, junto con las sólidas capacidades Zero Trust de Cloudflare, proporciona una asociación sin precedentes. Juntos, estamos reuniendo dos de las piezas más críticas del rompecabezas de la gestión de riesgos que las organizaciones de todos los tamaños deben abordar para combatir la creciente amenaza actual".— Daniel Bernard, director de negocio de CrowdStrike
A continuación, se muestra un ejemplo de flujo de trabajo sobre cómo Cloudflare y CrowdStrike trabajan juntos para aplicar políticas Zero Trust y mitigar los riesgos emergentes. Juntos, Cloudflare y CrowdStrike se complementan intercambiando datos de actividad y riesgo, y aplicando políticas basadas en el riesgo y medidas correctivas.
Figura 2: Aplica Zero Trust con Cloudflare y CrowdStrike
Fase 1: Investigación automatizada
Fase 2: Aplicación de Zero Trust
Fase 3: Corrección
Cloudflare y CrowdStrike ayudan a una organización a detectar que un usuario está en riesgo.
En este ejemplo, Cloudflare ha bloqueado recientemente la navegación web a sitios web peligrosos y correos electrónicos de phishing como primera línea de defensa. A continuación, esos registros se envían a CrowdStrike Falcon Next-Gen SIEM, que alerta al analista de tu organización sobre actividades sospechosas.
Al mismo tiempo, CrowdStrike Falcon Insight XDR escanea automáticamente el dispositivo de ese usuario y detecta que está infectado. Como resultado, se reduce la puntuación Falcon ZTA que refleja el estado del dispositivo.
Esta organización ha configurado comprobaciones de postura del dispositivo a través de la solución de Acceso a la red Zero Trust (ZTNA) de Cloudflare, y solo permite el acceso cuando la puntuación de riesgo Falcon ZTA está por encima del umbral específico definido.
Nuestro ZTNA deniega la siguiente solicitud del usuario para acceder a una aplicación porque la puntuación Falcon ZTA está por debajo de ese umbral.
Debido a esta comprobación fallida de la postura del dispositivo, Cloudflare aumenta la puntuación de riesgo para ese usuario, lo que le sitúa en un grupo con controles más restrictivos.
En paralelo, CrowdStrike Next-GenSIEM ha seguido analizando la actividad específica del usuario y los riesgos más generales en todo el entorno de la organización. Mediante el uso de modelos de aprendizaje automático, CrowdStrike muestra los principales riesgos y propone soluciones para cada riesgo a tu analista.
A continuación, el analista puede revisar y seleccionar estrategias de corrección, por ejemplo, poner en cuarentena el dispositivo del usuario, para reducir aún más el riesgo en toda la organización.
Caso de uso n.º 2: Proteger las aplicaciones, las API y los sitios web
Este siguiente caso de uso se centra en la protección de las aplicaciones, las API y los sitios web de los ciberdelincuentes y los bots. Muchos clientes recurren a Cloudflare por primera vez para este caso de uso, pero es posible que no conozcan los algoritmos de evaluación de riesgos que sustentan su protección.
Figura 3: Protege las aplicaciones, las API y los sitios web con información sobre amenazas respaldada por el aprendizaje automático
Los servicios para aplicaciones de Cloudflare detectan y mitigan la carga malintencionada y los bots utilizando modelos de riesgo basados en el aprendizaje automático como:
Nuestra herramienta WAF Attack Score, que puntúa si una solicitud contiene una vulnerabilidad de día cero o las 10 principales vulnerabilidades comunes de OWASP como la inyección de código SQL, el cross-site scripting o la carga malintencionada para ejecución remota de código.
Nuestra función de puntuación de bots, que puntúa la probabilidad de que una solicitud proceda de un bot.
Nuestro clasificador de scripts maliciosos, que analiza los peligros de los scripts del navegador para los visitantes de tu sitio web.
Estos modelos de riesgo se entrenan en gran medida con la telemetría de la red global de Cloudflare, que se utiliza como proxy inverso en casi el 20 % de todos los sitios web y recibe alrededor de 3 billones de consultas DNS al día. Esta visibilidad única en tiempo real alimenta la información sobre amenazas e incluso nos permite detectar y mitigar los ataques de día cero antes que otros proveedores.
Cloudflare también utiliza el aprendizaje automático para identificar nuevos puntos finales y esquemas de las API sin necesidad de que el cliente inserte ningún requisito previo. Esta ventaja ayuda a las organizaciones a identificar las API no autenticadas y a distribuir su creciente superficie de ataque antes de aplicar medidas de protección.
A diferencia de otros proveedores, la arquitectura de red de Cloudflare permite que los modelos de evaluación de riesgos y los controles de seguridad de la infraestructura pública e interna se compartan en todos nuestros servicios. De esta manera, las organizaciones pueden aplicar protecciones contra las vulnerabilidades de las aplicaciones, los ataques DDoS y los bots frente a aplicaciones internas como los servidores Jira y Confluence autoalojados, protegiéndolos de amenazas emergentes e incluso de amenazas de día cero.
Las organizaciones pueden revisar los posibles errores de configuración, los riesgos de fuga de datos y las vulnerabilidades que afectan a la postura de riesgo de su aplicación, API y sitio web en el Centro de seguridad de Cloudflare. Estamos trabajando en este enfoque centralizado de la gestión de la postura de riesgo mediante la integración de alertas e información en toda nuestra cartera de soluciones de seguridad. De hecho, hemos anunciado recientemente actualizaciones centradas en destacar las deficiencias en la implementación de los servicios de Cloudflare en tu organización.
Por último, también estamos facilitando a las organizaciones la investigación directa de los eventos de seguridad y hemos anunciado recientemente la disponibilidad beta de Log Explorer. En esta versión beta, los equipos de seguridad pueden ver todo su tráfico HTTP en un solo lugar con funciones de búsqueda, paneles de análisis y filtros integrados. Estas capacidades pueden ayudar a los clientes a supervisar más factores de riesgo dentro de la plataforma de Cloudflare para evitar exportar a herramientas de terceros.
Caso de uso n.º 3: Proteger los datos confidenciales con UEBA
Este tercer caso de uso resume una forma común en la que muchos clientes planean usar nuestras puntuaciones de riesgo de usuario / UEBA para evitar fugas y el mal uso de datos confidenciales:
Figura 4: Protege las aplicaciones, las API y los sitios web con información sobre amenazas basada en el aprendizaje automático
Fase 1: en este ejemplo, el equipo de seguridad ya ha configurado políticas de prevención de pérdida de datos (DLP) para detectar y bloquear el tráfico con datos confidenciales. Estas políticas evitan los numerosos intentos repetidos de un usuario de cargar código fuente en un repositorio público de GitHub.
Fase 2: como este usuario ha infringido ahora un gran número de políticas de DLP en un breve periodo de tiempo, Cloudflare clasifica a ese usuario como sospechoso de alto riesgo, independientemente de si esas cargas eran malintencionadas o inofensivas. Ahora el equipo de seguridad puede seguir investigando a ese usuario específico, incluida la revisión de toda su actividad de registro reciente.
Fase 3: para ese usuario de alto riesgo específico o para un grupo de usuarios de alto riesgo, los administradores pueden crear reglas ZTNA o incluso de aislamiento de navegador para bloquear o aislar el acceso a las aplicaciones que contengan otros datos confidenciales.
En conjunto, este flujo de trabajo destaca cómo los controles de postura de riesgo de Cloudflare se adaptan al comportamiento sospechoso desde la evaluación hasta la aplicación.
Incorpora ya la gestión unificada de la postura de riesgo
Los casos de uso anteriores reflejan cómo nuestros clientes están unificando la gestión de riesgos con Cloudflare. En nuestras conversaciones con clientes, surgieron algunos temas por los que confían en nuestra visión para ayudarles a gestionar el riesgo en su superficie de ataque en expansión:
La simplicidad de nuestra plataforma unificada: combinamos la puntuación y los controles de riesgo SASE y WAAP para los usuarios y las aplicaciones. Además, con una única API para todos los servicios de Cloudflare, las organizaciones pueden automatizar y personalizar fácilmente los flujos de trabajo con herramientas de infraestructura como código como Terraform.
La flexibilidad de nuestras integraciones: intercambiamos señales de riesgo con los proveedores de EPP, IDP, XDR y SIEM que ya utilizas, para que puedas maximizar el uso de tus herramientas y datos. Además, con integraciones únicas que funcionan en todos nuestros servicios, puedes ampliar los controles a través de tus entornos informáticos con agilidad.
La escala de nuestra red global: todos los servicios de seguridad están disponibles para que los clientes los ejecuten en todas las ubicaciones de nuestra red, que abarca más de 320 ubicaciones y más de 13 000 interconexiones. De este modo, la inspección de paso único y la aplicación de políticas de riesgo son siempre rápidas, coherentes y resistentes, y se entregan cerca de tus usuarios y de tus aplicaciones.
Si estás listo para ver cómo Cloudflare puede ayudarte a gestionar el riesgo, solicita una consulta hoy mismo. O si estás en la conferencia RSA 2024, pásate por cualquiera de nuestros eventos presenciales.
Para saber más sobre cómo Cloudflare puede ayudarte a evaluar el riesgo, intercambiar indicadores de riesgo y aplicar controles de riesgo, consulta los recursos en nuestro sitio web.