L'équipe de recherche et de réponse aux menaces de Cloudflare, Cloudflare One, est désormais opérationnelle et a commencé à communiquer des informations concernant les menaces. L'accès à l'équipe est proposé via un abonnement complémentaire comprenant des données et des informations sur les menaces, des outils de sécurité et la possibilité d'adresser des demandes d'informations à l'équipe.
Renseignez ce formulaire ou contactez l'équipe responsable de votre compte pour en savoir plus.
Les abonnements se déclinent en deux offres, dont le prix est calculé en fonction du nombre d'employés : l'offre « Premier » comprend l'historique intégral de nos données sur les menaces, des demandes d'informations groupées et un quota d'utilisation d'API conçu pour assurer la prise en charge des intégrations avec les solutions SIEM. L'offre « Core » propose un historique et des quotas réduits. Les deux offres comprennent l'accès à tous les outils de sécurité disponibles, notamment à un portail d'enquête sur les menaces et à des sinkholes en tant que service.
Si vous êtes client Enterprise et vous souhaitez mieux comprendre le type de communications sur les menaces que reçoivent les clients de Cloudflare One, vous pouvez vous inscrire ici pour assister au webinaire « YackingYeti: How a Russian threat group targets Ukraine—and the world », prévu le 12 octobre. La réunion comprendra une séance de questions-réponses avec Blake Darché, responsable de Cloudforce One, et vous permettra d'en apprendre davantage sur l'équipe et l'offre.
Demandes d'informations (RFI) et communications
L'équipe Cloudforce One se compose d'analystes répartis en cinq sous-équipes : analyse des logiciels malveillants, analyse des menaces, atténuation active et contre-mesures, analyse des informations et partage d'informations. Ensemble, les membres de l'équipe ont traqué de nombreux cybercriminels extrêmement compétents sur Internet lorsqu'ils travaillent à la National Security Agency (NSA), à USCYBERCOM et à Area 1 Security, et ont également collaboré avec des organisations et des administrations gouvernementales similaires afin de perturber l'activité de ces acteurs malveillants. Ils ont également publié de nombreux rapports de « conclusions définitives » sur des sujets d'importance géopolitique significative en matière de sécurité, notamment des attaques ciblées contre des gouvernements, des entreprises technologiques, le secteur de l'énergie ou des cabinets juridiques, et ont régulièrement informé d'éminentes organisations dans le monde entier sur leurs initiatives.
L' abonnement à Cloudforce One offre également la possibilité d'adresser des demandes d'informations (RFI) à ces experts. Les RFI peuvent porter sur n'importe quel sujet d'intérêt en matière de sécurité, et seront analysées et traitées dans les meilleurs délais. Par exemple, l'équipe d'analyse des logiciels malveillants de Cloudflare One peut accepter les transmissions de logiciels potentiellement malveillants et fournir une analyse technique de ces ressources. À chaque niveau d'offre correspond un nombre fixe de RFI, et des demandes supplémentaires peuvent être ajoutées.
En plus des demandes spécifiques des clients, Cloudforce One propose des communications régulières concernant différentes menaces et les auteurs de menaces, qu'elles ciblent des secteurs spécifiques ou des domaines plus généraux.
Données sur les menaces
La meilleure façon de comprendre les menaces qui pèsent sur les réseaux et les applications connectés à Internet consiste à déployer et protéger une infrastructure Internet vitale de grande ampleur, puis à défendre des millions de clients, petits et grands, contre les attaques. Depuis sa création, c'est exactement dans cet objectif que Cloudflare s'est donné pour mission de construire l'un des plus grands réseaux du monde. Chaque jour, nous répondons à des trillions de requêtes DNS, suivons l'émission de millions de certificats SSL/TLS dans notre journal de transparence des certificats (CT), inspectons des dizaines de millions d'e-mails à la recherche de menaces, acheminons plusieurs pétaoctets de trafic vers les réseaux de nos clients et traitons par proxy des trillions de requêtes HTTP destinées aux applications de nos clients. Chacune de ces requêtes et chacun de ces paquets fournit un point de données unique, pouvant être analysé à grande échelle et anonymisé sous forme de données exploitables concernant les menaces, désormais mises à la disposition des clients de Cloudforce One.
Les ensembles de données maintenant accessibles depuis le tableau de bord et via l'API pour les abonnés comprennent l'adresse IP, l'ANS et des informations sur le domaine et des résolutions DNS passives ; la publication de fiches d'informations sur les auteurs de menaces avec des indicateurs de compromission, les ports ouverts et les nouvelles listes d'adresses IP gérées est prévue plus tard cette année.
Outils de sécurité
Dans l'environnement opérationnel actuel, les équipes d'analyse de sécurité et de recherche de menaces sont contraintes d'accomplir davantage avec moins de moyens ; cependant, cela n'altère en rien la nécessité pour elles de disposer d'outils fiables, capables d'identifier et d'éliminer rapidement les risques.
Cloudflare One comprend plusieurs outils de sécurité pouvant être déployés en tant que service afin d'accélérer la recherche des menaces et le déploiement de mesures correctives :
Portail d'enquête sur les menaces
Situé dans le Centre de sécurité, l'onglet Investigation constitue votre portail pour accéder aux données concernant les menaces actuelles ou passées, avec les adresses IP, les ANS, les URL (nouveauté) et les domaines.
Il est désormais possible d'analyser des URL à la recherche de contenus associés au phishing, avec des résultats basés sur l'analyse heuristique et l'apprentissage automatique accessibles à la demande.
Protection de la marque (nouveauté)
Également accessible dans le Centre de sécurité, l'onglet Protection de la marque permet d'enregistrer des mots-clés ou des ressources (par exemple, des logos d'entreprise, etc.) pour lesquels les clients souhaitent être avertis lorsqu'ils apparaissent sur Internet.
Sinkholes (nouveauté)
Les sinkholes peuvent être créés à la demande, en tant que service, afin de surveiller les hôtes infectés par des logiciels malveillants et les empêcher de communiquer avec des serveurs « Control and Command » (C2).
Après la création d'un sinkhole via une API, une adresse IP est renvoyée, et peut être utilisée avec des produits DNS tels que la passerelle Cloudflare Gateway pour rediriger les requêtes web vers des sinkholes sécurisés (et à l'écart des serveurs C2). Les sinkholes peuvent être utilisés pour intercepter le trafic SMTP.
Les clients de l'offre Premier peuvent également utiliser leur propre espace d'adressage IP avec les sinkholes afin de permettre le filtrage par pare-feu du trafic sortant ou d'autres scénarios d'utilisation. À l'avenir, nous prévoyons d'étendre notre fonctionnalité de sinkholes à la couche réseau, ce qui permettra de la déployer avec des offres telles que Magic Transit et Magic WAN.
Premiers pas avec Cloudforce One
L'équipe Cloudforce One est désormais opérationnelle et prête à répondre à vos demandes d'informations concernant la sécurité. Renseignez-vous auprès du responsable de votre compte ou renseignez ce formulaire pour en savoir plus. Nous espérons vous compter parmi nous lors du webinaire à venir !