Um tráfego de proxy de aplicativos através da Cloudflare se beneficia de uma ampla variedade de recursos de segurança fáceis de usar, incluindo WAF, gerenciamento de bots e mitigação de DDoS. Para entender se o tráfego foi bloqueado pela Cloudflare, criamos um poderoso painel no Security Events que permite examinar quaisquer eventos de mitigação. Os proprietários de aplicativos geralmente se perguntam o que aconteceu com o restante do tráfego. Eles bloquearam todo o tráfego detectado como malicioso?
Hoje, juntamente com o comunicado do WAF Attack Score, lançamos o novo Security Analytics.
O Security Analytics oferece uma lente de segurança em todo o seu tráfego HTTP, não apenas em solicitações mitigadas, permitindo que você se concentre no que mais importa: tráfego considerado malicioso, mas possivelmente não mitigado.
Detectar e mitigar
Imagine que você acabou de integrar seu aplicativo à Cloudflare e sem nenhum esforço adicional, cada solicitação HTTP é analisada pela rede Cloudflare. As análises são, portanto, enriquecidas com análises de ataques, análises de bots e qualquer outro sinal de segurança fornecido pela Cloudflare.
Imediatamente, sem risco de causar falsos positivos, você pode visualizar todo o seu tráfego para explorar o que está acontecendo, quando e onde.
Isso permite que você se aprofunde diretamente na análise dos resultados desses sinais, reduzindo o tempo necessário para implantar mitigações de bloqueio ativo e aumentando sua confiança na tomada de decisões.
Chamamos essa abordagem de “detectar e mitigar” e já recebemos feedback bastante positivo de clientes com acesso antecipado.
Na verdade, o Gerenciamento de bots da Cloudflare tem usado esse modelo nos últimos dois anos. Constantemente ouvimos comentários de nossos clientes que, com maior visibilidade, eles têm muita confiança em nossa solução de pontuação de bots. Para apoiar ainda mais essa nova forma de proteger seus aplicativos web e reunir todos os nossos sinais inteligentes, projetamos e desenvolvemos o novo Security Analytics que passa a trazer sinais do WAF e outros produtos de segurança para seguir esse modelo.
Novo Security Analytics
Criado com base no sucesso de nossas experiências de análise de dados, o novo Security Analytics emprega componentes existentes, como estatísticas principais, filtros rápidos no contexto, com um novo layout de página que permite exploração e validação rápidas. As seções a seguir detalham esse novo layout de página, formando um fluxo de trabalho de alto nível.
A principal diferença entre o Security Analytics e o Security Events é que o primeiro é baseado em solicitações HTTP que cobrem a visibilidade de todo o tráfego do site, enquanto o Security Events usa um conjunto de dados diferente que visualiza sempre que há uma correspondência com qualquer regra de segurança ativa.
Definir um foco
O novo Security Analytics visualiza o conjunto de dados de solicitações HTTP de amostra com base em todo o seu aplicativo, da mesma forma que a análise de bots. Ao validar o modelo “detectar e mitigar” com clientes selecionados, um comportamento comum observado é usar os principais N estatísticos para restringir rapidamente tanto as anomalias óbvias quanto certas partes do aplicativo. Com base nesse insight, a página começa com os principais N estatísticos selecionadas, abrangendo as origens e os destinos da solicitação, permitindo a expansão para visualizar todas as estatísticas disponíveis. Perguntas como “Qual o nível de proteção da área do administrador do meu aplicativo?” são respondidas com um ou dois cliques rápidos de filtro nesta área.
Detectar anomalias nas tendências
Depois que um foco preliminar é definido, o núcleo da interface é dedicado a traçar tendências ao longo do tempo. O gráfico de séries temporais provou ser uma ferramenta poderosa para ajudar a detectar anomalias de tráfego, permitindo também plotar com base em diferentes critérios. Sempre que houver um pico, é provável que tenha ocorrido um ataque ou tentativa de ataque.
Conforme mencionado acima, diferente do Security Events, o conjunto de dados usado nesta página são solicitações HTTP que incluem solicitações mitigadas e não mitigadas. Por solicitações mitigadas aqui, queremos dizer “qualquer solicitação HTTP que teve uma ação de ‘encerramento’ aplicada pela plataforma Cloudflare”. O restante das solicitações que não foram mitigadas são atendidas pelo cache da Cloudflare ou chegam à origem. No caso de um pico em solicitações não mitigadas, mas estável em solicitações mitigadas, pode-se supor que houve um ataque que não correspondeu a nenhuma regra WAF ativa. Neste exemplo, você pode clicar uma vez para filtrar as solicitações não mitigadas diretamente no gráfico que atualizará todos os dados visualizados nesta página, dando suporte a futuras investigações.
Além da plotagem padrão de solicitações não mitigadas e mitigadas, você também pode optar por plotar tendências de análise de ataque ou análise de bots, permitindo identificar anomalias para comportamentos de ataque ou de bots.
Ampliação dos sinais de análise
Um dos sinais de análise mais amados e confiáveis por nossos clientes é a pontuação de bots. Com a mais recente adição do WAF Attack Score e do Content Scanning, unimos todos em uma página de análise de dados, que ajuda você a observar de forma ampliada seu tráfego com base em alguns desses sinais. A combinação desses sinais permite encontrar respostas para cenários que até agora não eram possíveis:
Solicitações de ataque feitas por fontes automatizadas (definidas)
Prováveis solicitações de ataque feitas por humanos
Conteúdo carregado com/sem conteúdo malicioso feito por bots
Depois que um cenário é filtrado, a visualização de dados de toda a página, incluindo os principais N estatísticos, tendência de solicitações HTTP e amostras de logs, será atualizada, permitindo que você identifique quaisquer anomalias entre um dos principais N estatísticos ou a tendência das solicitações HTTP baseadas em tempo.
Analisar as amostras de logs
Depois de ampliar uma parte específica de seu tráfego que pode ser uma anomalia, as amostras de logs fornecem uma visão detalhada para verificar sua descoberta por solicitação HTTP. Esta é uma etapa essencial em um fluxo de trabalho de estudo de segurança apoiado pela alta taxa de engajamento ao examinar os dados de uso de tais logs visualizados em Security Events. Enquanto adicionamos mais dados a cada entrada de log, a exibição de logs expandida se torna menos legível com o tempo. Portanto, redesenhamos a visão expandida, começando com como a Cloudflare respondeu a uma solicitação, seguida por nossos sinais de análise e, por último, os principais componentes da própria solicitação bruta. Ao analisar esses detalhes, você valida sua hipótese de anomalia e se alguma ação de mitigação é necessária.
Insights úteis para começar
Ao testar o protótipo desse painel de análise de dados internamente, aprendemos que o poder da flexibilidade gera uma curva de aprendizado ascendente. Para ajudar você a começar a dominar a flexibilidade, criamos um prático painel de insights. Esses insights são elaborados para destacar perspectivas específicas em seu tráfego total. Com um simples clique em qualquer um dos insights, uma predefinição de filtros é aplicada, ampliando diretamente a parte do tráfego em que você está interessado. A partir daqui, você pode analisar as amostras de logs ou ajustar ainda mais qualquer um dos filtros aplicados. Essa abordagem foi comprovada com mais estudos internos de um fluxo de trabalho altamente eficiente que, em muitos casos, será seu ponto de partida para usar esse painel.
Como posso adquirir?
O novo Security Analytics está sendo implementado gradualmente para todos os clientes Enterprise que adquiriram o novo Application Security Core ou Advanced Bundles. Planejamos lançá-lo para todos os demais clientes em um futuro próximo. Essa nova visualização estará ao lado do painel Security Events existente.
O que vem a seguir
Ainda estamos em um estágio inicial do modelo “detectar e mitigar”, para capacitar você com maior visibilidade e inteligência e proteger melhor seus aplicativos web. Enquanto trabalhamos para habilitar mais recursos de detecção, compartilhe suas ideias e comentários conosco para nos ajudar a melhorar a experiência. Se você quer obter acesso antecipado, entre em contato com sua equipe de conta para começar.