Подпишитесь, чтобы получать уведомления о новых публикациях:

Новые аналитические данные в WAF

2022-07-07

3 мин. чтения
Другие языки, на которых доступна эта публикация: English, 繁體中文, Español, Polski и 简体中文.

В Cloudflare WAF теперь доступен более широкий спектр аналитической информации об угрозах: мы добавили четыре новых управляемых списка IP-адресов, которые можно использовать при настройке любого пользовательского правила межсетевого экрана.

New WAF intelligence feeds

Управляемые списки создаются и поддерживаются Cloudflare, они составляются на основе аналитической информации об угрозах, собираемой путем анализа характеристик и тенденций трафика, наблюдаемого в Интернете. Клиенты на плане Enterprise с марта 2021 г. могут использовать список Open SOCKS Proxy (Открытые прокси-серверы SOCKS). Сегодня мы добавляем четыре новых списка IP-адресов: "VPN", "Botnets, Command and Control Servers", "Malware" и "Anonymizers" ("VPN", "Ботнеты и командные серверы", "Вредоносное ПО" и "Анонимайзеры").

Вы можете проверить, какие правила доступны на вашем плане, перейдя в раздел Manage Account → Configuration → Lists (Управление учетной записью → Конфигурация → Списки).

You can check what rules are available in your plan by navigating to Manage Account -> Configuration -> Lists.

Клиенты могут обращаться к этим спискам при создании пользовательских правил межсетевого экрана, а также в разделе Advanced Rate Limiting (Расширенные возможности ограничения числа запросов). Например, вы можете выбрать блокировку всего трафика, поступающего с IP-адресов, классифицированных нами как VPN, или ограничить число запросов для трафика, приходящего с анонимайзеров. Для этого достаточно добавить ссылки на управляемые списки IP-адресов в нашем мощном конструкторе правил межсетевого экрана. Разумеется, вы также можете использовать свой собственный список IP-адресов.

Управляемые списки IP-адресов могут использоваться в правилах WAF для управления входящим трафиком с данных IP-адресов.

Managed IP Lists can be used in WAF rules to manage incoming traffic from these IPs.

Откуда поступают данные?

Списки основаны на формируемых Cloudflare потоках данных об угрозах, которые предоставляются в виде списков IP-адресов для удобства использования в WAF. Каждый IP-адрес классифицируется путем объединения данных из открытых источников, а также, благодаря масштабу и охвату сети Cloudflare, за счет анализа поведения каждого IP-адреса. После появления IP-адреса в одном из этих потоков данных мы проверяем его классификацию, а затем направляем эту информацию обратно в наши системы безопасности и делаем ее доступной для клиентов в виде управляемого списка IP-адресов. Содержание каждого списка обновляется несколько раз в день.

Помимо классификации IP-адресов на основе собственных данных, Cloudflare отбирает и объединяет несколько источников данных, которые, по нашему мнению, надежно отслеживают активные угрозы безопасности, имея при этом низкий уровень ложных срабатываний. В современной среде IP-адрес, принадлежащий поставщику облачного сервиса, сегодня может распространять вредоносное ПО, а завтра — оказаться критически важным ресурсом для вашей компании.

Некоторые классификации IP-адресов общедоступны: в частности, данные OSINT или выходные узлы Tor, и мы включаем их в наш список анонимайзеров, чтобы вам не нужно было заново интегрировать этот список в каждый ресурс вашей сети. Другие классификации формируются или проверяются с использованием различных методов DNS, таких как DNS-поиск, поиск записей PTR и наблюдение за пассивным DNS через сеть Cloudflare.

Наши списки вредоносного ПО и командных серверов создаются в результате взаимодействия с тщательно отобранными партнерами, при этом один из типов данных, которые для нас особенно важны при выборе партнеров, — это IP-адреса источников угроз, которые не имеют связанных с ними записей DNS.

Наш список анонимайзеров включает несколько типов сервисов, выполняющих анонимизацию, в том числе VPN, открытые прокси-серверы и узлы Tor. Он включает в себя в качестве подмножеств более узкоспециализированные списки Cloudflare: VPN (известные коммерческие VPN-узлы) и Open Proxies (прокси-серверы, передающие трафик без необходимости аутентификации).

Аннотация IP-адресов на информационной панели

Использование списков IP-адресов для развертывания политики превентивной безопасности — очень хорошо, но как узнать, является ли IP-адрес, взаимодействующий с вашим веб-сайтом или приложением, частью ботнета или VPN? В рамках Недели безопасности 2022 мы объявили о предоставлении контекстной информации для списка анонимайзеров, а сейчас мы замыкаем круг, делая эту функцию доступной для всех новых списков.

На основе аналитических данных об угрозах категория IP-адреса отображается непосредственно на информационной панели Cloudflare. Допустим, вы анализируете запросы, которые были заблокированы WAF и которые, по всей видимости, прощупывали ваше приложение на наличие известных уязвимостей. Если IP-адрес источника этих запросов присутствует в одном из наших потоков данных (например, является частью VPN), соответствующая контекстная информация появится непосредственно на странице аналитики.

Если при проверке исходного IP-адреса какого-либо события WAF обнаруживается присутствие данного IP-адреса в одном из потоков данных об угрозах, соответствующая контекстная информация отображается непосредственно на информационной панели Cloudflare.

When the source IP of a WAF event matches one of the threat feeds, we provide contextual information directly onto the Cloudflare dashboard.

Эта информация может помочь вам выявить закономерности и решить, есть ли необходимость использовать управляемые списки для обработки трафика с этих IP-адресов определенным образом, например, путем создания правила, ограничивающего число запросов, принимаемых от данных пользователей в течение определенного периода времени.

Кто имеет доступ?

В следующей таблице указано, какие планы имеют доступ к каждой из этих функций. Пользователи на всех платных планах получат доступ к контекстуальной аннотации на информационной панели, а клиенты на плане Enterprise смогут пользоваться различными управляемыми списками. Управляемые списки можно использовать только для зон Enterprise в рамках учетной записи Enterprise.

.tg {border-collapse:collapse;border-spacing:0;} .tg td{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-tfgg{background-color:#EFEFEF;color:#F00;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-gpin{background-color:#C9DAF8;text-align:left;vertical-align:top} .tg .tg-ekg0{background-color:#EFEFEF;font-weight:bold;text-align:left;vertical-align:top} .tg .tg-5ll9{background-color:#EFEFEF;color:#009901;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-m0cw{background-color:#C9DAF8;font-weight:bold;text-align:center;vertical-align:top}

FREE PRO BIZ ENT with WAF Essential ENT with WAF Advanced *
Annotations x
Open Proxies x x x
Anonymizers x x x x
VPNs x x x x
Botnets, command and control x x x x
Malware x x x x

FREE

PRO

BIZ

ENT

Advanced ENT *

Аннотация

x

Открытые прокси-серверы

x

x

x

Анонимайзеры

x

x

x

x

VPN

x

x

x

x

Ботнеты, командные серверы

x

x

x

x

Вредоносное ПО

x

x

x

x

* Свяжитесь с вашим менеджером Customer Success, чтобы узнать, как получить доступ к этим спискам.

Планы на будущее

Мы работаем над расширением охвата наших данных об угрозах. В ближайшие месяцы мы предложим новые списки IP-адресов, в частности, мы готовим списки поставщиков облачных сервисов и служб преобразования сетевых адресов операторского класса (CG-NAT).

Мы защищаем целые корпоративные сети, помогаем клиентам эффективно создавать интернет-приложения в глобальном масштабе, ускорять любые веб-сайты или интернет-приложения, отражать DDoS-атаки, не допускать действий хакеров, и можем оказать поддержку на вашем пути к Zero Trust.

Посетите 1.1.1.1 с любого устройства, чтобы начать работу с нашим бесплатным приложением, благодаря которому ваша интернет-навигация станет еще быстрее и безопаснее.

Чтобы узнать больше о нашей миссии, которая состоит в том, чтобы способствовать развитию и совершенствованию Интернета, начните здесь. Если вы ищете новое направление для развития своей карьеры, ознакомьтесь с нашими открытыми позициями.
Новости о продуктахWAFThreat IntelligenceVPNBotnet

Подписаться на X

Cloudflare|@cloudflare

Связанные публикации

24 октября 2024 г. в 13:00

Durable Objects aren't just durable, they're fast: a 10x speedup for Cloudflare Queues

Learn how we built Cloudflare Queues using our own Developer Platform and how it evolved to a geographically-distributed, horizontally-scalable architecture built on Durable Objects. Our new architecture supports over 10x more throughput and over 3x lower latency compared to the previous version....

08 октября 2024 г. в 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...

27 сентября 2024 г. в 13:00

AI Everywhere with the WAF Rule Builder Assistant, Cloudflare Radar AI Insights, and updated AI bot protection

This year for Cloudflare’s birthday, we’ve extended our AI Assistant capabilities to help you build new WAF rules, added new AI bot & crawler traffic insights to Radar, and given customers new AI bot blocking capabilities...

26 сентября 2024 г. в 13:00

Zero-latency SQLite storage in every Durable Object

Traditional cloud storage is inherently slow because it is accessed over a network and must synchronize many clients. But what if we could instead put your application code deep into the storage layer, such that your code runs where the data is stored? Durable Objects with SQLite do just that. ...