Приложение, проксирующее трафик через Cloudflare, обладает широким спектром простых в использовании функций безопасности, включая WAF, управление ботами и нейтрализацию DDoS-атак. Чтобы понять, был ли трафик заблокирован Cloudflare, мы создали мощную панель управления Security Events, которая позволяет пользователю просматривать любые события по нейтрализации атак. Владельцы приложений часто задаются вопросом, что произошло с остальной частью их трафика. Удалось ли им блокировать весь трафик, который был признан вредоносным?
Сегодня, наряду с нашим объявлением о WAF Attack Score, мы также объявляем о запуске нашего нового продукта — Security Analytics.
Security Analytics обеспечит вам представление о безопасности всего вашего HTTP-трафика, а не только нейтрализованных запросов, позволяя сосредоточиться на том, что наиболее важно: трафик, признанный вредоносным, но потенциально не нейтрализованный.
Обнаружение, затем нейтрализация
Представьте, что вы только что подключили свое приложение к Cloudflare, и без каких-либо дополнительных усилий каждый HTTP-запрос анализируется сетью Cloudflare. Таким образом, аналитика расширяется за счет анализа атак, анализа ботов и любого другого сигнала о безопасности, предоставляемого Cloudflare.
Без какого-либо риска ложных срабатываний, вы можете просмотреть непосредственно весь свой трафик, чтобы узнать, что именно происходит, когда и где.
Это позволяет вам сразу же приступить к анализу результатов этих сигналов, сокращая время, необходимое для развертывания активных мер по нейтрализации атаки, и повышая вашу уверенность в принятии решений.
Мы называем такой подход «обнаружение, затем нейтрализация», и мы уже получили весьма положительные отзывы от клиентов, получивших ранний доступ.
Фактически, решение Cloudflare по управлению ботами — Bot Management — использует эту модель в течение последних двух лет. Мы постоянно получаем отзывы наших клиентов о том, что благодаря улучшенным возможностям мониторинга сети они больше доверяют нашему решению по оценке ботов. Для дальнейшей поддержки этого нового способа защиты ваших веб-приложений и объединения всех наших интеллектуальных сигналов мы спроектировали и разработали новую систему аналитики безопасности — Security Analytics, которая начинает получать сигналы от WAF и других продуктов безопасности, чтобы следовать этой модели.
Новая система Security Analytics
Созданная на основе нашего успешного опыта аналитики, новая система аналитики безопасности — Security Analytics — использует существующие компоненты, такие как лучшие статистические данные, быстрые контекстные фильтры, на новом макете страницы, обеспечивающем быстрое исследование и подтверждение. В следующих разделах этот новый макет страницы будет разбит на части, образующие рабочий процесс высокого уровня.
Ключевое различие между аналитикой безопасности (Security Analytics) и событиями безопасности (Security Events) заключается в том, что Security Analytics основана на HTTP-запросах, которые охватывают возможности мониторинга всего трафика вашего сайта, а Security Events используют другой набор данных, который визуализируется всякий раз, когда имеет место совпадение с любым активным правилом безопасности.
Определение фокуса
Новая система Security Analytics визуализирует набор данных выборочных HTTP-запросов на основе всего вашего приложения, аналогично аналитике ботов. При подтверждении модели «обнаружение, затем нейтрализация» с выбранными клиентами, как правило, наблюдается использование наилучших статистических данных N для быстрого сужения до либо очевидных аномалий, либо определенных частей приложения. Основываясь на этих аналитических данных, страница начинается с выбранной статистики наилучших данных N, охватывающей как источники запросов, так и назначения запросов, что позволяет выполнить расширение, с тем, чтобы просмотреть всю доступную статистику. Такие вопросы, как «Насколько хорошо защищена область администратора моего приложения?» отображается одним или двумя быстрыми щелчками по фильтру в этой области.
Выявление аномалий в тенденциях
После определения предварительного фокуса, ядро интерфейса предназначено для построения графиков тенденций с течением времени. Диаграмма временных рядов зарекомендовала себя как мощный инструмент, помогающий выявлять аномалии трафика, а также позволяющий строить графики на основе различных критериев. Всякий раз, когда возникает пик трафика, скорее всего, имела место атака или попытка атаки.
Как упоминалось выше, в отличие от Security Events, набор данных, используемый на этой странице, представляет собой HTTP-запросы, которые включают как нейтрализованные, так и не нейтрализованные запросы. Под нейтрализованными запросами здесь мы подразумеваем «любой HTTP-запрос, который имел "завершающее" действие, примененное платформой Cloudflare». Остальные запросы, которые не были нейтрализованы, либо обслуживаются кэшем Cloudflare, либо достигают источника. В таких случаях, как наличие пика в не нейтрализованных запросах, но при этом с равномерным уровнем нейтрализованных запросов, можно предположить, что имела место атака, которая не соответствует ни одному активному правилу WAF. В данном примере вы можете одним щелчком мыши отфильтровать не нейтрализованные запросы непосредственно на диаграмме, что инициирует обновление всех данных, визуализированных на этой странице, оказывая поддержку дальнейшим исследованиям.
В дополнение к отображению по умолчанию нейтрализованных или не нейтрализованных запросов вы также можете выбрать график тенденций либо анализа атак, либо анализа ботов, что позволит вам выявлять аномалии в отношении атак или поведения ботов.
Увеличение масштаба с помощью сигналов анализа
Одним из наиболее предпочитаемых и надежных аналитических сигналов для наших клиентов является оценка ботов. С последним добавлением WAF Attack Score и сканирования контента, мы объединяем их на одной странице аналитики, помогая вам еще больше увеличить масштаб своего трафика на основе некоторых из этих сигналов. Комбинация этих сигналов позволяет вам найти ответы на сценарии, которые до сих пор были невозможны:
Запросы на атаку, выполненные (определенными) автоматическими источниками
Запросы на вероятную атаку, выполненные людьми
Содержимое, загруженное с вредоносным контентом, созданным ботами, или без него
После того как сценарий будет отфильтрован, визуализация данных всей страницы, включая статистику наилучших статистических данных N, тренд HTTP-запросов и журнал с выборкой, будет обновлен, что позволит вам обнаружить любые аномалии либо среди одного из наборов наилучших статистических данных N, либо среди тенденции HTTP-запросов, основанной на времени.
Просмотр журналов выборок
После увеличения масштаба определенной части вашего трафика, которая может являться аномалией, журналы выборок предоставляют подробное представление для проверки вашего обнаружения по HTTP-запросу. Это важнейший шаг в рабочем процессе исследования безопасности, подтвержденный высоким коэффициентом вовлеченности при изучении данных об использовании таких журналов, просматриваемых в событиях безопасности (Security Events). Хотя мы добавляем больше данных в каждую запись журнала, расширенное представление журнала со временем становится менее читаемым. Соответственно, мы переработали расширенное представление, начиная с реакции Cloudflare на запрос, затем наши сигналы анализа и, наконец, заканчивая ключевыми компоненты самого необработанного запроса. Изучая эти сведения, вы подтверждаете свою гипотезу об аномалии и принимаете решение о необходимости принятия каких-либо мер по ее нейтрализации.
Полезные информация для начала работы
При внутреннем тестировании прототипа этой аналитической панели мы выяснили, что степень гибкости приводит к увеличению кривой обучения. Чтобы помочь вам начать осваивать гибкость, разработана удобная панель аналитики. Эти аналитические данные созданы для того, чтобы выделить конкретные аспекты вашего общего трафика. Простым щелчком мыши на любом из результатов анализа применяется набор фильтров, увеличивающих масштаб непосредственно той части вашего трафика, которая вас интересует. Здесь вы можете просмотреть журналы выборок или дополнительно настроить любой из примененных фильтров. Данный подход был подтвержден дальнейшими внутренними исследованиями высокоэффективного рабочего процесса, который во многих случаях станет вашей отправной точкой при использовании этой информационной панели.
Как мне это получить?
Новая система Security Analytics постепенно развертывается для всех клиентов плана Enterprise, которые приобрели новые пакеты Application Security Core или Advanced. В ближайшем будущем мы планируем развернуть эту систему для всех других клиентов. Это новое представление будет находиться рядом с существующей информационной панелью Security Events.
Что дальше
Мы все еще находимся на ранней стадии перехода к модели «обнаружение, затем нейтрализация», которая обеспечит вам больше возможностей мониторинга и интеллектуальных функций для лучшей защиты ваших веб-приложений. Пока мы работаем над расширением возможностей обнаружения, поделитесь с нами своими мыслями и отзывами, чтобы помочь нам улучшить наши результаты. Если вы хотите получить доступ раньше, обратитесь к своим специалистам по работе с клиентами, чтобы приступить.