Die Verwendung von Cloudflare for Unified Risk Posture

Introducing Cloudflare for Unified Risk Posture

Der Umgang mit Risiken – also die Art und Weise, in der ein Unternehmen Risiken bewertet, priorisiert und sich dagegen schützt – war noch nie einfach. Da sich die Angriffsflächen jedoch schnell vergrößern, gestaltet sich dies nun immer komplizierter und ineffizienter. (Laut einer weltweit durchgeführten Umfrage verbringen die Mitglieder von SOC-Teams im Durchschnitt ein Drittel ihres Arbeitstags mit Vorfällen, die keine Bedrohung darstellen).

Doch was wäre, wenn sich Risiken mit weniger Aufwand und geräuschloser neutralisieren ließen?

In diesem Blogbeitrag wird erörtert, wie Cloudflare Kunden dabei helfen kann – dank neuer Lösungen, die Funktionen unserer Secure Access Services Edge (SASE)- und Web Application and API (WAAP)-Sicherheitsprodukte miteinander vereinen. Behandelt werden folgende Themen:

Warum dieser Ansatz gleichzeitig zum Schutz Ihrer Angriffsfläche und der Verringerung des Arbeitsaufwands für SecOps beiträgt
Drei wichtige Anwendungsfälle – darunter die Durchsetzung des Zero Trust-Prinzips dank unserer erweiterten Partnerschaft mit CrowdStrike
Weitere von uns zurzeit ausgelotete neue Projekte auf Grundlage dieser Funktionen

Cloudflare for Unified Risk Posture

Wir geben heute die Einführung von Cloudflare for Unified Risk Posture bekannt. Dabei handelt es sich um eine Reihe neuer Funktionen zur Risikoverwaltung im Bereich Cybersicherheit, die Unternehmen bei der automatischen und dynamischen Durchsetzung von Maßnahmen zur Risikoneutralisierung für ihre wachsende Angriffsfläche unterstützen können. Damit bietet eine einzige Plattform folgende Möglichkeiten:

Bewertung des Risikos durch Menschen und für Anwendungen: Cloudflare bewertet das von Menschen ausgehende Risiko anhand von UEBA (User Entity and Behavior Analytics)-Modellen und das Risiko für Anwendungen, API und Websites mithilfe von Modellen zum Aufspüren schädlicher Payloads, Zero-Day-Bedrohungen und Bots.
Austausch von Risikoindikatoren mit hochkarätigen Partnern: Cloudflare bezieht Risikobewertungen von hochkarätigen Partnern im Bereich Endpunktschutz (Endpoint Protection – EPP) und von Identitätsanbietern (Identity Provider – IDP). Unsererseits übermitteln wir Telemetriedaten an SIEM (Security Information and Event Management)-Systeme sowie XDR (Extended Detection and Response)-Plattformen zur weiteren Analyse. Ermöglicht wird dies durch einmalige Integrationen über unsere einheitliche API.
Durchsetzung automatisierter, maßstabsgerechter Risikokontrollen: Auf Grundlage dieser dynamischen Risikobewertungen von Erst- und Drittanbietern setzt Cloudflare einheitliche Risikokontrollen für Mitarbeitende und Anwendungen an jedem beliebigen Standort auf der Welt durch.

Abbildung 1: Diagramm zu Unified Risk Posture

Wie bereits festgestellt, vereint diese Lösungsreihe Funktionen unserer SASE- und WAAP-Sicherheitsprodukte in unserem globalen Netzwerk. Kunden können jetzt die Vorteile integrierter Risikomanagementfunktionen innerhalb dieser bestehenden Lösungen nutzen.

Diese Markteinführung geht auf unsere Bemühungen zurück, schrittweise den Überblick und die Kontrolle von Erstanbietern sowie Integrationen von Drittanbietern zu erweitern. Das erleichtert Unternehmen die Anpassung an eine sich wandelnde Gefahrenlandschaft. Beispielsweise haben wir im Rahmen der Security Week 2024 die allgemeine Verfügbarkeit einer verhaltensbasierten Risikobewertung von Nutzern und die Verfügbarkeit der Betaversion eines KI-gestützten Assistenten zur Analyse der für Ihre Anwendungen bestehenden Risiken bekannt gegeben. Im Zuge einer im Herbst 2023 vorgenommenen Integration haben wir zudem bekannt gegeben, dass unsere Cloud Email Security-Kunden die aus unserer Bedrohungserkennung gewonnenen Informationen in das Falcon® Next-Gen SIEM-Dashboard von CrowdStrike einspeisen und sich diese dort anzeigen lassen können.

Cloudflare bietet eine Reihe neuer Funktionen und Integrationen, mit denen Sie Ihr Risikomanagement optimieren können:

Eine neue Integration zur gemeinsamen Nutzung von Cloudflare Zero Trust- und E-Mail-Protokolldaten mit Falcon Next-Gen-SIEM von CrowdStrike (jetzt verfügbar)
Eine neue Integration für die Übermittlung des nutzerbezogenen Risiko-Scores von Cloudflare an Okta zur Durchsetzung von Zugriffsrichtlinien (erhältlich ab Ende des zweiten Quartals 2024)
Neue UEBA-Modelle von Erstanbietern, einschließlich nutzerbezogenen Risiko-Scores auf Grundlage von Überprüfungen des Gerätestatus (erhältlich ab Ende des zweiten Quartals 2024)

Die Bewertung, der Informationsaustausch und die Durchsetzung der Vorgaben im Bereich Risikomanagement werden auf der Cloudflare-Plattform zusammengeführt. So können Sicherheitsverantwortliche Risiken mit weniger Aufwand neutralisieren. Als Anbieter von Cybersicherheitslösungen zum Schutz sowohl öffentlich zugänglicher als auch interner Infrastrukturen ist Cloudflare einzigartig aufgestellt, um weite Teile Ihrer wachsenden Angriffsfläche zu schützen. Die Kombination aus einer dynamischen First-Party-Risikobewertung, flexiblen Integrationen und automatisierter Durchsetzung hilft bei der Erreichung von zwei wesentlichen Geschäftszielen:

Verringerung des Arbeitsaufwands im Bereich SecOps durch eine Reduzierung manueller Maßnahmen bei der Richtlinienerstellung und größere Flexibilität bei der Vorfallreaktion. Das bedeutet weniger Klicks für die Festlegung von Richtlinien und eine stärkere Automatisierung der Arbeitsabläufe. Außerdem werden Zwischenfälle damit im Schnitt schneller bemerkt und bekämpft.
Verringerung des Cyberrisikos durch größere Übersicht und Kontrolle über Nutzer und Anwendungen. So kommt es seltener zu schwerwiegenden Vorfällen und es werden mehr Bedrohungen automatisch blockiert.

Kunden wie die weltweit führende Stellenbörse Indeed profitieren durch die Zusammenarbeit mit Cloudflare bereits von folgenden Vorteilen:

„Cloudflare hilft uns, Gefahren erfolgreicher und mit weniger Anstrengung abzuwehren. Außerdem lässt sich ein Zero Trust-Konzept im gesamten Unternehmen damit leichter umsetzen.“
– Anthony Moisant, Senior Vice President, Chief Information Officer und Chief Security Officer von Indeed.

Das Problem: Zu viele Risiken aufgrund einer zu großen Angriffsfläche

Der Umgang mit Risiken ist naturgemäß schwierig, da interne Gefahren ebenso berücksichtigt werden müssen wie sämtliche Angriffsvektoren externer Bedrohungen. Es folgt eine Auswahl von Risikofaktoren, die von CISO und ihren Sicherheitsteams unter drei Aspekten – Menschen, Anwendungen und Daten – im Arbeitsalltag beobachtet werden:

Personenbezogene Risiken: Phishing, Social Engineering, Schadsoftware, Ransomware, Fernzugriff, Insider-Bedrohungen, Kompromittierung des physischen Zugriffs, Drittanbieter/Supply-Chain, Mobilgeräte/BYOD
Anwendungsbezogene Risiken: Denial of Service, Zero-Day-Schwachstellen, SQL-Injection, Cross-Site Scripting, Ausführung von Code aus der Ferne (Remote Code Execution), Credential Stuffing, Kontoübernahme, Nutzung von Schatten-IT, API-Missbrauch
Datenbezogene Risiken: Verlust/Offenlegung von Daten, Datendiebstahl/Datenlecks, Datenschutzverstöße, Compliance-Verstöße, Datenmanipulation

Für die Abwehr einiger dieser spezifischen Risiken und Angriffsvektoren wurden Einzellösungen entwickelt. Doch mit der Zeit haben sich bei manchen Unternehmen viele Dienste angesammelt, die nur in begrenztem _Umfang miteinander kommunizieren können. Das macht es schwierig, eine ganzheitlichere Sicht auf Risiken zu entwickeln. Jedes einzelne Tool liefert detaillierte Telemetriedaten, was zu einer Informationsüberflutung der ohnehin schon stark beanspruchten Mitarbeitenden in der IT-Sicherheit geführt. SIEM (Security Information and Event Management)- und XDR (Extended Detection & Response)-Plattformen spielen eine wichtige Rolle bei der Bündelung von Risikodaten aus verschiedenen Umgebungen und der Bekämpfung von Bedrohungen auf Grundlage von Analysen. Ein effektiver Einsatz dieser Tools erfordert jedoch immer noch Zeit, Ressourcen und Fachwissen. All diese Herausforderungen sind in letzter Zeit noch gewachsen, weil sich die Angriffsflächen schnell vergrößert haben, Unternehmen hybrides Arbeiten anstreben, neue digitale Anwendungen entwickeln und neuerdings auch mit KI experimentieren.

Wie Cloudflare beim Umgang mit Risiken hilft

Um diese Komplexität wieder in den Griff zu bekommen, bietet Cloudflare for Unified Risk Posture eine einzige Plattform zur Bewertung von Risiken, zum Austausch von Indikatoren und zur Durchsetzung dynamischer Kontrollen für IT-Umgebungen auf der ganzen Welt. Gleichzeitig werden damit die Sicherheitstools ergänzt, auf die Ihr Unternehmen bereits zurückgreift.

Mit Cloudflare kann ein großes Spektrum von Risiken neutralisiert werden (wie an den oben aufgeführten Beispielen deutlich wird). Die folgenden drei Anwendungsfälle zeigen aber die volle Bandbreite der Funktionen, die Sie schon heute nutzen können.

Anwendungsfall Nr. 1: Durchsetzung von Zero Trust mit Cloudflare und CrowdStrike

Dieser erste Anwendungsfall zeigt, mit welcher Flexibilität sich Cloudflare in Ihr aktuelles Sicherheitsökosystem einfügt und so die Einführung von Best Practices für Zero Trust erleichtert.

Cloudflare lässt sich bei den besten EPP- und IDP-Partnern integrieren und empfängt Sicherheitssignale, um Identitäts- und Gerätestatusprüfungen für jede Zugriffsanfrage an jedes Ziel durchzusetzen. Sie können sogar mehrere Anbieter gleichzeitig einbinden, um unterschiedliche Richtlinien in verschiedenen Kontexten durchzusetzen. Zum Beispiel können gemeinsame Kunden durch die Integration mit CrowdStrike Falcon® Richtlinien auf Grundlage des Zero Trust Assessment (ZTA) von Falcon durchsetzen. Dieses liefert kontinuierliche Bewertungen des Sicherheitsstatus in Echtzeit für alle Endpunkte eines Unternehmens – unabhängig von Standort, Netzwerk oder Nutzer. Außerdem können Kunden die von Cloudflare generierten Aktivitätsprotokolle, einschließlich aller Zugriffsanfragen, an den von ihnen bevorzugten Cloud-Speicher- oder Analyse-Anbieter übermitteln.

Heute kündigen wir eine erweiterte Partnerschaft mit CrowdStrike für eine neue Integration an, die es Unternehmen für tiefere Analysen und weitreichendere Untersuchungen ermöglicht, Protokolle mit Falcon Next-Gen SIEM auszutauschen. Falcon Next-Gen SIEM vereint Erst- und Drittanbieterdaten, native Bedrohungsdaten sowie KI und Workflow-Automatisierung, um die Transformation des SOC voranzutreiben und einen besseren Schutz vor Bedrohungen durchzusetzen. Dank der Integration der Cloudflare Zero Trust- und E-Mail-Protokolle bei Falcon Next-Gen SIEM können gemeinsame Kunden Risiken im Zusammenhang mit Zero Trust-Netzwerk- und E-Mail-Diensten erkennen und Daten zusammen mit anderen Protokollquellen analysieren, um versteckte Bedrohungen aufzudecken.

„Falcon Next-Gen SIEM von CrowdStrike bietet eine bis zu 150-mal schnellere Suche als klassische SIEM-Systeme und Produkte, die als SIEM-Alternative vermarktet werden. Unsere transformative Telemetrie in Kombination mit den verlässlichen Zero Trust-Funktionen von Cloudflare ermöglichen eine Partnerschaft, die ihresgleichen sucht. Gemeinsam führen wir zwei der wichtigsten Bestandteile des Risikomanagements zusammen, für die Unternehmen jeder Größe eine Lösung finden müssen, um den wachsenden Bedrohungen der heutigen Zeit begegnen zu können.“
– Daniel Bernard, Chief Business Officer von CrowdStrike

Im folgenden Workflow wird beispielhaft die Zusammenarbeit von Cloudflare und CrowdStrike zur Durchsetzung von Zero Trust-Richtlinien und zur Bekämpfung neuer Risiken illustriert. Cloudflare und CrowdStrike ergänzen sich durch den Austausch von Aktivitäts- und Risikodaten und die Durchsetzung risikobasierter Richtlinien und Abhilfemaßnahmen.

Abbildung 2: Durchsetzung von Zero Trust mit Cloudflare und CrowdStrike

1. Phase: Automatisierte Nachforschung

2. Phase: Durchsetzung von Zero Trust

3. Phase: Problembehebung

Mithilfe von Cloudflare und CrowdStrike können Unternehmen erkennen, dass ein Nutzer kompromittiert wurde.

Im vorliegenden Beispiel hat Cloudflare vor Kurzem als riskant eingestufte Websites und E-Mail-Nachrichten, die als Phishing-Versuch bewertet werden, für das Surfen im Web gesperrt. Diese Maßnahmen stellen die erste Verteidigungslinie dar. Die entsprechenden Protokolle werden dann an Falcon Next-Gen SIEM von CrowdStrike übermittelt. Von dort aus werden die Analysten Ihres Unternehmens über verdächtige Aktivitäten informiert.

Gleichzeitig scannt Falcon Insight XDR von CrowdStrike automatisch das Gerät des Nutzers und erkennt, dass es infiziert ist. Infolgedessen wird der Falcon ZTA-Score herabgestuft, der den Status des Geräts widerspiegelt.

Das Unternehmen hat eine Kontrolle des Gerätestatus mittels Zero Trust-Netzwerkzugang (Zero Trust Network Access – ZTNA) von Cloudflare eingerichtet. Der Zugriff wird nur gestattet, wenn der Falcon ZTA-Risikoscore über einem bestimmten, von dem Unternehmen definierten Schwellenwert liegt.

Unser ZTNA-System lehnt die nächste Zugriffsanfrage des Nutzers für eine Anwendung ab, weil diese Schwelle unterschritten wurde.

Aufgrund dieser fehlgeschlagenen Überprüfung des Gerätestatus hebt Cloudflare den Risikoscore des betreffenden Nutzers an und ordnet ihn damit einer Gruppe zu, die einer strengeren Kontrolle unterliegt.

Parallel dazu hat Next-Gen SIEM von CrowdStrike die Aktivitäten dieses Nutzers und allgemeinere Risiken in der gesamten Umgebung des Unternehmens weiter analysiert. CrowdStrike befördert mithilfe von Machine Learning-Modellen die größten Risiken zutage und schlägt Ihren Analysten Lösungen für jede Gefahr vor.

Diese können dann Abhilfemaßnahmen prüfen und auswählen – also beispielsweise das Gerät des Nutzers unter Quarantäne stellen –, um das Risiko im gesamten Unternehmen weiter zu reduzieren.

Anwendungsfall Nr. 2: Schutz von Anwendungen, API und Websites

Der nächste Anwendungsfall konzentriert sich auf das Abschirmen von Anwendungen, API und Websites vor Kriminellen und Bots. Viele Kunden setzen dafür Cloudflare ein, sind sich aber möglicherweise nicht der Algorithmen zur Risikobewertung bewusst, die dem zugrunde liegen.

Abbildung 3: Schutz von Anwendungen, API und Websites mit ML-gestützten Bedrohungsdaten

Die Anwendungsdienste von Cloudflare erkennen und bekämpfen schädliche Payloads und Bots mithilfe von Risikomodellen, die durch Machine Learning (ML) unterstützt werden. Dazu gehören:

Unser WAF Attack Score, der eine Bewertung darüber bietet, ob eine Anfrage eine Zero-Day-Schwachstelle oder eines der weit verbreiteten Risiken aus den OWASP Top 10 enthält, etwa SQL-Injection, Cross-Site-Scripting oder einen Payload zur Remote Code Execution
Unser Bot-Score, der die Wahrscheinlichkeit anzeigt, laut der eine Anfrage von einem Bot stammt
Unser Klassifizierer für schädliche Skripte, der die Gefahren von Browser-Skripten für Ihre Website-Besucher prüft

Diese Risikomodelle werden größtenteils mit Telemetriedaten aus dem globalen Netzwerk von Cloudflare trainiert, das von fast 20 Prozent aller Websites als Reverse-Proxy genutzt wird und täglich etwa 3 Billionen DNS-Anfragen verzeichnet. Dieser einzigartige Einblick in Echtzeit ermöglicht es uns, Zero-Day-Schwachstellen vor anderen zu erkennen und zu bekämpfen.

Cloudflare setzt maschinelles Lernen auch zum Aufspüren neuer API-Endpunkte und Schemata ein, wofür keinerlei Zutun der Kunden erforderlich ist. So können Unternehmen nicht authentifizierte API erkennen und sich ein Bild von ihrer wachsenden Angriffsfläche machen, bevor sie Schutzmaßnahmen anwenden.

Anders als andere Anbieter ermöglicht die Cloudflare-Netzwerkarchitektur den Austausch von Risikobewertungsmodellen und Sicherheitskontrollen für die öffentlich zugängliche und interne Infrastruktur zwischen allen unseren Diensten. Somit können Unternehmen internen Applikationen wie selbstgehosteten Jira- und Confluence-Servern Maßnahmen zum Schutz vor Anwendungsschwachstellen, DDoS-Angriffen und Bots vorschalten, um diese gegen neue Bedrohungen und sogar gegen Zero-Day-Schwachstellen abzusichern.

Innerhalb des Security Center von Cloudflare können Unternehmen überprüfen, ob eventuell Fehlkonfigurationen, Datenlecks und Sicherheitslücken vorliegen, die Auswirkungen auf den Risikostatus ihrer Anwendungen, API und Websites haben. Wir investieren in diesen zentralisierten Überblick über den Risikostatus, indem wir Warnmeldungen und entsprechende Informationen in alle unsere Sicherheitsprodukte integrieren. So haben wir vor Kurzem Updates bekannt gegeben, mit denen Lücken bei der Art und Weise, in der Cloudflare bei Ihrem Unternehmen implementiert wurde, aufgezeigt werden können.

Last but not least erleichtern wir Unternehmen auch die direkte Untersuchung von Sicherheitsvorfällen. Unlängst haben wir zudem die Betaversion des Log Explorer eingeführt. Damit können IT-Sicherheitsabteilungen ihren gesamten HTTP-Traffic an einem einzigen Ort einsehen. In die Lösung integriert sind eine Suchoption, Analyse-Dashboards und Filter. Mithilfe dieser Funktionen können Kunden eine größere Zahl von Risikofaktoren innerhalb der Cloudflare-Plattform überwachen, anstatt die dafür erforderlichen Daten erst in Drittanbietertools exportieren zu müssen.

Anwendungsfall Nr. 3: Schutz sensibler Daten mit UEBA

Dieser dritte Anwendungsfall fasst eine gängige Methode zusammen, mit der viele Kunden unsere Nutzerrisiko- / UEBA-Scores nutzen wollen, um zu verhindern, dass sensible Daten abfließen und missbraucht werden:

Abbildung 4: Schutz von Anwendungen, API und Websites mit ML-gestützten Bedrohungsdaten

1. Phase: In diesem Beispiel hat das IT-Sicherheitsteam bereits Richtlinien zum Schutz vor Datenverlust (Data Loss Prevention – DLP) konfiguriert, damit Traffic erkannt und gesperrt werden kann, der sensible Daten enthält. Diese Richtlinien verhindern, dass ein Nutzer mehrfach und wiederholt versucht, Quellcode in ein öffentliches GitHub-Repository hochzuladen.
2. Phase: Da dieser Nutzer nun innerhalb kurzer Zeit gegen eine hohe Zahl von DLP-Richtlinien verstoßen hat, stuft Cloudflare diesen verdächtigen Nutzer als hohes Risiko ein – unabhängig davon, ob diese Upload-Versuche bös- oder gutwillig waren. Das IT-Sicherheitsteam kann nun weitere Nachforschungen zu diesem speziellen Nutzer anstellen und seine letzten protokollierten Aktivitäten überprüfen.
3. Phase: Für diesen bestimmten Hochrisiko-Nutzer oder eine Gruppe solcher User können Administratoren dann ZTNA- oder sogar Browserisolierungs-Regeln festlegen, damit diese nicht mehr auf Anwendungen, die andere sensible Daten enthalten, zugreifen können oder der Zugriff isoliert erfolgt.

Insgesamt zeigt dieser Workflow, wie sich die Kontrolle des Risikostatus durch Cloudflare von der Bewertung bis zur Durchsetzung an verdächtiges Verhalten anpasst.

Erste Schritte für einen einheitlichen Umgang mit Sicherheitsrisiken

Die oben genannten Anwendungsfälle spiegeln wider, wie sich für unsere Kunden mit Cloudflare das Risikomanagement an einem Ort zusammenführen lässt. In Gesprächen mit diesen Kunden haben sich ein paar Faktoren herauskristallisiert, die sie davon überzeugt haben, dass wir unserer Vision gerecht werden und ihnen bei der Neutralisierung der mit ihrer wachsenden Angriffsfläche verbundenen Risiken helfen können:

Die Einfachheit unserer einheitlichen Plattform: Wir führen das SASE-Modell und die WAAP-Risikobewertung und -kontrolle für Mitarbeitende und Anwendungen zusammen. Außerdem können Unternehmen über eine einzige API Arbeitsabläufe für alle Cloudflare-Dienste mit Infrastructure as Code-Tools wie Terraform mühelos automatisieren und individuell anpassen.
Die Flexibilität unserer Integrationen: Wir tauschen Risikosignale mit den EPP-, IDP-, XDR- und SIEM-Anbietern aus, die Sie bereits nutzen, damit Sie die Möglichkeiten Ihrer Tools und Daten besser ausschöpfen können. Außerdem können mit einmaligen Integrationen, die für alle unsere Dienste funktionieren, die Kontrollen flexibel auf sämtliche IT-Umgebungen ausgeweitet werden.
Die Dimension unseres globalen Netzwerks: Jeder unserer IT-Sicherheitsdienste steht den Kunden an jedem der mehr als 320 Standorte unseres Netzwerks zur Verfügung, das über 13.000 Interconnections umfasst. Damit lassen sich Single Pass-Überprüfungen und die Durchsetzung von Risikorichtlinien immer auf schnelle, einheitliche und zuverlässige Weise in der Nähe der Nutzer und Anwendungen durchführen.

Wenn Sie wissen möchten, wie Cloudflare Ihnen beim Umgang mit Risiken helfen kann, vereinbaren Sie einen Termin für ein Beratungsgespräch. Sollten Sie 2024 an der RSA-Konferenz teilnehmen, schauen Sie doch einfach bei einer unserer dortigen Veranstaltungen vorbei.

Um mehr darüber zu erfahren, wie Cloudflare Ihnen bei der Bewertung von Risiken, dem Austausch von Risikoindikatoren und der Durchsetzung von Risikokontrollen helfen kann, stehen Ihnen weitere Informationsmaterialien auf unserer Website zur Verfügung.