管理风险态势(您的企业如何评估风险、确定风险优先级和减轻风险)从来都不是一件容易的事。但随着攻击面继续迅速扩大,这项工作变得越来越复杂和低效。(一项全球调查发现,SOC 团队成员平均将工作日三分之一的时间花在处理不构成威胁的事件上)。
但是,如果您能够以更少的工作和更少的干扰来降低风险呢?
本文探讨了 Cloudflare 如何帮助客户实现这一目标,这要归功于一个新套件,该套件融合了我们的安全访问服务边缘 (SASE) 以及 Web 应用程序和 API (WAAP) 安全产品组合的功能。我们将对以下主题进行说明:
为什么这种方法有助于保护更多的攻击面,同时减少 SecOps 工作量
三个主要使用案例——包括通过我们扩大的 CrowdStrike 合作伙伴关系实施 Zero Trust
我们正在基于这些功能探索的其他新项目
Cloudflare for Unified Risk Posture
今天,我们宣布推出 Cloudflare for Unified Risk Posture,这是一套新的网络安全风险管理功能,可以帮助企业在不断扩大的攻击面中自动、动态地实施风险态势。如今,一个统一的平台使组织能够:
**评估人员和应用程序之间的风险:**Cloudflare 通过用户实体和行为分析 (UEBA) 模型评估人员带来的风险,并通过恶意有效负载、zero-day 威胁和机器人检测模型评估应用程序、API 和网站的风险。
**与一流的合作伙伴交换风险指标:**Cloudflare 从一流的端点保护 (EPP) 和身份提供商 (IDP) 合作伙伴处获取风险评分,并与安全信息和事件管理 (SIEM) 以及扩展检测和响应 (XDR) 平台共享遥测数据,以进行进一步分析,所有这些均通过与我们统一 API 的一次性集成实现。
**大规模实施自动化风险控制:**根据这些动态的第一方和第三方风险评分,Cloudflare 对世界各地的人员和应用程序实施一致的风险控制。
图 1:Unified Risk Posture 图示
如上所述,该套件将我们的 SASE 和 WAAP 安全产品组合的功能融合到我们的全球网络中。客户现在可以利用这些包含在现有产品组合中的内置风险管理功能。
此次发布建立在我们不断努力扩展第一方可见性和控制以及第三方集成的基础上,使组织能够更轻松地因应不断变化的风险。例如,作为 2024 年 Security Week 的一部分,我们宣布基于行为的用户风险评分正式上市,以及推出 AI 助手测试版,以帮助您分析应用程序面临的风险。在 2023 年秋季的最新集成中,我们宣布我们的云电子邮件安全客户可以在 CrowdStrike Falcon® Next-Gen SIEM 仪表板中提取并显示我们的威胁检测结果。
为了进一步管理您的风险态势,您将能够利用新的 Cloudflare 功能和集成,包括:
可与 CrowdStrike Falcon Next-Gen SIEM 共享 Cloudflare Zero Trust 和电子邮件日志数据的新集成_(现已推出)_
可与 Okta 共享 Cloudflare 用户风险评分以实施访问策略的新集成_(将于 2024 年第二季度末推出)_
新的第一方 UEBA 模型,包括基于设备态势检查的用户风险评分_(将于 2024 年第二季度末推出)_
将风险管理的评估、交换和执行阶段统一到 Cloudflare 平台上,有助于安全领导者轻松降低风险。作为保护面向公众和内部基础设施的网络安全供应商,Cloudflare 具有独特的优势,可以保护您不断扩大的攻击面。将动态第一方风险评分、灵活集成和自动执行结合在一起,有助于推动两个主要业务成果:
减少 SecOps 的工作量:通过减少手动策略构建和提高响应事件的敏捷性。这意味着构建策略的点击次数更少,工作流程更加自动化,并且事件的平均检测时间 (MTTD) 和平均响应时间 (MTTR) 更低。
降低网络风险:通过对人员和应用程序的可见性和控制。这意味着更少的严重事件以及自动阻止更多威胁。
像世界排名第一的招聘网站 Indeed 这样的客户已经通过与 Cloudflare 合作看到了这些影响:
「Cloudflare 幫助我們更輕鬆、更有效地緩解風險,並簡化了我們在整個組織中實現 Zero Trust 的方式。」——Indeed 資深副總裁、資訊長兼安全長 Anthony Moisant
问题:太多的攻击面带来太多的风险
管理风险态势本质上是一项广泛的挑战,涵盖跨各种攻击媒介的内部危险和外部威胁。以下只是 CISO 及其安全团队在人员、应用程序和数据等三个日常维度中跟踪的风险因素示例:
**人员风险:**网络钓鱼、社会工程学、恶意软件、勒索软件、远程访问、内部威胁、物理访问泄露、第三方/供应链、移动设备/BYOD
**应用程序风险:**拒绝服务、zero-day 漏洞、SQL 注入、Cross-site scripting、远程代码执行、凭据填充、帐户接管、影子 IT 使用、API 滥用
**数据风险:**数据丢失/暴露、数据盗窃/泄露、侵犯隐私、违反合规性、数据篡改
单点解决方案在设计之初就是为了解决其中一些具体风险和攻击媒介。但随着时间的推移,组织积累了许多服务,但这些服务之间却很难相互交流和建立更全面的风险视图。每个工具生成的精细遥测数据导致安全人员信息过载,而即便不是如此,他们也通常已经不堪重负。安全信息和事件管理 (SIEM) 以及扩展检测和响应 (XDR) 平台在跨环境聚合风险数据并根据分析减轻威胁方面发挥着关键作用,但这些工具仍然需要时间、资源和专业知识才能有效运行。随着攻击面迅速扩大、企业采用混合式工作、构建新的数字应用程序以及最近尝试人工智能,所有这些挑战都变得更加严重。
Cloudflare 如何帮助管理风险态势
为了帮助恢复对这种复杂性的控制,Cloudflare for Unified Risk Posture 提供了一个平台来评估风险、交换指标并在整个 IT 环境和全球范围内实施动态控制,同时作为贵司已经依赖的安全工具的补充。
尽管 Cloudflare 可以缓解的具体风险范围很广(包括上面所列示例中的所有风险),但以下三个用例代表了我们的全部功能,您今天就可以开始利用它们。
用例 1:使用 Cloudflare 和 CrowdStrike 实施 Zero Trust
第一个用例强调了 Cloudflare 适合您当前安全生态系统的灵活性,让您可以更轻松地采用 Zero Trust 最佳实践。
Cloudflare 与一流的 EPP 和 IDP 合作伙伴集成,并获取来自一流 EPP 和 IDP 合作伙伴的安全信号,以对前往任何目的地的任何访问请求强制执行身份和设备态势检查。您甚至可以同时加入多个提供商,以在不同的环境中实施不同的策略。例如,通过与 CrowdStrike Falcon® 集成,共同客户可以根据 Falcon Zero Trust 评估 (ZTA) 分数实施策略,该分数可以在组织中的所有端点上提供持续的实时安全态势评估,无论位置、网络或用户如何。此外,客户还可以将 Cloudflare 生成的活动日志(包括所有访问请求)推送到他们喜欢的云存储或分析提供商。
今天,我们宣布与 CrowdStrike 扩大合作伙伴关系,进行新的集成,使组织能够与 Falcon Next-Gen SIEM 共享日志,以进行更深入的分析和进一步调查。Falcon Next-Gen SIEM 统一了第一方和第三方数据、原生威胁情报、AI 和工作流程自动化,以推动 SOC 转型并实施更好的威胁防护。Cloudflare Zero Trust 和电子邮件日志与 Falcon Next-Gen SIEM 的集成使共同客户能够识别和调查 Zero Trust 网络和电子邮件风险,并利用其他日志源分析数据以发现隐藏的威胁。
「與傳統 SIEM 和定位為 SIEM 替代品的產品相比,CrowdStrike Falcon Next-Gen SIEM 的搜尋效能提高了 150 倍。我們的變革性遙測技術與 Cloudflare 強大的 Zero Trust 功能相結合,提供了史無前例的合作夥伴關係。我們攜手並進,正在融合風險管理難題中最關鍵的兩個部分,各種規模的組織都必須解決這些難題,以應對當今日益增長的威脅。」——CrowdStrike 首席商務官 Daniel Bernard
以下是 Cloudflare 和 CrowdStrike 如何共同实施 Zero Trust 策略并减轻新兴风险的示例工作流程。Cloudflare 和 CrowdStrike 通过交换活动和风险数据以及执行基于风险的政策和补救步骤来相互补充。
图 2:使用 Cloudflare 和 CrowdStrike 实施 Zero Trust
第 1 阶段:自动化调查
第 2 阶段:Zero Trust 实施
第 3 阶段:补救
Cloudflare 和 CrowdStrike 帮助组织检测用户是否遭到入侵。
在此示例中,Cloudflare 最近阻止了对有风险网站和网络钓鱼电子邮件的 Web 浏览,作为第一道防线。然后,这些日志会发送到 CrowdStrike Falcon Next-Gen SIEM,它会向您组织的分析师发出有关可疑活动的警报。
同时,CrowdStrike Falcon Insight XDR 会自动扫描用户的设备并检测其是否被感染。结果是,反映设备运行状况的 Falcon ZTA 分数会降低。
该组织已设置通过 Cloudflare 的 Zero Trust 网络访问 (ZTNA) 进行设备态势检查,仅当 Falcon ZTA 风险评分高于他们定义的特定阈值时才允许访问。
我们的 ZTNA 拒绝该用户下一个访问应用程序的请求,因为 Falcon ZTA 分数低于该阈值。
由于设备态势检查失败,Cloudflare 会提高该用户的风险评分,从而将其置于具有更严格控制的组中。
与此同时,CrowdStrike 的 Next-Gen SIEM 继续分析该特定用户的活动以及整个组织环境中更广泛的风险。使用机器学习模型,CrowdStrike 可以揭示主要风险,并向您的分析师提出针对每个风险的解决方案。
然后,分析师可以审查并选择补救策略(例如,隔离用户的设备),以进一步降低整个组织的风险。
用例 2:保护应用程序、API 和网站
第二个用例的重点是保护应用程序、API 和网站免受威胁行为者和机器人的侵害。许多客户最初就是为了此用例而采用 Cloudflare,但可能并不知道支持其保护的风险评估算法。
图 3:使用 ML 支持的威胁情报保护应用程序、API 和网站
Cloudflare 的应用程序服务使用机器学习 (ML) 支持的风险模型来检测和减轻恶意有效负载和机器人,包括:
我们的 WAF Attack Score,对请求是否包含 zero-day 漏洞或常见 OWASP Top 10 风险进行评分,如 SQL 注入、cross-site scripting 或远程代码执行恶意负载
****我们的机器人分数,对请求来自机器人的可能性进行评分
我们的恶意脚本分类器**,**它会检查浏览器脚本对网站访问者的危险
这些风险模型主要根据来自 Cloudflare 全球网络的遥测数据进行训练,该网络被近 20% 的网站用作反向代理,每天处理约 3 万亿次 DNS 查询。这种独特的实时可见性为威胁情报提供了动力,甚至使我们能够先于其他人检测和缓解 zero-day 漏洞。
Cloudflare 还使用 ML 来发现新的 API 端点和架构,而无需任何客户先行输入任何内容。这有助于组织发现未经身份验证的 API,并在应用保护之前映射其不断增长的攻击面。
与其他供应商不同,Cloudflare 的网络架构使面向公众和内部基础设施的风险评估模型和安全控制能够在我们的所有服务之间共享。这意味着组织可以在自托管 Jira 和 Confluence 服务器等内部应用程序前方应用针对应用程序漏洞利用、DDoS 和机器人的保护,从而保护它们免受新兴威胁甚至 zero-day 威胁。
组织可以在 Cloudflare 安全中心中检查影响其应用程序、API 和网站风险态势的潜在错误配置、数据泄露风险和漏洞。我们正在集成安全产品组合中的警报和见解,试图获取这种风险态势管理的集中视图。事实上,我们最近宣布的更新重点突出了您的组织部署 Cloudflare 服务的方式中存在的差距。
最后,我们还使组织能够更轻松地直接调查安全事件,并且最近宣布推出 Log Explorer 的测试版。在此测试版中,安全团队可以通过内置搜索、分析仪表板和过滤器在一个位置查看所有 HTTP 流量。与导出到第三方工具相比,这些功能可以帮助客户监控 Cloudflare 平台内的更多风险因素。
用例 3:使用 UEBA 保护敏感数据
第三个用例总结了许多客户计划利用我们的用户风险/UEBA 评分来防止敏感数据泄露和不当处理的一种常见方法:
图 4:使用 ML 支持的威胁情报保护应用程序、API 和网站
**第 1 阶段:**在此示例中,安全团队已配置数据丢失防护 (DLP) 策略来检测和阻止包含敏感数据的流量。这些策略可防止一个用户多次重复尝试将源代码上传到公共 GitHub 存储库。
第 2 阶段:由于该用户现在在短时间内违反了大量 DLP 策略,因此 Cloudflare 将该可疑用户评分为高风险,无论这些上传是具有恶意还是良性意图。安全团队现在可以进一步调查该特定用户,包括查看他最近的所有日志活动。
第 3 阶段:对于特定的高风险用户或高风险用户组,管理员可以设置 ZTNA 甚至浏览器隔离规则,以阻止或隔离对包含其他敏感数据的应用程序的访问。
总而言之,此工作流程强调了 Cloudflare 的风险态势控制如何在从评估到执行的过程中因应可疑行为。
如何开始使用统一风险态势管理
上述用例反映了我们的客户如何将风险管理与 Cloudflare 相统一。通过这些客户对话,我们发现了一些主题,说明了为什么他们对我们充满信心,相信我们能够帮助其管理不断扩大的攻击面所带来的风险:
我们统一平台的简单性:我们将 SASE 和 WAAP 风险评分以及人员和应用程序的控制结合在一起。此外,通过适用于所有 Cloudflare 服务的单一 API,组织可以使用 Terraform 等基础设施即代码工具轻松自动化和自定义工作流程。
**我们集成的灵活性:**我们与您已经使用的 EPP、IDP、XDR 和 SIEM 提供商交换风险信号,以便您可以利用您的工具和数据做更多事情。此外,通过适用于我们所有服务的一次性集成,您可以灵活地跨 IT 环境扩展控制。
我们的全球网络规模:客户可以在我们覆盖 320+ 个地点和 13K+ 互连的网络中的每个地点运行每项安全服务。通过这种方式,一次通过检查和风险策略实施始终是快速、一致和有弹性的,且在靠近您的用户和应用程序的地方进行。
如果您准备好了解 Cloudflare 如何帮助您管理风险,请立即请求咨询。或者,如果您正在参加 RSA Conference 2024,可前往参加我们的任何现场活动。
要继续详细了解 Cloudflare 如何帮助您评估风险、交换风险指标和实施风险控制,请在我们的网站上探索更多资源。