管理風險狀態(您的企業如何評估風險、確定風險優先順序和緩解風險)從來都不是一件容易的事。但隨著攻擊面繼續迅速擴大,這項工作變得越來越複雜和低效。(一項全球調查發現,SOC 團隊成員平均將工作日三分之一的時間花在處理不構成威脅的事件上)。
但是,如果您能夠以更少的工作和更少的干擾來緩解風險呢?
本文探討了 Cloudflare 如何協助客戶實現這一目標,這要歸功於一個新套件,該套件融合了我們的安全存取服務邊緣 (SASE) 以及 Web 應用程式和 API (WAAP) 安全產品組合的功能。我們將對以下主題進行說明:
為什麼這種方法有助於保護更多的攻擊面,同時減少 SecOps 工作量
三個主要使用案例——包括透過我們擴大的 CrowdStrike 合作夥伴關係實施 Zero Trust
我們正在基於這些功能探索的其他新專案
Cloudflare for Unified Risk Posture
今天,我們宣佈推出 Cloudflare for Unified Risk Posture,這是一套新的網路安全風險管理功能,可以幫助企業在不斷擴大的攻擊面中自動、動態地實施風險狀態。如今,一個統一的平台使組織能夠:
**評估人員和應用程式之間的風險:**Cloudflare 透過使用者實體和行為分析 (UEBA) 模型評估人員帶來的風險,並透過惡意負載、zero-day 威脅和機器人偵測模型評估應用程式、API 和網站的風險。
**與一流的合作夥伴交換風險指標:**Cloudflare 從一流的端點保護 (EPP) 和身分識別提供者 (IDP) 合作夥伴處獲取風險評分,並與安全資訊和事件管理 (SIEM) 以及擴展偵測和回應 (XDR) 平台共用遙測資料,以進行進一步分析,所有這些均透過與我們統一 API 的一次性整合實現。
**大規模實施自動化風險控制:**根據這些動態的第一方和第三方風險評分,Cloudflare 對世界各地的人員和應用程式實施一致的風險控制。
圖 1:Unified Risk Posture 圖示
如上所述,該套件將我們的 SASE 和 WAAP 安全產品組合的功能融合到我們的全球網路中。客戶現在可以利用這些包含在現有產品組合中的內建風險管理功能。
此次發佈建立在我們不斷努力擴展第一方可見性和控制以及第三方整合的基礎上,使組織能夠更輕鬆地因應不斷變化的風險。例如,作為 2024 年 Security Week 的一部分,我們宣佈基於行為的使用者風險評分正式上市,以及推出 AI 助手測試版,以協助您分析應用程式面臨的風險。在 2023 年秋季的最新整合中,我們宣佈我們的雲端電子郵件安全客戶可以在 CrowdStrike Falcon® Next-Gen SIEM 儀表板中擷取並顯示我們的威脅偵測結果。
為了進一步管理您的風險狀態,您將能夠利用新的 Cloudflare 功能和整合,包括:
可與 CrowdStrike Falcon Next-Gen SIEM 共用 Cloudflare Zero Trust 和電子郵件記錄資料的新整合_(現已推出)_
可與 Okta 共用 Cloudflare 使用者風險評分以實施存取原則的新整合_(將於 2024 年第二季末推出)_
新的第一方 UEBA 模型,包括基於裝置狀態檢查的使用者風險評分_(將於 2024 年第二季末推出)_
將風險管理的評估、交換和執行階段統一到 Cloudflare 平台上,有助於安全領導者輕鬆緩解風險。作為保護面向公眾和內部基礎架構的網路安全廠商,Cloudflare 具有獨特的優勢,可以保護您不斷擴大的攻擊面。將動態第一方風險評分、靈活整合和自動執行結合在一起,有助於推動兩個主要業務成果:
減少 SecOps 的工作量:透過減少手動原則建立和提高回應事件的敏捷性。這意味著建立原則的點擊次數更少,工作流程更加自動化,並且事件的平均偵測時間 (MTTD) 和平均回應時間 (MTTR) 更低。
降低網路風險:透過對人員和應用程式的可見性和控制。這意味著更少的嚴重事件以及自動封鎖更多威脅。
像世界排名第一的招聘網站 Indeed 這樣的客戶已經透過與 Cloudflare 合作看到了這些影響:
「Cloudflare 幫助我們更輕鬆、更有效地緩解風險,並簡化了我們在整個組織中實現 Zero Trust 的方式。」——Indeed 資深副總裁、資訊長兼安全長 Anthony Moisant
問題:太多的攻擊面帶來太多的風險
管理風險狀態本質上是一項廣泛的挑戰,涵蓋跨各種攻擊媒介的內部危險和外部威脅。以下只是 CISO 及其安全團隊在人員、應用程式和資料等三個日常維度中追蹤的風險因素範例:
**人員風險:**網路釣魚、社交工程、惡意程式碼、勒索軟體、遠端存取、內部人員威脅、實際存取洩露、第三方/供應鏈、行動裝置/BYOD
**應用程式風險:**阻斷服務、zero-day 漏洞、SQL 資料隱碼攻擊、Cross-site scripting、遠端程式碼執行、憑證填充、帳戶盜用、影子 IT 使用、API 濫用
**資料風險:**資料丟失/暴露、資料盜竊/洩露、侵犯隱私、違反合規性、資料篡改
單點解決方案在設計之初就是為了解決其中一些具體風險和攻擊媒介。但隨著時間的推移,組織積累了許多服務,但這些服務之間卻很難相互交流和建立更全面的風險檢視。每個工具產生的精細遙測資料導致安全人員資訊超載,而即便不是如此,他們也通常已經不堪重負。安全資訊和事件管理 (SIEM) 以及擴展偵測和回應 (XDR) 平台在跨環境聚合風險資料並根據分析減輕威脅方面發揮著關鍵作用,但這些工具仍然需要時間、資源和專業知識才能有效運作。隨著攻擊面迅速擴大、企業採用混合式工作、構建新的數位應用程式以及最近嘗試人工智慧,所有這些挑戰都變得更加嚴重。
Cloudflare 如何協助管理風險狀態
為了幫助恢復對這種複雜性的控制,Cloudflare for Unified Risk Posture 提供了一個平台來評估風險、交換指標並在整個 IT 環境和全球範圍內實施動態控制,同時作為貴司已經依賴的安全工具的補充。
儘管 Cloudflare 可以緩解的具體風險範圍很廣(包括上面所列範例中的所有風險),但以下三個使用案例代表了我們的全部功能,您今天就可以開始利用它們。
使用案例 1:使用 Cloudflare 和 CrowdStrike 實施 Zero Trust
第一個使用案例強調了 Cloudflare 適合您當前安全生態系統的靈活性,讓您可以更輕鬆地採用 Zero Trust 最佳做法。
Cloudflare 與一流的 EPP 和 IDP 合作夥伴整合,並獲取來自一流 EPP 和 IDP 合作夥伴的安全訊號,以對前往任何目的地的任何存取請求強制執行身分和裝置狀態檢查。您甚至可以同時加入多個提供者,以在不同的環境中實施不同的原則。例如,透過與 CrowdStrike Falcon® 整合,共同客戶可以根據 Falcon Zero Trust 評估 (ZTA) 分數實施原則,該分數可以在組織中的所有端點上提供持續的即時安全狀態評估,無論位置、網路或使用者如何。此外,客戶還可以將 Cloudflare 產生的活動記錄(包括所有存取請求)推送到他們喜歡的雲端儲存或分析提供者。
今天,我們宣佈與 CrowdStrike 擴大合作夥伴關係,進行新的整合,使組織能夠與 Falcon Next-Gen SIEM 共用記錄,以進行更深入的分析和進一步調查。Falcon Next-Gen SIEM 統一了第一方和第三方資料、原生威脅情報、AI 和工作流程自動化,以推動 SOC 轉型並實施更好的威脅防護。Cloudflare Zero Trust 和電子郵件記錄與 Falcon Next-Gen SIEM 的整合使共同客戶能夠識別和調查 Zero Trust 網路和電子郵件風險,並利用其他記錄來源分析資料以發現隱藏的威脅。
「與傳統 SIEM 和定位為 SIEM 替代品的產品相比,CrowdStrike Falcon Next-Gen SIEM 的搜尋效能提高了 150 倍。我們的變革性遙測技術與 Cloudflare 強大的 Zero Trust 功能相結合,提供了史無前例的合作夥伴關係。我們攜手並進,正在融合風險管理難題中最關鍵的兩個部分,各種規模的組織都必須解決這些難題,以應對當今日益增長的威脅。」——CrowdStrike 首席商務官 Daniel Bernard
以下是 Cloudflare 和 CrowdStrike 如何共同實施 Zero Trust 原則並緩解新興風險的範例工作流程。Cloudflare 和 CrowdStrike 透過交換活動和風險資料以及執行基於風險的原則和補救步驟來相互補充。
圖 2:使用 Cloudflare 和 CrowdStrike 實施 Zero Trust
第 1 階段:自動化調查
第 2 階段:Zero Trust 實施
第 3 階段:補救
Cloudflare 和 CrowdStrike 協助組織偵測使用者是否遭到入侵。
在此範例中,Cloudflare 最近封鎖了對有風險網站和網路釣魚電子郵件的 Web 流覽,作為第一道防線。然後,這些記錄會傳送到 CrowdStrike Falcon Next-Gen SIEM,它會向您組織的分析師發出有關可疑活動的警示。
同時,CrowdStrike Falcon Insight XDR 會自動掃描使用者的裝置並偵測其是否被感染。結果是,反映裝置健康情況的 Falcon ZTA 分數會降低。
該組織已設定透過 Cloudflare 的 Zero Trust 網路存取 (ZTNA) 進行裝置狀態檢查,僅當 Falcon ZTA 風險評分高於他們定義的特定閾值時才允許存取。
我們的 ZTNA 拒絕該使用者下一個存取應用程式的請求,因為 Falcon ZTA 分數低於該閾值。
由於裝置狀態檢查失敗,Cloudflare 會提高該使用者的風險評分,從而將其置於具有更嚴格控制的群組中。
與此同時,CrowdStrike 的 Next-Gen SIEM 繼續分析該特定使用者的活動以及整個組織環境中更廣泛的風險。使用機器學習模型,CrowdStrike 可以揭示主要風險,並向您的分析師提出針對每個風險的解決方案。
然後,分析師可以檢閱並選擇補救策略(例如,隔離使用者的裝置),以進一步降低整個組織的風險。
使用案例 2:保護應用程式、API 和網站
第二個使用案例的重點是保護應用程式、API 和網站免受威脅行為者和機器人的侵害。許多客戶最初就是為了此使用案例而採用 Cloudflare,但可能並不知道支援其保護的風險評估演算法。
圖 3:使用 ML 支援的威脅情報保護應用程式、API 和網站
Cloudflare 的應用程式服務使用機器學習 (ML) 支援的風險模型來偵測和緩解惡意負載和機器人,包括:
我們的 ****WAF Attack Score,****對請求是否包含 zero-day 漏洞或常見 OWASP Top 10 風險進行評分,如 SQL 資料隱碼攻擊、Cross-site scripting 或遠端程式碼執行惡意負載
我們的****機器人分數**,******對請求來自機器人的可能性進行評分
我們的惡意指令碼分類器**,**它會檢查瀏覽器指令碼對網站訪客的危險
這些風險模型主要根據來自 Cloudflare 全球網路的遙測資料進行訓練,該網路被近 20% 的網站用作反向代理,每天處理約 3 萬億次 DNS 查詢。這種獨特的即時可見性為威脅情報提供了動力,甚至使我們能夠先於其他人偵測和緩解 zero-day 漏洞。
Cloudflare 還使用 ML 來探索新的 API 端點和結構描述,而無需任何客戶先行輸入任何內容。這有助於組織發現未經驗證的 API,並在套用保護之前對應其不斷增長的攻擊面。
與其他廠商不同,Cloudflare 的網路架構使面向公眾和內部基礎架構的風險評估模型和安全控制能夠在我們的所有服務之間共用。這意味著組織可以在自託管 Jira 和 Confluence 伺服器等內部應用程式前方套用針對應用程式漏洞利用、DDoS 和機器人的保護,從而保護它們免受新興威脅甚至 zero-day 威脅。
組織可以在 Cloudflare 安全中心中檢查影響其應用程式、API 和網站風險狀態的潛在錯誤設定、資料洩露風險和漏洞。我們正在整合安全產品組合中的警示和見解,試圖獲取這種風險狀態管理的集中檢視。事實上,我們最近宣佈的更新重點突出了您的組織部署 Cloudflare 服務的方式中存在的差距。
最後,我們還使組織能夠更輕鬆地直接調查安全事件,並且最近宣佈推出 Log Explorer 的測試版。在此測試版中,安全團隊可以透過內建搜尋、分析儀表板和篩選程式在一個位置檢視所有 HTTP 流量。與匯出到第三方工具相比,這些功能可以協助客戶監控 Cloudflare 平台內的更多風險因素。
使用案例 3:使用 UEBA 保護敏感性資料
第三個使用案例總結了許多客戶計畫利用我們的使用者風險/UEBA 評分來防止敏感性資料洩露和不當處理的一種常見方法:
圖 4:使用 ML 支援的威脅情報保護應用程式、API 和網站
第 1 階段:在此範例中,安全團隊已設定資料丟失預防 (DLP) 原則來偵測和封鎖包含敏感性資料的流量。這些原則可防止一個使用者多次重複嘗試將原始程式碼上傳到公用 GitHub 存儲庫。
第 2 階段:由於該使用者現在在短時間內違反了大量 DLP 原則,因此 Cloudflare 將該可疑使用者評分為高風險,無論這些上傳是具有惡意還是良性意圖。安全團隊現在可以進一步調查該特定使用者,包括查看他最近的所有記錄活動。
第 3 階段:對於特定的高風險使用者或高風險使用者群組,管理員可以設定 ZTNA 甚至瀏覽器隔離規則,以封鎖或隔離對包含其他敏感性資料的應用程式的存取。
總而言之,此工作流程強調了 Cloudflare 的風險狀態控制如何在從評估到執行的過程中因應可疑行為。
如何開始使用統一風險狀態管理
上述使用案例反映了我們的客戶如何將風險管理與 Cloudflare 相統一。透過這些客戶對話,我們發現了一些主題,說明了為什麼他們對我們充滿信心,相信我們能夠幫助其管理不斷擴大的攻擊面所帶來的風險:
我們統一平台的簡單性:我們將 SASE 和 WAAP 風險評分以及人員和應用程式的控制結合在一起。此外,透過適用於所有 Cloudflare 服務的單一 API,組織可以使用 Terraform 等基礎架構即代碼工具輕鬆自動化和自訂工作流程。
我們整合的靈活性:我們與您已經使用的 EPP、IDP、XDR 和 SIEM 提供者交換風險訊號,以便您可以利用您的工具和資料做更多事情。此外,透過適用於我們所有服務的一次性整合,您可以靈活地跨 IT 環境擴展控制。
我們的全球網路規模:客戶可以在我們覆蓋 320+ 個地點和 13K+ 互連的網路中的每個地點執行每項安全服務。透過這種方式,單遍檢查和風險原則實施始終是快速、一致和有彈性的,且在靠近您的使用者和應用程式的地方進行。
如果您準備好瞭解 Cloudflare 如何幫助您管理風險,請立即請求諮詢。或者,如果您正在參加 RSA Conference 2024,可前往參加我們的任何現場活動。
要繼續詳細瞭解 Cloudflare 如何幫助您評估風險、交換風險指標和實施風險控制,請在我們的網站上探索更多資源。