全面開(kāi)放丨使用Cloudflare安全中心調(diào)查威脅

Cloudflare攔截大量各種各樣的安全威脅，其中一些更引人注目的攻擊目標(biāo)是我們所保護(hù)的數(shù)千萬(wàn)互聯(lián)網(wǎng)資產(chǎn)中的“長(zhǎng)尾部分”。我們從攻擊中收集的數(shù)據(jù)用于訓(xùn)練我們的機(jī)器學(xué)習(xí)模型，改善我們的網(wǎng)絡(luò)和應(yīng)用程序安全產(chǎn)品的有效性，但這些數(shù)據(jù)一直沒(méi)有提供直接查詢?，F(xiàn)在，我們將做出改變。

所有客戶即將能夠訪問(wèn)我們?nèi)碌耐{調(diào)查門(mén)戶網(wǎng)站：Investigate。這個(gè)門(mén)戶位于2021年12月推出的Cloudflare安全中心中。此外，我們將在我們的分析平臺(tái)上用這些情報(bào)來(lái)注釋威脅，以簡(jiǎn)化安全工作流程并收緊反饋回路。

您可能會(huì)在這里查詢什么類型的數(shù)據(jù)呢？例如，您在日志中看到一個(gè)IP地址，并希望了解哪些主機(jī)名通過(guò)DNS指向它；或者，您看到一波來(lái)自不熟悉的自治系統(tǒng)（AS）的攻擊。您也有可能希望調(diào)查某個(gè)域名，以了解其從威脅角度來(lái)看的分類。只要在全能的搜索框中輸入這些項(xiàng)目，我們就會(huì)將所知的一切告訴您。

現(xiàn)在我們將開(kāi)放對(duì)IP和主機(jī)名的查詢，其后將開(kāi)放AS詳情，讓您深入了解與您的Cloudflare帳戶通信的網(wǎng)絡(luò)。下月全面開(kāi)放時(shí)，我們將增加數(shù)據(jù)類型和屬性。通過(guò)與合作伙伴的集成，您將能使用現(xiàn)有的許可密鑰通過(guò)單一接口查看所有的威脅數(shù)據(jù)。我們還計(jì)劃顯示您的基礎(chǔ)設(shè)施和企業(yè)員工如何與您查詢的任何對(duì)象進(jìn)行互動(dòng)，例如，您可以看到某個(gè)IP地址觸發(fā)了多少次WAF或API Shield規(guī)則，或者您的員工嘗試多少次解析一個(gè)已知提供惡意軟件的域名。

儀表板中的注釋：上下文中可據(jù)以行動(dòng)的情報(bào)

專門(mén)查詢威脅數(shù)據(jù)非常有用，但能在日志和分析中直接標(biāo)注有關(guān)數(shù)據(jù)，就是錦上添花了?，F(xiàn)在，我們將開(kāi)始在儀表板中顯示Investigate中可用且與您的工作流相關(guān)的數(shù)據(jù)。我們將從您位于Cloudflare后的網(wǎng)站的web應(yīng)用程序防火墻分析開(kāi)始。

例如您要調(diào)查一個(gè)安全警報(bào)，涉及某個(gè)web應(yīng)用程序防火墻規(guī)則攔截的大量請(qǐng)求。您可能會(huì)看到警報(bào)是一個(gè)IP地址觸發(fā)的，它正在您的網(wǎng)站上探測(cè)常見(jiàn)的軟件漏洞。如果該IP地址是一個(gè)云IP或被標(biāo)記為匿名者，上下文情報(bào)將在分析頁(yè)面直接顯示相關(guān)信息。

這個(gè)上下文有助您看到模式。攻擊是否來(lái)自匿名者或Tor網(wǎng)絡(luò)？攻擊是否來(lái)自云虛擬機(jī)？IP地址只是一個(gè)IP地址。但看到來(lái)自匿名者的憑據(jù)填充攻擊就是一種模式，它能夠引發(fā)主動(dòng)的反應(yīng)：“我的機(jī)器人管理配置是否最新的？”

Cloudflare的網(wǎng)絡(luò)優(yōu)勢(shì)及其如何為我們的數(shù)據(jù)提供信息

Cloudflare運(yùn)行的每個(gè)產(chǎn)品套件規(guī)模都非常驚人。在高峰期，Cloudflare每秒處理4400萬(wàn)個(gè)HTTP請(qǐng)求，來(lái)自100多個(gè)國(guó)家/地區(qū)超過(guò)250個(gè)城市。Cloudflare網(wǎng)絡(luò)每日響應(yīng)1.2萬(wàn)億次DNS查詢，它擁有121 Tbps的網(wǎng)絡(luò)容量來(lái)服務(wù)流量，并緩解對(duì)所有產(chǎn)品的拒絕服務(wù)攻擊。但是，除了如此龐大的規(guī)模外，Cloudflare的架構(gòu)還能夠深入分析原始數(shù)據(jù)，并結(jié)合來(lái)自我們所有產(chǎn)品的情報(bào)，從而描繪出一張安全形勢(shì)的整體圖景。

我們從每個(gè)產(chǎn)品產(chǎn)生的原始數(shù)據(jù)中提煉出信號(hào)，與來(lái)自其他產(chǎn)品和能力的信號(hào)相結(jié)合，從而加強(qiáng)我們的網(wǎng)絡(luò)和威脅數(shù)據(jù)能力。構(gòu)建安全產(chǎn)品以在產(chǎn)品的用戶中產(chǎn)生積極的飛輪效應(yīng)，這是一種常見(jiàn)的范式。如果某個(gè)客戶看到看到一個(gè)新的惡意軟件，端點(diǎn)保護(hù)提供商就能部署一個(gè)更新，以便其他所有客戶都能檢測(cè)和攔截這個(gè)惡意軟件；如果某個(gè)僵尸網(wǎng)絡(luò)攻擊一個(gè)客戶，所提供的信息就能用于發(fā)現(xiàn)這個(gè)僵尸網(wǎng)絡(luò)的特征并保護(hù)其他客戶；如果某個(gè)設(shè)備參與了一次DDoS（分布式拒絕服務(wù)）攻擊，這個(gè)信息可用于使網(wǎng)絡(luò)能更快檢測(cè)和緩解未來(lái)的DDoS攻擊。Cloudflare產(chǎn)品陣容的廣度意味著，對(duì)用戶的飛輪效應(yīng)不僅會(huì)在用戶之間積累，也會(huì)在產(chǎn)品之間積累。

DNS解析和證書(shū)透明度

Cloudflare運(yùn)行1.1.1.1，世界最大的遞歸DNS解析器之一。我們以一種前向隱私的方式來(lái)運(yùn)營(yíng)它，這樣一來(lái)，Cloudflare并不知道誰(shuí)或什么IP地址執(zhí)行某個(gè)查詢，我們也不能將查詢與不同的匿名用戶關(guān)聯(lián)起來(lái)。然而，通過(guò)解析器處理的請(qǐng)求，Cloudflare能看到新注冊(cè)和新發(fā)現(xiàn)的域。此外，Cloudflare擁有市場(chǎng)最先進(jìn)的SSL/TLS加密產(chǎn)品之一，作為其中一部分，也是幫助維護(hù)證書(shū)透明度（Certificate Transparency）日志的成員組織。這是web瀏覽器信任的根證書(shū)機(jī)構(gòu)發(fā)布的每一個(gè)TLS證書(shū)的公共日志。通過(guò)這兩個(gè)產(chǎn)品，Cloudflare擁有無(wú)可比擬的視角，了解互聯(lián)網(wǎng)上有什么域名及何時(shí)上線。我們不僅使用這些信息為我們的Gateway產(chǎn)品填充新注冊(cè)的和新發(fā)現(xiàn)的域名類別，也將這些域名信息提供給機(jī)器學(xué)習(xí)模型，以便在可疑或潛在惡意域名的生命周期早期對(duì)其進(jìn)行標(biāo)記。

電子郵件安全

另一個(gè)例子是，隨著我們收購(gòu)Area 1，Cloudflare將為其產(chǎn)品提供一套新的相互增強(qiáng)的能力。我們從1.1.1.1解析器為某個(gè)域生成的所有信號(hào)將可用于幫助識(shí)別惡意電子郵件，而Area 1在識(shí)別惡意電子郵件方面的多年專業(yè)知識(shí)將能為Cloudflare的Gateway產(chǎn)品和1.1.1.1 DNS解析器系列提供反饋。在過(guò)去，這種數(shù)據(jù)集成是由IT或安全團(tuán)隊(duì)執(zhí)行的。但在今天，數(shù)據(jù)將能在組織攻擊面上的點(diǎn)之間無(wú)縫流動(dòng)，相互增強(qiáng)分析和分類的質(zhì)量。整個(gè)Cloudflare Zero Trust工具包，包括請(qǐng)求日志記錄、阻止和遠(yuǎn)程瀏覽器隔離，將可用來(lái)處理通過(guò)電子郵件傳遞的潛在惡意鏈接，使用現(xiàn)有針對(duì)其他安全風(fēng)險(xiǎn)相同的策略。

過(guò)去幾年，Cloudflare已經(jīng)在我們很多產(chǎn)品中集成了機(jī)器學(xué)習(xí)的使用，但今天我們推出一個(gè)全新的工具，它把驅(qū)動(dòng)我們的網(wǎng)絡(luò)安全的數(shù)據(jù)和信號(hào)提供給我們的客戶。無(wú)論是應(yīng)對(duì)安全事件、威脅搜尋還是主動(dòng)設(shè)定安全策略以保護(hù)組織，作為人類的您現(xiàn)在也能成為Cloudflare網(wǎng)絡(luò)的一部分。鑒于Cloudflare在網(wǎng)絡(luò)中獨(dú)一無(wú)二的位置，您的洞察能反饋到網(wǎng)絡(luò)中，從而不僅通過(guò)使用的所有Cloudflare產(chǎn)品來(lái)保護(hù)您自己的組織，也能參與所有Cloudflare客戶之間的共同洞察和防御。

展望未來(lái)

Cloudflare可涵蓋組織的整個(gè)攻擊面：防御網(wǎng)站、通過(guò)Cloudflare Zero Trust保護(hù)設(shè)備和SaaS應(yīng)用程序，使用Magic Transit保護(hù)您的位置和辦公室，以及您的電子郵件通信。安全中心能確保您獲得了解當(dāng)前網(wǎng)絡(luò)安全風(fēng)險(xiǎn)所需的一切信息，并幫助您使用Cloudflare保護(hù)自己的組織。

“我在新聞中聽(tīng)到的雨刮惡意軟件是什么？我如何保護(hù)公司免受其害？”我們聽(tīng)到您的問(wèn)題了，我們準(zhǔn)備向您提供答案。不僅是原始信息，還有與您及如何使用互聯(lián)網(wǎng)有關(guān)的信息。我們?yōu)榘踩行臏?zhǔn)備了宏大的計(jì)劃。文件掃描門(mén)戶將提供Page Shield看到的JavaScript文件信息，Gateway掃描的可執(zhí)行文件，以及上傳/下載文件的能力。IP地址和域名等失陷指標(biāo)（Indicators of Compromise）將鏈接到已知相關(guān)威脅行為者的信息，就您所面對(duì)的技術(shù)和策略提供更多相關(guān)信息，以及Cloudflare能如何用于防御它們的信息。CVE搜索將讓您找到有關(guān)軟件漏洞的信息，以及和本篇文章一樣通俗易懂的Cloudflare觀點(diǎn)，以幫助您理解行話和技術(shù)語(yǔ)言。