統(tǒng)一風險態(tài)勢管理： Cloudflare for Unified Risk Posture

管理風險態(tài)勢（您的企業(yè)如何評估風險、確定風險優(yōu)先級和減輕風險）從來都不是一件容易的事。但隨著攻擊面繼續(xù)迅速擴大，這項工作變得越來越復雜和低效。（一項全球調查發(fā)現(xiàn)，SOC團隊成員平均將工作日三分之一的時間花在處理不會構成威脅的事件上）。

但是，如何能夠以更少的工作和更少的干擾來降低風險呢？

本文探討了Cloudflare如何幫助客戶實現(xiàn)這一目標-這要歸功于一個新套件，該套件融合了我們的安全訪問服務邊緣（SASE）以及Web應用程序和API（WAAP）安全產(chǎn)品組合的功能。我們將圍繞下主題進行說明：

-為什么這種方法有助于保護更多的攻擊面，同時減少SecOps工作量

-三個主要使用案例——包括通過我們擴大的CrowdStrike合作伙伴關系實施Zero Trust

-我們正在基于這些功能探索的其他新項目

Cloudflare統(tǒng)一風險態(tài)勢管理

Cloudflare for Unified Risk Posture（Cloudflare統(tǒng)一風險態(tài)勢管理）這是一套新的網(wǎng)絡安全風險管理功能，可以幫助企業(yè)在不斷擴大的攻擊面中自動、動態(tài)地實施風險態(tài)勢管理。如今，一個統(tǒng)一的平臺使企業(yè)及組織能夠：

-評估人員和應用程序之間的風險：Cloudflare通過用戶實體和行為分析（UEBA）模型評估人員帶來的風險，并通過惡意有效負載、zero-day威脅和機器人檢測模型評估應用程序、API和網(wǎng)站的風險。

-與一流的合作伙伴交換風險指標：Cloudflare從一流的端點保護（EPP）和身份提供商（IDP）合作伙伴處獲取風險評分，并與安全信息和事件管理（SIEM）以及擴展檢測和響應（XDR）平臺共享遙測數(shù)據(jù)，以進行進一步分析，所有這些均通過與我們統(tǒng)一API的一次性集成實現(xiàn)。

-大規(guī)模實施自動化風險控制：根據(jù)這些動態(tài)的第一方和第三方風險評分，Cloudflare對世界各地的人員和應用程序實施一致的風險控制。

Unified Risk Posture圖示

如上所述，該套件將我們的SASE和WAAP安全產(chǎn)品組合的功能融合到我們的全球網(wǎng)絡中?？蛻衄F(xiàn)在可以利用這些包含在現(xiàn)有產(chǎn)品組合中的內置風險管理功能。

此次發(fā)布建立在我們不斷努力擴展第一方可見性和控制以及第三方集成的基礎上，使企業(yè)及組織能夠更輕松地因應不斷變化的風險。例如，作為2024年Security Week的一部分，我們宣布基于行為的用戶風險評分正式上市，以及推出AI助手測試版，以幫助您分析應用程序面臨的風險。在2023年秋季的最新集成中，我們宣布我們的云電子郵件安全客戶可以在CrowdStrike Falcon?Next-Gen SIEM儀表板中提取并顯示我們的威脅檢測結果。

為了進一步管理您的風險態(tài)勢，您將能夠利用新的Cloudflare功能和集成，包括：

-可與CrowdStrike Falcon Next-Gen SIEM共享Cloudflare Zero Trust和電子郵件日志數(shù)據(jù)的新集成（現(xiàn)已推出）

-可與Okta共享Cloudflare用戶風險評分以實施訪問策略的新集成（2024年第二季度末推出）

-新的第一方UEBA模型，包括基于設備態(tài)勢檢查的用戶風險評分（2024年第二季度末推出）

將風險管理的評估、交換和執(zhí)行各階段集成統(tǒng)一到Cloudflare平臺上，有助于安全領導者輕松管理并及時、有效降低風險。作為保護面向公眾和內部基礎設施的網(wǎng)絡安全供應商，Cloudflare具有獨特的優(yōu)勢，可以保護您不斷擴大的攻擊面。將動態(tài)第一方風險評分、靈活集成和自動執(zhí)行結合在一起，有助于推動兩個主要業(yè)務成果：

1.減少SecOps的工作量：通過減少手動策略構建和提高響應事件的敏捷性。這意味著構建策略的點擊次數(shù)更少，工作流程更加自動化，并且事件的平均檢測時間（MTTD）和平均響應時間（MTTR）更低。

2.降低網(wǎng)絡風險：通過對人員和應用程序的可見性和控制。這意味著更少的嚴重事件以及自動阻止更多威脅。

像世界排名第一的招聘網(wǎng)站Indeed這樣的客戶已經(jīng)通過與Cloudflare合作看到了顯著成效：

“Cloudflare幫助我們更輕鬆、更有效地緩解風險，並簡化了我們在整個組織中實現(xiàn)Zero Trust的方式。”

——Indeed資深副總裁、資訊長兼安全長

Anthony Moisant

難題：太多的攻擊面帶來太多的風險

管理風險態(tài)勢本質上是一項廣泛的挑戰(zhàn)，涵蓋跨各種攻擊媒介的內部危險和外部威脅。以下只是CISO及其安全團隊在人員、應用程序和數(shù)據(jù)等三個日常維度中跟蹤的風險因素示例：

-人員風險：網(wǎng)絡釣魚、社會工程學、惡意軟件、勒索軟件、遠程訪問、內部威脅、物理訪問泄露、第三方/供應鏈、移動設備/BYOD

-應用程序風險：拒絕服務、zero-day漏洞、SQL注入、Cross-site scripting、遠程代碼執(zhí)行、憑據(jù)填充、帳戶接管、影子IT使用、API濫用

-數(shù)據(jù)風險：數(shù)據(jù)丟失/暴露、數(shù)據(jù)盜竊/泄露、侵犯隱私、違反合規(guī)性、數(shù)據(jù)篡改

單點解決方案在設計之初就是為了解決其中一些具體風險和攻擊媒介。但隨著時間的推移，企業(yè)及組織積累了許多服務，但這些服務之間卻很難相互交流和建立更全面的風險視圖。每個工具生成的精細遙測數(shù)據(jù)導致安全人員信息過載，而即便不是如此，他們通常也已經(jīng)不堪重負。安全信息和事件管理（SIEM）以及擴展檢測和響應（XDR）平臺在跨環(huán)境聚合風險數(shù)據(jù)并根據(jù)分析減輕威脅方面發(fā)揮著關鍵作用，但這些工具仍然需要時間、資源和專業(yè)知識才能有效運行。隨著攻擊面迅速擴大、企業(yè)采用混合式工作模式、構建新的數(shù)字應用程序以及陸續(xù)開始嘗試納入AI，所有這些挑戰(zhàn)都變得更加嚴峻。

Cloudflare如何幫助管理風險態(tài)勢

為了幫助恢復對這種復雜性的控制，Cloudflare for Unified Risk Posture提供了一個統(tǒng)一平臺來評估風險、交換指標并在整個IT環(huán)境和全球范圍內實施動態(tài)控制，同時作為貴司已經(jīng)依賴的安全工具的補充。

盡管Cloudflare可以緩解的具體風險范圍很廣（包括上面所列示例中的所有風險），但以下三個用例代表了我們的全部功能，您今天就可以開始充分加以利用：

用例1：使用Cloudflare和CrowdStrike實施Zero Trust

第一個用例強調了Cloudflare適合您當前安全生態(tài)系統(tǒng)的靈活性，讓您可以更輕松地采用Zero Trust最佳實踐。

Cloudflare與一流的EPP和IDP合作伙伴集成，并獲取來自一流EPP和IDP合作伙伴的安全信號，以對前往任何目的地的任何訪問請求強制執(zhí)行身份和設備態(tài)勢檢查。您甚至可以同時加入多個提供商，以在不同的環(huán)境中實施不同的策略。例如，通過與CrowdStrike Falcon?集成，共同客戶可以根據(jù)Falcon Zero Trust評估（ZTA）分數(shù)實施策略，該分數(shù)可以在組織中的所有端點上提供持續(xù)的實時安全態(tài)勢評估，無論位置、網(wǎng)絡或用戶如何。此外，客戶還可以將Cloudflare生成的活動日志（包括所有訪問請求）推送到他們喜歡的云存儲或分析提供商。

我們已正式宣布與CrowdStrike擴大合作伙伴關系，進行新的集成，使企業(yè)及組織能夠與Falcon Next-Gen SIEM共享日志，以進行更深入的分析和進一步調查。Falcon Next-Gen SIEM統(tǒng)一了第一方和第三方數(shù)據(jù)、原生威脅情報、AI和工作流程自動化，以推動SOC轉型并實施更好的威脅防護。Cloudflare Zero Trust和電子郵件日志與Falcon Next-Gen SIEM的集成使共同客戶能夠識別和調查Zero Trust網(wǎng)絡和電子郵件風險，并利用其他日志源分析數(shù)據(jù)以發(fā)現(xiàn)隱藏的威脅。

“與傳統(tǒng)SIEM和定位為SIEM替代品的產(chǎn)品相比，CrowdStrike Falcon Next-Gen SIEM的搜尋效能提高了150倍。我們的變革性遙測技術與Cloudflare強大的Zero Trust功能相結合，提供了史無前例的合作夥伴關係。我們攜手並進，正在融合風險管理難題中最關鍵的兩個部分，各種規(guī)模的組織都必須解決這些難題，以應對當今日益增長的威脅?！?/p>

——CrowdStrike首席商務官Daniel Bernard

以下是有關Cloudflare和CrowdStrike如何共同實施Zero Trust策略并減輕新興風險的示例工作流程。Cloudflare和CrowdStrike通過交換活動和風險數(shù)據(jù)以及執(zhí)行基于風險的政策和補救步驟來相互補充。

使用Cloudflare和CrowdStrike實施Zero Trust

第1階段：自動化調查

Cloudflare和CrowdStrike幫助組織檢測用戶是否遭到入侵。

在此示例中，Cloudflare最近阻止了對有風險網(wǎng)站和網(wǎng)絡釣魚電子郵件的Web瀏覽，作為第一道防線。然后，這些日志會發(fā)送到CrowdStrike Falcon Next-Gen SIEM，它會向您組織的分析師發(fā)出有關可疑活動的警報。

同時，CrowdStrike Falcon Insight XDR會自動掃描用戶的設備并檢測其是否被感染。結果是，反映設備運行狀況的Falcon ZTA分數(shù)會降低。

第2階段：Zero Trust實施

該組織已設置通過Cloudflare的Zero Trust網(wǎng)絡訪問（ZTNA）進行設備態(tài)勢檢查，僅當Falcon ZTA風險評分高于他們定義的特定閾值時才允許訪問。

我們的ZTNA拒絕該用戶下一個訪問應用程序的請求，因為Falcon ZTA分數(shù)低于該閾值。

由于設備態(tài)勢檢查失敗，Cloudflare會提高該用戶的風險評分，從而將其置于具有更嚴格控制的組中。

第3階段：補救

與此同時，CrowdStrike的Next-Gen SIEM繼續(xù)分析該特定用戶的活動以及整個組織環(huán)境中更廣泛的風險。使用機器學習模型，CrowdStrike可以揭示主要風險，并向您的分析師提出針對每個風險的解決方案。

然后，分析師可以審查并選擇補救策略（例如，隔離用戶的設備），以進一步降低整個組織的風險。

用例2：保護應用程序、API和網(wǎng)站

第二個用例的重點是保護應用程序、API和網(wǎng)站免受威脅行為者和機器人的侵害。許多客戶最初就是為了此用例而采用Cloudflare，但可能并不知道背后支持其保護的風險評估算法。

使用ML支持的威脅情報保護應用程序、API和網(wǎng)站

Cloudflare的應用程序服務使用機器學習（ML）支持的風險模型來檢測和減輕惡意有效負載和機器人，包括：

-我們的WAF Attack Score，對請求是否包含zero-day漏洞或常見OWASP Top 10風險進行評分，如SQL注入、cross-site scripting或遠程代碼執(zhí)行惡意負載

-我們的機器人分數(shù)，對請求來自機器人的可能性進行評分

-我們的惡意腳本分類器，它會檢查瀏覽器腳本對網(wǎng)站訪問者的危險

這些風險模型主要根據(jù)來自Cloudflare全球網(wǎng)絡的遙測數(shù)據(jù)進行訓練-Cloudflare全球網(wǎng)絡被近20%的網(wǎng)站用作反向代理，每天處理約3萬億次DNS查詢。這種獨特的實時可見性為威脅情報提供了動力，甚至使我們能夠先于其他人檢測和緩解zero-day漏洞。

Cloudflare還使用ML來發(fā)現(xiàn)新的API端點和架構，而無需任何客戶先行輸入任何內容。這有助于企業(yè)及組織發(fā)現(xiàn)未經(jīng)身份驗證的API，并在應用保護之前映射其不斷增長的攻擊面。

與其他供應商不同，Cloudflare的網(wǎng)絡架構使面向公眾和內部基礎設施的風險評估模型和安全控制能夠在我們的所有服務之間共享。這意味著企業(yè)及組織可以在自托管Jira和Confluence服務器等內部應用程序前方應用針對應用程序漏洞利用、DDoS和機器人的保護，從而保護它們免受新興威脅甚至zero-day威脅。

企業(yè)及組織可以在Cloudflare安全中心中檢查影響其應用程序、API和網(wǎng)站風險態(tài)勢的潛在錯誤配置、數(shù)據(jù)泄露風險和漏洞。我們正在集成安全產(chǎn)品組合中的警報和見解，試圖獲取這種風險態(tài)勢管理的集中視圖。事實上，我們今年早些時候宣布的更新重點突出了在企業(yè)及組織部署Cloudflare服務的方式中存在的差距。

最后，我們還使企業(yè)及組織能夠更輕松地直接調查安全事件，并且也正式宣布推出了Log Explorer的測試版。在此測試版中，安全團隊可以通過內置搜索、分析儀表板和過濾器在一個位置查看所有HTTP流量。與導出到第三方工具相比，這些功能可以幫助客戶監(jiān)控Cloudflare平臺內的更多風險因素。

用例3：使用UEBA保護敏感數(shù)據(jù)

第三個用例總結了許多客戶計劃利用我們的用戶風險/UEBA評分來防止敏感數(shù)據(jù)泄露和不當處理的一種常見方法：

使用ML支持的威脅情報保護應用程序、API和網(wǎng)站

-第1階段：在此示例中，安全團隊已配置數(shù)據(jù)丟失防護（DLP）策略來檢測和阻止包含敏感數(shù)據(jù)的流量。這些策略可防止一個用戶多次重復嘗試將源代碼上傳到公共GitHub存儲庫。

-第2階段：由于該用戶現(xiàn)在在短時間內違反了大量DLP策略，因此Cloudflare將該可疑用戶評分為高風險，無論這些上傳是具有惡意還是良性意圖。安全團隊現(xiàn)在可以進一步調查該特定用戶，包括查看他最近的所有日志活動。

-第3階段：對于特定的高風險用戶或高風險用戶組，管理員可以設置ZTNA甚至瀏覽器隔離規(guī)則，以阻止或隔離對包含其他敏感數(shù)據(jù)的應用程序的訪問。

總而言之，此工作流程強調了Cloudflare的風險態(tài)勢管理如何在從評估到執(zhí)行的過程中及時、有效地因應可疑行為。

如何開始使用Cloudflare統(tǒng)一風險態(tài)勢管理

上述用例反映了我們的客戶如何將風險管理與Cloudflare相統(tǒng)一。以上列舉的客戶用例，進一步說明了為什么他們對我們充滿信心、相信我們能夠幫助其有效管理不斷擴大的攻擊面所帶來的風險：

-我們統(tǒng)一平臺的簡單性：我們將SASE和WAAP風險評分以及人員和應用程序的控制結合在一起。此外，通過適用于所有Cloudflare服務的單一API，企業(yè)及組織可以使用Terraform等基礎設施即代碼工具輕松自動化和自定義工作流程。

-我們集成的靈活性：我們與您已經(jīng)使用的EPP、IDP、XDR和SIEM提供商交換風險信號，以便您可以利用您的工具和數(shù)據(jù)做更多事情。此外，通過適用于我們所有服務的一次性集成，您可以靈活地跨IT環(huán)境擴展控制。

-我們的全球網(wǎng)絡規(guī)模：客戶可以在我們覆蓋320+個地點和13K+互連的網(wǎng)絡中的每個地點運行每項安全服務。通過這種方式，一次通過檢查和風險策略實施始終是快速、一致和有彈性的，并且可以在靠近您的用戶和應用程序的地方進行。