全面開放丨使用Cloudflare安全中心調(diào)查威脅

Cloudflare攔截大量各種各樣的安全威脅，其中一些更引人注目的攻擊目標是我們所保護的數(shù)千萬互聯(lián)網(wǎng)資產(chǎn)中的“長尾部分”。我們從攻擊中收集的數(shù)據(jù)用于訓練我們的機器學習模型，改善我們的網(wǎng)絡和應用程序安全產(chǎn)品的有效性，但這些數(shù)據(jù)一直沒有提供直接查詢?，F(xiàn)在，我們將做出改變。

所有客戶即將能夠訪問我們?nèi)碌耐{調(diào)查門戶網(wǎng)站：Investigate。這個門戶位于2021年12月推出的Cloudflare安全中心中。此外，我們將在我們的分析平臺上用這些情報來注釋威脅，以簡化安全工作流程并收緊反饋回路。

您可能會在這里查詢什么類型的數(shù)據(jù)呢？例如，您在日志中看到一個IP地址，并希望了解哪些主機名通過DNS指向它；或者，您看到一波來自不熟悉的自治系統(tǒng)（AS）的攻擊。您也有可能希望調(diào)查某個域名，以了解其從威脅角度來看的分類。只要在全能的搜索框中輸入這些項目，我們就會將所知的一切告訴您。

現(xiàn)在我們將開放對IP和主機名的查詢，其后將開放AS詳情，讓您深入了解與您的Cloudflare帳戶通信的網(wǎng)絡。下月全面開放時，我們將增加數(shù)據(jù)類型和屬性。通過與合作伙伴的集成，您將能使用現(xiàn)有的許可密鑰通過單一接口查看所有的威脅數(shù)據(jù)。我們還計劃顯示您的基礎(chǔ)設(shè)施和企業(yè)員工如何與您查詢的任何對象進行互動，例如，您可以看到某個IP地址觸發(fā)了多少次WAF或API Shield規(guī)則，或者您的員工嘗試多少次解析一個已知提供惡意軟件的域名。

儀表板中的注釋：上下文中可據(jù)以行動的情報

專門查詢威脅數(shù)據(jù)非常有用，但能在日志和分析中直接標注有關(guān)數(shù)據(jù)，就是錦上添花了。現(xiàn)在，我們將開始在儀表板中顯示Investigate中可用且與您的工作流相關(guān)的數(shù)據(jù)。我們將從您位于Cloudflare后的網(wǎng)站的web應用程序防火墻分析開始。

例如您要調(diào)查一個安全警報，涉及某個web應用程序防火墻規(guī)則攔截的大量請求。您可能會看到警報是一個IP地址觸發(fā)的，它正在您的網(wǎng)站上探測常見的軟件漏洞。如果該IP地址是一個云IP或被標記為匿名者，上下文情報將在分析頁面直接顯示相關(guān)信息。

這個上下文有助您看到模式。攻擊是否來自匿名者或Tor網(wǎng)絡？攻擊是否來自云虛擬機？IP地址只是一個IP地址。但看到來自匿名者的憑據(jù)填充攻擊就是一種模式，它能夠引發(fā)主動的反應：“我的機器人管理配置是否最新的？”

Cloudflare的網(wǎng)絡優(yōu)勢及其如何為我們的數(shù)據(jù)提供信息

Cloudflare運行的每個產(chǎn)品套件規(guī)模都非常驚人。在高峰期，Cloudflare每秒處理4400萬個HTTP請求，來自100多個國家/地區(qū)超過250個城市。Cloudflare網(wǎng)絡每日響應1.2萬億次DNS查詢，它擁有121 Tbps的網(wǎng)絡容量來服務流量，并緩解對所有產(chǎn)品的拒絕服務攻擊。但是，除了如此龐大的規(guī)模外，Cloudflare的架構(gòu)還能夠深入分析原始數(shù)據(jù)，并結(jié)合來自我們所有產(chǎn)品的情報，從而描繪出一張安全形勢的整體圖景。

我們從每個產(chǎn)品產(chǎn)生的原始數(shù)據(jù)中提煉出信號，與來自其他產(chǎn)品和能力的信號相結(jié)合，從而加強我們的網(wǎng)絡和威脅數(shù)據(jù)能力。構(gòu)建安全產(chǎn)品以在產(chǎn)品的用戶中產(chǎn)生積極的飛輪效應，這是一種常見的范式。如果某個客戶看到看到一個新的惡意軟件，端點保護提供商就能部署一個更新，以便其他所有客戶都能檢測和攔截這個惡意軟件；如果某個僵尸網(wǎng)絡攻擊一個客戶，所提供的信息就能用于發(fā)現(xiàn)這個僵尸網(wǎng)絡的特征并保護其他客戶；如果某個設(shè)備參與了一次DDoS（分布式拒絕服務）攻擊，這個信息可用于使網(wǎng)絡能更快檢測和緩解未來的DDoS攻擊。Cloudflare產(chǎn)品陣容的廣度意味著，對用戶的飛輪效應不僅會在用戶之間積累，也會在產(chǎn)品之間積累。

DNS解析和證書透明度

Cloudflare運行1.1.1.1，世界最大的遞歸DNS解析器之一。我們以一種前向隱私的方式來運營它，這樣一來，Cloudflare并不知道誰或什么IP地址執(zhí)行某個查詢，我們也不能將查詢與不同的匿名用戶關(guān)聯(lián)起來。然而，通過解析器處理的請求，Cloudflare能看到新注冊和新發(fā)現(xiàn)的域。此外，Cloudflare擁有市場最先進的SSL/TLS加密產(chǎn)品之一，作為其中一部分，也是幫助維護證書透明度（Certificate Transparency）日志的成員組織。這是web瀏覽器信任的根證書機構(gòu)發(fā)布的每一個TLS證書的公共日志。通過這兩個產(chǎn)品，Cloudflare擁有無可比擬的視角，了解互聯(lián)網(wǎng)上有什么域名及何時上線。我們不僅使用這些信息為我們的Gateway產(chǎn)品填充新注冊的和新發(fā)現(xiàn)的域名類別，也將這些域名信息提供給機器學習模型，以便在可疑或潛在惡意域名的生命周期早期對其進行標記。

電子郵件安全

另一個例子是，隨著我們收購Area 1，Cloudflare將為其產(chǎn)品提供一套新的相互增強的能力。我們從1.1.1.1解析器為某個域生成的所有信號將可用于幫助識別惡意電子郵件，而Area 1在識別惡意電子郵件方面的多年專業(yè)知識將能為Cloudflare的Gateway產(chǎn)品和1.1.1.1 DNS解析器系列提供反饋。在過去，這種數(shù)據(jù)集成是由IT或安全團隊執(zhí)行的。但在今天，數(shù)據(jù)將能在組織攻擊面上的點之間無縫流動，相互增強分析和分類的質(zhì)量。整個Cloudflare Zero Trust工具包，包括請求日志記錄、阻止和遠程瀏覽器隔離，將可用來處理通過電子郵件傳遞的潛在惡意鏈接，使用現(xiàn)有針對其他安全風險相同的策略。

過去幾年，Cloudflare已經(jīng)在我們很多產(chǎn)品中集成了機器學習的使用，但今天我們推出一個全新的工具，它把驅(qū)動我們的網(wǎng)絡安全的數(shù)據(jù)和信號提供給我們的客戶。無論是應對安全事件、威脅搜尋還是主動設(shè)定安全策略以保護組織，作為人類的您現(xiàn)在也能成為Cloudflare網(wǎng)絡的一部分。鑒于Cloudflare在網(wǎng)絡中獨一無二的位置，您的洞察能反饋到網(wǎng)絡中，從而不僅通過使用的所有Cloudflare產(chǎn)品來保護您自己的組織，也能參與所有Cloudflare客戶之間的共同洞察和防御。

展望未來

Cloudflare可涵蓋組織的整個攻擊面：防御網(wǎng)站、通過Cloudflare Zero Trust保護設(shè)備和SaaS應用程序，使用Magic Transit保護您的位置和辦公室，以及您的電子郵件通信。安全中心能確保您獲得了解當前網(wǎng)絡安全風險所需的一切信息，并幫助您使用Cloudflare保護自己的組織。

“我在新聞中聽到的雨刮惡意軟件是什么？我如何保護公司免受其害？”我們聽到您的問題了，我們準備向您提供答案。不僅是原始信息，還有與您及如何使用互聯(lián)網(wǎng)有關(guān)的信息。我們?yōu)榘踩行臏蕚淞撕甏蟮挠媱?。文件掃描門戶將提供Page Shield看到的JavaScript文件信息，Gateway掃描的可執(zhí)行文件，以及上傳/下載文件的能力。IP地址和域名等失陷指標（Indicators of Compromise）將鏈接到已知相關(guān)威脅行為者的信息，就您所面對的技術(shù)和策略提供更多相關(guān)信息，以及Cloudflare能如何用于防御它們的信息。CVE搜索將讓您找到有關(guān)軟件漏洞的信息，以及和本篇文章一樣通俗易懂的Cloudflare觀點，以幫助您理解行話和技術(shù)語言。