Cloudflare讓互聯(lián)網(wǎng)更安全：免費(fèi)威脅情報(bào)、分析和新型威脅檢測(cè)

所有使用互聯(lián)網(wǎng)的用戶每天都可能會(huì)接觸到Cloudflare的網(wǎng)絡(luò)，要么通過(guò)我們的1.1.1.1解析器訪問(wèn)受Cloudflare保護(hù)的站點(diǎn)，要么通過(guò)使用我們的Cloudflare One產(chǎn)品的網(wǎng)絡(luò)進(jìn)行連接。

因此Cloudflare承擔(dān)著巨大的責(zé)任-就是讓覆蓋全球數(shù)十億用戶的互聯(lián)網(wǎng)更加安全。為此，我們向所有Cloudflare用戶免費(fèi)提供威脅情報(bào)和10多種新的安全功能。無(wú)論是使用Cloudflare來(lái)保護(hù)自己的網(wǎng)站、家庭網(wǎng)絡(luò)還是辦公室，您都會(huì)發(fā)現(xiàn)一些有價(jià)值的功能，只需幾次點(diǎn)擊就能開(kāi)始使用。這些功能主要針對(duì)網(wǎng)絡(luò)安全領(lǐng)域一些日漸增長(zhǎng)的重要問(wèn)題，包括帳戶接管攻擊、供應(yīng)鏈攻擊、針對(duì)API端點(diǎn)的攻擊、網(wǎng)絡(luò)可見(jiàn)性以及網(wǎng)絡(luò)數(shù)據(jù)泄漏。

為每個(gè)人提供更多安全保障

在展開(kāi)介紹各項(xiàng)功能的更多信息之前，我們先為大家做一個(gè)簡(jiǎn)短的摘要。

如果您是網(wǎng)絡(luò)安全愛(ài)好者：可以訪問(wèn)我們?nèi)碌腃loudforce One威脅情報(bào)網(wǎng)站，了解威脅行為者、攻擊活動(dòng)和其他涉及整個(gè)互聯(lián)網(wǎng)的安全問(wèn)題。

如果您是網(wǎng)站所有者：從現(xiàn)在開(kāi)始，所有Free計(jì)劃用戶都可以訪問(wèn)對(duì)應(yīng)區(qū)域的安全分析。此外，我們還通過(guò)GraphQL向所有人提供DNS分析。

獲得可見(jiàn)性后，只需要將好的流量與惡意流量區(qū)分開(kāi)來(lái)。所有用戶都將可以使用始終開(kāi)啟的帳戶接管攻擊檢測(cè)、API模式驗(yàn)證（用于對(duì)其API端點(diǎn)上實(shí)施積極的安全模型），以及Page Shield腳本監(jiān)控器，以獲取您正在加載的第三方資源（可能被用于執(zhí)行基于供應(yīng)鏈的攻擊）的可見(jiàn)性。

如果您使用Cloudflare來(lái)保護(hù)您的人員和網(wǎng)絡(luò)：我們將把一些Cloudflare One產(chǎn)品捆綁到一個(gè)新的免費(fèi)產(chǎn)品中。捆綁包中將包括我們目前免費(fèi)提供的Zero Trust產(chǎn)品，以及一些新產(chǎn)品，例如Magic Network Monitoring（提供網(wǎng)絡(luò)可見(jiàn)性）、數(shù)據(jù)丟失防護(hù)（保護(hù)敏感數(shù)據(jù)）以及Digital Experience Monitoring（衡量網(wǎng)絡(luò)連接和性能）。Cloudflare是目前唯一提供同類產(chǎn)品免費(fèi)版本的廠商。

如果您是新用戶：我們將會(huì)提供新的身份驗(yàn)證選項(xiàng)。今天開(kāi)始，我們將推出使用Google身份驗(yàn)證來(lái)注冊(cè)和登錄Cloudflare的選項(xiàng)，這將使我們的一些用戶更容易登錄，并且減少對(duì)輸入密碼的依賴，從而降低其Cloudflare帳戶被盜用的風(fēng)險(xiǎn)。

現(xiàn)在讓我們來(lái)詳細(xì)介紹一下：

威脅情報(bào)與分析

Cloudforce One

我們的威脅研究和運(yùn)營(yíng)團(tuán)隊(duì)Cloudforce One現(xiàn)已推出一個(gè)可免費(fèi)訪問(wèn)的專用威脅情報(bào)網(wǎng)站。我們將通過(guò)這個(gè)網(wǎng)站發(fā)布關(guān)于最新威脅行為者活動(dòng)和策略的技術(shù)及實(shí)施情況相關(guān)信息，以及關(guān)于新興惡意軟件、漏洞和攻擊的見(jiàn)解。

我們還將發(fā)布兩則新的威脅情報(bào)（后續(xù)還會(huì)發(fā)布更多威脅情報(bào)）。歡迎訪問(wèn)新網(wǎng)站以查看最新研究報(bào)告，該研究報(bào)告會(huì)提及一名持續(xù)針對(duì)南亞和東亞地方組織的活躍威脅行為者，以及雙重經(jīng)紀(jì)貨運(yùn)欺詐的興起。我們會(huì)將更多的研究報(bào)告及相關(guān)數(shù)據(jù)以自定義指標(biāo)推送的形式定期發(fā)送給用戶。大家可以通過(guò)訂閱電子郵件通知以接收后續(xù)更多威脅研究報(bào)告。

Security Analytics

Security Analytics會(huì)為您提供覆蓋所有HTTP流量（而不僅僅是被緩解的請(qǐng)求）的安全視角，讓您能夠?qū)Ｗ⒂谧钪匾氖虑椋罕灰暈閻阂獾赡芪幢痪徑獾牧髁?。這意味著，除了使用Security Events查看我們的應(yīng)用安全產(chǎn)品套件所采取的安全措施外，您還可以使用Security Events來(lái)審查所有流量中的異常行為，然后利用獲得的見(jiàn)解制定基于特定流量模式的精確緩解規(guī)則。從今天開(kāi)始，我們將向所有計(jì)劃級(jí)別的用戶提供這一視角。Free和Pro計(jì)劃用戶現(xiàn)在可以訪問(wèn)Security Analytics的新儀表板，您可以在流量分析圖表中查看流量的高級(jí)別概述，包括分組和過(guò)濾能力，以便您可以輕松關(guān)注異常情況。您還可以查看重要統(tǒng)計(jì)數(shù)據(jù)，并從多個(gè)維度進(jìn)行篩選，包括國(guó)家/地區(qū)、源瀏覽器、源操作系統(tǒng)、HTTP版本、SSL協(xié)議版本、緩存狀態(tài)和安全操作。

DNS分析

現(xiàn)在，Cloudflare的每位用戶都可以訪問(wèn)經(jīng)過(guò)改進(jìn)的新DNS分析儀表板，還可以通過(guò)我們強(qiáng)大的GraphQL API訪問(wèn)新的DNS分析數(shù)據(jù)集?，F(xiàn)在，您可以輕松分析對(duì)您的域進(jìn)行的DNS查詢，這可用于排除問(wèn)題、檢測(cè)模式和趨勢(shì)，或通過(guò)應(yīng)用強(qiáng)大的過(guò)濾器和按來(lái)源分類DNS查詢來(lái)生成使用情況報(bào)告。隨著Foundation DNS推出，我們引入了基于GraphQL的新DNS分析，但這些分析之前僅適用于使用高級(jí)域名服務(wù)器的區(qū)域。然而，由于這些分析提供了深入的洞察，我們認(rèn)為這項(xiàng)功能應(yīng)該向所有人提供。從今天開(kāi)始，基于GraphQL的新DNS分析可以在使用了Cloudflare的權(quán)威DNS服務(wù)的每個(gè)區(qū)域的DNS分析界面中訪問(wèn)。

應(yīng)用威脅檢測(cè)和緩解

帳戶接管檢測(cè)

65%的互聯(lián)網(wǎng)用戶因密碼重復(fù)使用和大規(guī)模數(shù)據(jù)泄露頻率上升而面臨帳戶接管（ATO）風(fēng)險(xiǎn)。幫助構(gòu)建一個(gè)更好的互聯(lián)網(wǎng)意味著讓每個(gè)人都能輕松獲得關(guān)鍵的帳戶保護(hù)。

從今天開(kāi)始，我們將免費(fèi)向所有人——從個(gè)人用戶到大型企業(yè)——提供預(yù)防憑據(jù)填充和其他ATO攻擊的強(qiáng)大帳戶安全服務(wù)，并免費(fèi)提供“泄露憑據(jù)檢查”和ATO檢測(cè)等增強(qiáng)功能。

這些更新包括自動(dòng)檢測(cè)登錄，僅需極少設(shè)置即可獲取的暴力攻擊預(yù)防，以及擁有超過(guò)150億條密碼的綜合泄露憑據(jù)數(shù)據(jù)庫(kù)，其中將包含來(lái)自Have I Been Pwned（HIBP）服務(wù)的泄露密碼以及我們自己的數(shù)據(jù)庫(kù)。客戶可以通過(guò)Cloudflare的WAF功能對(duì)泄露的憑據(jù)請(qǐng)求采取行動(dòng)，例如速率限制規(guī)則和自定義規(guī)則，或者可以在源站采取行動(dòng)，實(shí)施多因素身份驗(yàn)證（MFA）或根據(jù)發(fā)送到源的標(biāo)頭要求重置密碼。

設(shè)置很簡(jiǎn)單：Free計(jì)劃用戶可以獲得自動(dòng)檢測(cè)，而付費(fèi)用戶可以在Cloudflare儀表板中一鍵激活新功能。有關(guān)設(shè)置和配置的更多詳細(xì)信息，請(qǐng)參閱我們的文檔。

API模式驗(yàn)證

API流量占Cloudflare網(wǎng)絡(luò)上動(dòng)態(tài)流量的一半以上。API的流行開(kāi)啟了一種全新的攻擊手段。面對(duì)這些新威脅，Cloudflare API Shield的模式驗(yàn)證是加強(qiáng)API安全的第一步。

這是有史以來(lái)第一次，所有Cloudflare用戶都可以使用模式驗(yàn)證，確保僅有效的API請(qǐng)求才能到達(dá)源服務(wù)器。

此功能可以阻止bug導(dǎo)致的意外信息泄露，預(yù)防開(kāi)發(fā)人員因非標(biāo)準(zhǔn)流程以有害方式暴露端點(diǎn)，并自動(dòng)阻止僵尸API（因?yàn)槟腁PI清單作為您的CI/CD流程的一部分將保持最新?tīng)顟B(tài)）。

我們建議您使用Cloudflare的API或Terraform provider將端點(diǎn)添加到Cloudflare API Shield，并更新模式，作為您的代碼構(gòu)建后CI/CD流程的一部分進(jìn)行。通過(guò)這種方式，API Shield就會(huì)成為一個(gè)現(xiàn)成的API清單工具，而模式驗(yàn)證將處理對(duì)您的API發(fā)出的任何非預(yù)期請(qǐng)求。

雖然API都是為了與第三方集成，但有時(shí)集成是通過(guò)將庫(kù)直接加載到您的應(yīng)用中來(lái)完成的。接下來(lái)，我們將保護(hù)用戶免受惡意第三方腳本從您的網(wǎng)頁(yè)輸入中竊取敏感信息的侵害，從而幫助保護(hù)更多網(wǎng)絡(luò)。

供應(yīng)鏈攻擊防護(hù)

現(xiàn)代Web應(yīng)用通過(guò)使用第三方JavaScript庫(kù)來(lái)改善用戶體驗(yàn)并減少開(kāi)發(fā)人員的時(shí)間。由于擁有對(duì)頁(yè)面上一切內(nèi)容的特權(quán)訪問(wèn)權(quán)限，遭到破壞的第三方JavaScript庫(kù)可以在最終用戶或網(wǎng)站管理員毫不察覺(jué)的情況下，秘密地將敏感信息泄露給攻擊者。為應(yīng)對(duì)這種威脅，我們?cè)谌昵巴瞥隽薖age Shield。我們現(xiàn)在向所有用戶免費(fèi)提供Page Shield的Script Monitor（腳本監(jiān)測(cè)器）。

使用Script Monitor，您將看到頁(yè)面上加載的所有JavaScript資源，而不僅僅是您的開(kāi)發(fā)人員加入的那些資源。這種可見(jiàn)性包括由其他腳本動(dòng)態(tài)加載的腳本。一旦攻擊者攻陷了某個(gè)庫(kù)，添加一個(gè)新的惡意腳本會(huì)變得非常簡(jiǎn)單，無(wú)需更改原始HTML上下文，而是在現(xiàn)有的JavaScript資源中包含新代碼：

當(dāng)有關(guān)pollyfill.io庫(kù)所有權(quán)變更的消息傳出時(shí)，Script Monitor發(fā)揮了至關(guān)重要的作用。Script Monitor的用戶可以立即看到他們網(wǎng)站上加載的腳本，快速輕松地了解他們是否處于風(fēng)險(xiǎn)之中

我們很高興向所有用戶提供Script Monitor，從而盡可能擴(kuò)展這些腳本的可見(jiàn)性。您可以在此處的文檔中了解如何開(kāi)始。Page Shield的現(xiàn)有用戶可以立即過(guò)濾受監(jiān)控的數(shù)據(jù)，了解他們的應(yīng)用是否使用了polyfill.io（或任何其他庫(kù)）。此外，我們構(gòu)建了一個(gè)polyfill.io重寫(xiě)以響應(yīng)遭到入侵的服務(wù)，并已于2024年6月向Free計(jì)劃用戶自動(dòng)啟用。

Turnstile作為Google Firebase擴(kuò)展

我們很高興地宣布推出適用于Google Firebase的Cloudflare Turnstile App Check Provider，提供無(wú)需手動(dòng)設(shè)置的無(wú)縫集成。這個(gè)新的擴(kuò)展允許在Firebase上構(gòu)建移動(dòng)或網(wǎng)絡(luò)應(yīng)用的開(kāi)發(fā)人員使用Cloudflare的CAPTCHA替代方案來(lái)保護(hù)其項(xiàng)目免受機(jī)器人的侵害。通過(guò)利用Turnstile的機(jī)器人檢測(cè)和質(zhì)詢功能，您可以確保只有真實(shí)的人類訪問(wèn)者與您的Firebase后端服務(wù)交互，從而增強(qiáng)安全性和用戶體驗(yàn)。Cloudflare Turnstile是一種注重隱私的CAPTCHA替代方案，可以在不影響用戶體驗(yàn)的情況下區(qū)分人類和機(jī)器人。與用戶經(jīng)常會(huì)放棄的傳統(tǒng)CAPTCHA解決方案不同，Turnstile是隱形運(yùn)行的，并提供各種模式來(lái)確保無(wú)摩擦的用戶交互。

Turnstile的Firebase App Check擴(kuò)展易于集成，使開(kāi)發(fā)人員能夠以最少的配置快速提升應(yīng)用安全性。對(duì)于已經(jīng)在使用Turnstile的免費(fèi)版本用戶，此擴(kuò)展可免費(fèi)無(wú)限制使用。通過(guò)結(jié)合Google Firebase的后端服務(wù)和Cloudflare Turnstile的優(yōu)勢(shì)，開(kāi)發(fā)人員可以為其用戶提供安全和無(wú)縫的體驗(yàn)。

Cloudflare One

Cloudflare One是一個(gè)全面的安全訪問(wèn)服務(wù)邊緣（SASE）平臺(tái)，旨在保護(hù)和連接互聯(lián)網(wǎng)上的人員、應(yīng)用、設(shè)備和網(wǎng)絡(luò)。它將Zero Trust網(wǎng)絡(luò)訪問(wèn)（ZTNA）、安全Web網(wǎng)關(guān)（SWG）等服務(wù)整合到單一解決方案中。Cloudflare One可以幫助每個(gè)人保護(hù)人員和網(wǎng)絡(luò)，管理訪問(wèn)控制，防范網(wǎng)絡(luò)威脅，保護(hù)數(shù)據(jù)，通過(guò)Cloudflare的全球網(wǎng)絡(luò)路由網(wǎng)絡(luò)流量，從而提高網(wǎng)絡(luò)性能。它通過(guò)提供基于云的方法來(lái)取代傳統(tǒng)的安全措施，以保護(hù)和簡(jiǎn)化對(duì)企業(yè)資源的訪問(wèn)。

現(xiàn)在，人人都可以免費(fèi)使用Cloudflare One在近兩年中新增的四款產(chǎn)品：

-云訪問(wèn)安全代理（CASB），用于緩解SaaS應(yīng)用風(fēng)險(xiǎn)。

-數(shù)據(jù)丟失防護(hù)（DLP），用于防止敏感數(shù)據(jù)離開(kāi)您的網(wǎng)絡(luò)和SaaS應(yīng)用。

-Digital Experience Monitoring，了解用戶使用任何網(wǎng)絡(luò)時(shí)的體驗(yàn)。

-Magic Network Monitoring，查看您的網(wǎng)絡(luò)中傳輸?shù)乃辛髁俊?/p>

這是對(duì)Cloudflare One平臺(tái)現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品的補(bǔ)充：

-Access，用于驗(yàn)證用戶身份，只允許他們使用應(yīng)該使用的應(yīng)用。

-Gateway，用于保護(hù)出站前往公共互聯(lián)網(wǎng)和進(jìn)入您的專用網(wǎng)絡(luò)的網(wǎng)絡(luò)流量。

-Cloudflare Tunnel，我們的應(yīng)用連接器，其中包括cloudflared和WARP Connector，用于將不同的應(yīng)用、服務(wù)器和專用網(wǎng)絡(luò)連接到Cloudflare網(wǎng)絡(luò)。

-Cloudflare WARP，我們的設(shè)備代理，用于安全地從筆記本電腦或移動(dòng)設(shè)備向互聯(lián)網(wǎng)發(fā)送流量。

任何擁有Cloudflare帳戶的用戶都將自動(dòng)獲得50個(gè)免費(fèi)名額在其Cloudflare One架構(gòu)中使用上述產(chǎn)品。請(qǐng)?jiān)L問(wèn)我們的Zero Trust和SASE計(jì)劃頁(yè)面，進(jìn)一步了解我們的免費(fèi)產(chǎn)品，并了解我們面向50名成員以上團(tuán)隊(duì)的“隨用隨付”和“合約計(jì)劃”。

使用Google進(jìn)行身份驗(yàn)證

Cloudflare儀表板本身已成為一種需要保護(hù)的重要資源，我們花費(fèi)了大量時(shí)間確保Cloudflare用戶帳戶不會(huì)遭到入侵。

為此，我們通過(guò)添加額外的身份驗(yàn)證方法來(lái)提高安全性，包括基于應(yīng)用的雙因素身份驗(yàn)證（2FA）、通行密鑰、SSO和使用Apple登錄?，F(xiàn)在，我們又進(jìn)一步新增了使用Google帳戶注冊(cè)和登錄。

Cloudflare支持多種針對(duì)不同用例定制的身份驗(yàn)證流程。雖然SSO和通行密鑰是首選且最安全的身份驗(yàn)證方法，但我們認(rèn)為提供比密碼更強(qiáng)的身份驗(yàn)證因素將填補(bǔ)一個(gè)空白，并提高用戶的整體平均安全水平。使用Google登錄使用戶變得更輕松，并且可以避免他們?cè)谝呀?jīng)使用Google身份瀏覽網(wǎng)絡(luò)時(shí)還需要記住另一個(gè)密碼的情況。

“使用Google登錄”基于OAuth 2.0規(guī)范，并允許Google安全地共享有關(guān)特定身份的識(shí)別信息，同時(shí)確保是由Google提供此信息，從而防止任何惡意實(shí)體冒充Google。

這意味著，我們可以將身份驗(yàn)證委托給Google，防止直接針對(duì)該Cloudflare賬戶的零知識(shí)攻擊。

進(jìn)入Cloudflare登錄頁(yè)面后，您將看到如下按鈕。點(diǎn)擊按鈕即可注冊(cè)Cloudflare，完成注冊(cè)后，您無(wú)需輸入密碼即可使用您在Google帳戶中設(shè)置的任何現(xiàn)有保護(hù)措施登錄。

隨著這一功能的推出，Cloudflare現(xiàn)在使用自己的Cloudflare Workers為與OIDC兼容的身份提供商（例如GitHub和Microsoft帳戶）提供一個(gè)抽象層，這意味著我們的用戶可以期待在未來(lái)看到更多身份提供商（IdP）連接支持。

目前，只有通過(guò)Google注冊(cè)的新用戶才能使用他們的Google帳戶登錄，但我們將來(lái)會(huì)為更多用戶實(shí)現(xiàn)這一功能，包括鏈接/取消鏈接社交登錄提供商，我們還會(huì)添加更多社交登錄方式。目前，已經(jīng)創(chuàng)建SSO設(shè)置的企業(yè)級(jí)用戶無(wú)法使用這種方法，而基于Google Workspace創(chuàng)建SSO設(shè)置的用戶將被引導(dǎo)至他們的SSO登錄流程。我們正在考慮如何簡(jiǎn)化已設(shè)置的Access和IdP策略，以保護(hù)您的Cloudflare環(huán)境。

如果您未使用過(guò)Cloudflare，并且擁有Google帳戶，那么使用Cloudflare來(lái)保護(hù)你的網(wǎng)站、構(gòu)建新服務(wù)或嘗試Cloudflare提供的其他服務(wù)將變得比以往任何時(shí)候更簡(jiǎn)單。

更安全的互聯(lián)網(wǎng)

Cloudflare的目標(biāo)之一是讓網(wǎng)絡(luò)安全工具大眾化，讓每個(gè)人都能安全地提供內(nèi)容和連接到互聯(lián)網(wǎng)，即便不具備大型企業(yè)及組織的資源條件。

我們決定向所有Cloudflare用戶免費(fèi)提供大量新功能，涵蓋廣泛的安全使用案例，適用于Web管理員、網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)安全愛(ài)好者。

登錄您的Cloudflare帳戶，立即開(kāi)始體驗(yàn)上述的一系列新功能。同時(shí)，也歡迎在我們的社區(qū)論壇上提供反饋。