統(tǒng)一風(fēng)險(xiǎn)態(tài)勢管理： Cloudflare for Unified Risk Posture

管理風(fēng)險(xiǎn)態(tài)勢（您的企業(yè)如何評(píng)估風(fēng)險(xiǎn)、確定風(fēng)險(xiǎn)優(yōu)先級(jí)和減輕風(fēng)險(xiǎn)）從來都不是一件容易的事。但隨著攻擊面繼續(xù)迅速擴(kuò)大，這項(xiàng)工作變得越來越復(fù)雜和低效。（一項(xiàng)全球調(diào)查發(fā)現(xiàn)，SOC團(tuán)隊(duì)成員平均將工作日三分之一的時(shí)間花在處理不會(huì)構(gòu)成威脅的事件上）。

但是，如何能夠以更少的工作和更少的干擾來降低風(fēng)險(xiǎn)呢？

本文探討了Cloudflare如何幫助客戶實(shí)現(xiàn)這一目標(biāo)-這要?dú)w功于一個(gè)新套件，該套件融合了我們的安全訪問服務(wù)邊緣（SASE）以及Web應(yīng)用程序和API（WAAP）安全產(chǎn)品組合的功能。我們將圍繞下主題進(jìn)行說明：

-為什么這種方法有助于保護(hù)更多的攻擊面，同時(shí)減少SecOps工作量

-三個(gè)主要使用案例——包括通過我們擴(kuò)大的CrowdStrike合作伙伴關(guān)系實(shí)施Zero Trust

-我們正在基于這些功能探索的其他新項(xiàng)目

Cloudflare統(tǒng)一風(fēng)險(xiǎn)態(tài)勢管理

Cloudflare for Unified Risk Posture（Cloudflare統(tǒng)一風(fēng)險(xiǎn)態(tài)勢管理）這是一套新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理功能，可以幫助企業(yè)在不斷擴(kuò)大的攻擊面中自動(dòng)、動(dòng)態(tài)地實(shí)施風(fēng)險(xiǎn)態(tài)勢管理。如今，一個(gè)統(tǒng)一的平臺(tái)使企業(yè)及組織能夠：

-評(píng)估人員和應(yīng)用程序之間的風(fēng)險(xiǎn)：Cloudflare通過用戶實(shí)體和行為分析（UEBA）模型評(píng)估人員帶來的風(fēng)險(xiǎn)，并通過惡意有效負(fù)載、zero-day威脅和機(jī)器人檢測模型評(píng)估應(yīng)用程序、API和網(wǎng)站的風(fēng)險(xiǎn)。

-與一流的合作伙伴交換風(fēng)險(xiǎn)指標(biāo)：Cloudflare從一流的端點(diǎn)保護(hù)（EPP）和身份提供商（IDP）合作伙伴處獲取風(fēng)險(xiǎn)評(píng)分，并與安全信息和事件管理（SIEM）以及擴(kuò)展檢測和響應(yīng)（XDR）平臺(tái)共享遙測數(shù)據(jù)，以進(jìn)行進(jìn)一步分析，所有這些均通過與我們統(tǒng)一API的一次性集成實(shí)現(xiàn)。

-大規(guī)模實(shí)施自動(dòng)化風(fēng)險(xiǎn)控制：根據(jù)這些動(dòng)態(tài)的第一方和第三方風(fēng)險(xiǎn)評(píng)分，Cloudflare對(duì)世界各地的人員和應(yīng)用程序?qū)嵤┮恢碌娘L(fēng)險(xiǎn)控制。

Unified Risk Posture圖示

如上所述，該套件將我們的SASE和WAAP安全產(chǎn)品組合的功能融合到我們的全球網(wǎng)絡(luò)中?？蛻衄F(xiàn)在可以利用這些包含在現(xiàn)有產(chǎn)品組合中的內(nèi)置風(fēng)險(xiǎn)管理功能。

此次發(fā)布建立在我們不斷努力擴(kuò)展第一方可見性和控制以及第三方集成的基礎(chǔ)上，使企業(yè)及組織能夠更輕松地因應(yīng)不斷變化的風(fēng)險(xiǎn)。例如，作為2024年Security Week的一部分，我們宣布基于行為的用戶風(fēng)險(xiǎn)評(píng)分正式上市，以及推出AI助手測試版，以幫助您分析應(yīng)用程序面臨的風(fēng)險(xiǎn)。在2023年秋季的最新集成中，我們宣布我們的云電子郵件安全客戶可以在CrowdStrike Falcon?Next-Gen SIEM儀表板中提取并顯示我們的威脅檢測結(jié)果。

為了進(jìn)一步管理您的風(fēng)險(xiǎn)態(tài)勢，您將能夠利用新的Cloudflare功能和集成，包括：

-可與CrowdStrike Falcon Next-Gen SIEM共享Cloudflare Zero Trust和電子郵件日志數(shù)據(jù)的新集成（現(xiàn)已推出）

-可與Okta共享Cloudflare用戶風(fēng)險(xiǎn)評(píng)分以實(shí)施訪問策略的新集成（2024年第二季度末推出）

-新的第一方UEBA模型，包括基于設(shè)備態(tài)勢檢查的用戶風(fēng)險(xiǎn)評(píng)分（2024年第二季度末推出）

將風(fēng)險(xiǎn)管理的評(píng)估、交換和執(zhí)行各階段集成統(tǒng)一到Cloudflare平臺(tái)上，有助于安全領(lǐng)導(dǎo)者輕松管理并及時(shí)、有效降低風(fēng)險(xiǎn)。作為保護(hù)面向公眾和內(nèi)部基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全供應(yīng)商，Cloudflare具有獨(dú)特的優(yōu)勢，可以保護(hù)您不斷擴(kuò)大的攻擊面。將動(dòng)態(tài)第一方風(fēng)險(xiǎn)評(píng)分、靈活集成和自動(dòng)執(zhí)行結(jié)合在一起，有助于推動(dòng)兩個(gè)主要業(yè)務(wù)成果：

1.減少SecOps的工作量：通過減少手動(dòng)策略構(gòu)建和提高響應(yīng)事件的敏捷性。這意味著構(gòu)建策略的點(diǎn)擊次數(shù)更少，工作流程更加自動(dòng)化，并且事件的平均檢測時(shí)間（MTTD）和平均響應(yīng)時(shí)間（MTTR）更低。

2.降低網(wǎng)絡(luò)風(fēng)險(xiǎn)：通過對(duì)人員和應(yīng)用程序的可見性和控制。這意味著更少的嚴(yán)重事件以及自動(dòng)阻止更多威脅。

像世界排名第一的招聘網(wǎng)站Indeed這樣的客戶已經(jīng)通過與Cloudflare合作看到了顯著成效：

“Cloudflare幫助我們更輕鬆、更有效地緩解風(fēng)險(xiǎn)，並簡化了我們?cè)谡麄€(gè)組織中實(shí)現(xiàn)Zero Trust的方式。”

——Indeed資深副總裁、資訊長兼安全長

Anthony Moisant

難題：太多的攻擊面帶來太多的風(fēng)險(xiǎn)

管理風(fēng)險(xiǎn)態(tài)勢本質(zhì)上是一項(xiàng)廣泛的挑戰(zhàn)，涵蓋跨各種攻擊媒介的內(nèi)部危險(xiǎn)和外部威脅。以下只是CISO及其安全團(tuán)隊(duì)在人員、應(yīng)用程序和數(shù)據(jù)等三個(gè)日常維度中跟蹤的風(fēng)險(xiǎn)因素示例：

-人員風(fēng)險(xiǎn)：網(wǎng)絡(luò)釣魚、社會(huì)工程學(xué)、惡意軟件、勒索軟件、遠(yuǎn)程訪問、內(nèi)部威脅、物理訪問泄露、第三方/供應(yīng)鏈、移動(dòng)設(shè)備/BYOD

-應(yīng)用程序風(fēng)險(xiǎn)：拒絕服務(wù)、zero-day漏洞、SQL注入、Cross-site scripting、遠(yuǎn)程代碼執(zhí)行、憑據(jù)填充、帳戶接管、影子IT使用、API濫用

-數(shù)據(jù)風(fēng)險(xiǎn)：數(shù)據(jù)丟失/暴露、數(shù)據(jù)盜竊/泄露、侵犯隱私、違反合規(guī)性、數(shù)據(jù)篡改

單點(diǎn)解決方案在設(shè)計(jì)之初就是為了解決其中一些具體風(fēng)險(xiǎn)和攻擊媒介。但隨著時(shí)間的推移，企業(yè)及組織積累了許多服務(wù)，但這些服務(wù)之間卻很難相互交流和建立更全面的風(fēng)險(xiǎn)視圖。每個(gè)工具生成的精細(xì)遙測數(shù)據(jù)導(dǎo)致安全人員信息過載，而即便不是如此，他們通常也已經(jīng)不堪重負(fù)。安全信息和事件管理（SIEM）以及擴(kuò)展檢測和響應(yīng)（XDR）平臺(tái)在跨環(huán)境聚合風(fēng)險(xiǎn)數(shù)據(jù)并根據(jù)分析減輕威脅方面發(fā)揮著關(guān)鍵作用，但這些工具仍然需要時(shí)間、資源和專業(yè)知識(shí)才能有效運(yùn)行。隨著攻擊面迅速擴(kuò)大、企業(yè)采用混合式工作模式、構(gòu)建新的數(shù)字應(yīng)用程序以及陸續(xù)開始嘗試納入AI，所有這些挑戰(zhàn)都變得更加嚴(yán)峻。

Cloudflare如何幫助管理風(fēng)險(xiǎn)態(tài)勢

為了幫助恢復(fù)對(duì)這種復(fù)雜性的控制，Cloudflare for Unified Risk Posture提供了一個(gè)統(tǒng)一平臺(tái)來評(píng)估風(fēng)險(xiǎn)、交換指標(biāo)并在整個(gè)IT環(huán)境和全球范圍內(nèi)實(shí)施動(dòng)態(tài)控制，同時(shí)作為貴司已經(jīng)依賴的安全工具的補(bǔ)充。

盡管Cloudflare可以緩解的具體風(fēng)險(xiǎn)范圍很廣（包括上面所列示例中的所有風(fēng)險(xiǎn)），但以下三個(gè)用例代表了我們的全部功能，您今天就可以開始充分加以利用：

用例1：使用Cloudflare和CrowdStrike實(shí)施Zero Trust

第一個(gè)用例強(qiáng)調(diào)了Cloudflare適合您當(dāng)前安全生態(tài)系統(tǒng)的靈活性，讓您可以更輕松地采用Zero Trust最佳實(shí)踐。

Cloudflare與一流的EPP和IDP合作伙伴集成，并獲取來自一流EPP和IDP合作伙伴的安全信號(hào)，以對(duì)前往任何目的地的任何訪問請(qǐng)求強(qiáng)制執(zhí)行身份和設(shè)備態(tài)勢檢查。您甚至可以同時(shí)加入多個(gè)提供商，以在不同的環(huán)境中實(shí)施不同的策略。例如，通過與CrowdStrike Falcon?集成，共同客戶可以根據(jù)Falcon Zero Trust評(píng)估（ZTA）分?jǐn)?shù)實(shí)施策略，該分?jǐn)?shù)可以在組織中的所有端點(diǎn)上提供持續(xù)的實(shí)時(shí)安全態(tài)勢評(píng)估，無論位置、網(wǎng)絡(luò)或用戶如何。此外，客戶還可以將Cloudflare生成的活動(dòng)日志（包括所有訪問請(qǐng)求）推送到他們喜歡的云存儲(chǔ)或分析提供商。

我們已正式宣布與CrowdStrike擴(kuò)大合作伙伴關(guān)系，進(jìn)行新的集成，使企業(yè)及組織能夠與Falcon Next-Gen SIEM共享日志，以進(jìn)行更深入的分析和進(jìn)一步調(diào)查。Falcon Next-Gen SIEM統(tǒng)一了第一方和第三方數(shù)據(jù)、原生威脅情報(bào)、AI和工作流程自動(dòng)化，以推動(dòng)SOC轉(zhuǎn)型并實(shí)施更好的威脅防護(hù)。Cloudflare Zero Trust和電子郵件日志與Falcon Next-Gen SIEM的集成使共同客戶能夠識(shí)別和調(diào)查Zero Trust網(wǎng)絡(luò)和電子郵件風(fēng)險(xiǎn)，并利用其他日志源分析數(shù)據(jù)以發(fā)現(xiàn)隱藏的威脅。

“與傳統(tǒng)SIEM和定位為SIEM替代品的產(chǎn)品相比，CrowdStrike Falcon Next-Gen SIEM的搜尋效能提高了150倍。我們的變革性遙測技術(shù)與Cloudflare強(qiáng)大的Zero Trust功能相結(jié)合，提供了史無前例的合作夥伴關(guān)係。我們攜手並進(jìn)，正在融合風(fēng)險(xiǎn)管理難題中最關(guān)鍵的兩個(gè)部分，各種規(guī)模的組織都必須解決這些難題，以應(yīng)對(duì)當(dāng)今日益增長的威脅?！?/p>

——CrowdStrike首席商務(wù)官Daniel Bernard

以下是有關(guān)Cloudflare和CrowdStrike如何共同實(shí)施Zero Trust策略并減輕新興風(fēng)險(xiǎn)的示例工作流程。Cloudflare和CrowdStrike通過交換活動(dòng)和風(fēng)險(xiǎn)數(shù)據(jù)以及執(zhí)行基于風(fēng)險(xiǎn)的政策和補(bǔ)救步驟來相互補(bǔ)充。

使用Cloudflare和CrowdStrike實(shí)施Zero Trust

第1階段：自動(dòng)化調(diào)查

Cloudflare和CrowdStrike幫助組織檢測用戶是否遭到入侵。

在此示例中，Cloudflare最近阻止了對(duì)有風(fēng)險(xiǎn)網(wǎng)站和網(wǎng)絡(luò)釣魚電子郵件的Web瀏覽，作為第一道防線。然后，這些日志會(huì)發(fā)送到CrowdStrike Falcon Next-Gen SIEM，它會(huì)向您組織的分析師發(fā)出有關(guān)可疑活動(dòng)的警報(bào)。

同時(shí)，CrowdStrike Falcon Insight XDR會(huì)自動(dòng)掃描用戶的設(shè)備并檢測其是否被感染。結(jié)果是，反映設(shè)備運(yùn)行狀況的Falcon ZTA分?jǐn)?shù)會(huì)降低。

第2階段：Zero Trust實(shí)施

該組織已設(shè)置通過Cloudflare的Zero Trust網(wǎng)絡(luò)訪問（ZTNA）進(jìn)行設(shè)備態(tài)勢檢查，僅當(dāng)Falcon ZTA風(fēng)險(xiǎn)評(píng)分高于他們定義的特定閾值時(shí)才允許訪問。

我們的ZTNA拒絕該用戶下一個(gè)訪問應(yīng)用程序的請(qǐng)求，因?yàn)镕alcon ZTA分?jǐn)?shù)低于該閾值。

由于設(shè)備態(tài)勢檢查失敗，Cloudflare會(huì)提高該用戶的風(fēng)險(xiǎn)評(píng)分，從而將其置于具有更嚴(yán)格控制的組中。

第3階段：補(bǔ)救

與此同時(shí)，CrowdStrike的Next-Gen SIEM繼續(xù)分析該特定用戶的活動(dòng)以及整個(gè)組織環(huán)境中更廣泛的風(fēng)險(xiǎn)。使用機(jī)器學(xué)習(xí)模型，CrowdStrike可以揭示主要風(fēng)險(xiǎn)，并向您的分析師提出針對(duì)每個(gè)風(fēng)險(xiǎn)的解決方案。

然后，分析師可以審查并選擇補(bǔ)救策略（例如，隔離用戶的設(shè)備），以進(jìn)一步降低整個(gè)組織的風(fēng)險(xiǎn)。

用例2：保護(hù)應(yīng)用程序、API和網(wǎng)站

第二個(gè)用例的重點(diǎn)是保護(hù)應(yīng)用程序、API和網(wǎng)站免受威脅行為者和機(jī)器人的侵害。許多客戶最初就是為了此用例而采用Cloudflare，但可能并不知道背后支持其保護(hù)的風(fēng)險(xiǎn)評(píng)估算法。

使用ML支持的威脅情報(bào)保護(hù)應(yīng)用程序、API和網(wǎng)站

Cloudflare的應(yīng)用程序服務(wù)使用機(jī)器學(xué)習(xí)（ML）支持的風(fēng)險(xiǎn)模型來檢測和減輕惡意有效負(fù)載和機(jī)器人，包括：

-我們的WAF Attack Score，對(duì)請(qǐng)求是否包含zero-day漏洞或常見OWASP Top 10風(fēng)險(xiǎn)進(jìn)行評(píng)分，如SQL注入、cross-site scripting或遠(yuǎn)程代碼執(zhí)行惡意負(fù)載

-我們的機(jī)器人分?jǐn)?shù)，對(duì)請(qǐng)求來自機(jī)器人的可能性進(jìn)行評(píng)分

-我們的惡意腳本分類器，它會(huì)檢查瀏覽器腳本對(duì)網(wǎng)站訪問者的危險(xiǎn)

這些風(fēng)險(xiǎn)模型主要根據(jù)來自Cloudflare全球網(wǎng)絡(luò)的遙測數(shù)據(jù)進(jìn)行訓(xùn)練-Cloudflare全球網(wǎng)絡(luò)被近20%的網(wǎng)站用作反向代理，每天處理約3萬億次DNS查詢。這種獨(dú)特的實(shí)時(shí)可見性為威脅情報(bào)提供了動(dòng)力，甚至使我們能夠先于其他人檢測和緩解zero-day漏洞。

Cloudflare還使用ML來發(fā)現(xiàn)新的API端點(diǎn)和架構(gòu)，而無需任何客戶先行輸入任何內(nèi)容。這有助于企業(yè)及組織發(fā)現(xiàn)未經(jīng)身份驗(yàn)證的API，并在應(yīng)用保護(hù)之前映射其不斷增長的攻擊面。

與其他供應(yīng)商不同，Cloudflare的網(wǎng)絡(luò)架構(gòu)使面向公眾和內(nèi)部基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)評(píng)估模型和安全控制能夠在我們的所有服務(wù)之間共享。這意味著企業(yè)及組織可以在自托管Jira和Confluence服務(wù)器等內(nèi)部應(yīng)用程序前方應(yīng)用針對(duì)應(yīng)用程序漏洞利用、DDoS和機(jī)器人的保護(hù)，從而保護(hù)它們免受新興威脅甚至zero-day威脅。

企業(yè)及組織可以在Cloudflare安全中心中檢查影響其應(yīng)用程序、API和網(wǎng)站風(fēng)險(xiǎn)態(tài)勢的潛在錯(cuò)誤配置、數(shù)據(jù)泄露風(fēng)險(xiǎn)和漏洞。我們正在集成安全產(chǎn)品組合中的警報(bào)和見解，試圖獲取這種風(fēng)險(xiǎn)態(tài)勢管理的集中視圖。事實(shí)上，我們今年早些時(shí)候宣布的更新重點(diǎn)突出了在企業(yè)及組織部署Cloudflare服務(wù)的方式中存在的差距。

最后，我們還使企業(yè)及組織能夠更輕松地直接調(diào)查安全事件，并且也正式宣布推出了Log Explorer的測試版。在此測試版中，安全團(tuán)隊(duì)可以通過內(nèi)置搜索、分析儀表板和過濾器在一個(gè)位置查看所有HTTP流量。與導(dǎo)出到第三方工具相比，這些功能可以幫助客戶監(jiān)控Cloudflare平臺(tái)內(nèi)的更多風(fēng)險(xiǎn)因素。

用例3：使用UEBA保護(hù)敏感數(shù)據(jù)

第三個(gè)用例總結(jié)了許多客戶計(jì)劃利用我們的用戶風(fēng)險(xiǎn)/UEBA評(píng)分來防止敏感數(shù)據(jù)泄露和不當(dāng)處理的一種常見方法：

使用ML支持的威脅情報(bào)保護(hù)應(yīng)用程序、API和網(wǎng)站

-第1階段：在此示例中，安全團(tuán)隊(duì)已配置數(shù)據(jù)丟失防護(hù)（DLP）策略來檢測和阻止包含敏感數(shù)據(jù)的流量。這些策略可防止一個(gè)用戶多次重復(fù)嘗試將源代碼上傳到公共GitHub存儲(chǔ)庫。

-第2階段：由于該用戶現(xiàn)在在短時(shí)間內(nèi)違反了大量DLP策略，因此Cloudflare將該可疑用戶評(píng)分為高風(fēng)險(xiǎn)，無論這些上傳是具有惡意還是良性意圖。安全團(tuán)隊(duì)現(xiàn)在可以進(jìn)一步調(diào)查該特定用戶，包括查看他最近的所有日志活動(dòng)。

-第3階段：對(duì)于特定的高風(fēng)險(xiǎn)用戶或高風(fēng)險(xiǎn)用戶組，管理員可以設(shè)置ZTNA甚至瀏覽器隔離規(guī)則，以阻止或隔離對(duì)包含其他敏感數(shù)據(jù)的應(yīng)用程序的訪問。

總而言之，此工作流程強(qiáng)調(diào)了Cloudflare的風(fēng)險(xiǎn)態(tài)勢管理如何在從評(píng)估到執(zhí)行的過程中及時(shí)、有效地因應(yīng)可疑行為。

如何開始使用Cloudflare統(tǒng)一風(fēng)險(xiǎn)態(tài)勢管理

上述用例反映了我們的客戶如何將風(fēng)險(xiǎn)管理與Cloudflare相統(tǒng)一。以上列舉的客戶用例，進(jìn)一步說明了為什么他們對(duì)我們充滿信心、相信我們能夠幫助其有效管理不斷擴(kuò)大的攻擊面所帶來的風(fēng)險(xiǎn)：

-我們統(tǒng)一平臺(tái)的簡單性：我們將SASE和WAAP風(fēng)險(xiǎn)評(píng)分以及人員和應(yīng)用程序的控制結(jié)合在一起。此外，通過適用于所有Cloudflare服務(wù)的單一API，企業(yè)及組織可以使用Terraform等基礎(chǔ)設(shè)施即代碼工具輕松自動(dòng)化和自定義工作流程。

-我們集成的靈活性：我們與您已經(jīng)使用的EPP、IDP、XDR和SIEM提供商交換風(fēng)險(xiǎn)信號(hào)，以便您可以利用您的工具和數(shù)據(jù)做更多事情。此外，通過適用于我們所有服務(wù)的一次性集成，您可以靈活地跨IT環(huán)境擴(kuò)展控制。

-我們的全球網(wǎng)絡(luò)規(guī)模：客戶可以在我們覆蓋320+個(gè)地點(diǎn)和13K+互連的網(wǎng)絡(luò)中的每個(gè)地點(diǎn)運(yùn)行每項(xiàng)安全服務(wù)。通過這種方式，一次通過檢查和風(fēng)險(xiǎn)策略實(shí)施始終是快速、一致和有彈性的，并且可以在靠近您的用戶和應(yīng)用程序的地方進(jìn)行。