このコンテンツは自動機械翻訳サービスによる翻訳版であり、皆さまの便宜のために提供しています。原本の英語版と異なる誤り、省略、解釈の微妙な違いが含まれる場合があります。ご不明な点がある場合は、英語版原本をご確認ください。
CloudflareのThreat Eventsは、セキュリティアナリストが世界の脅威の状況を知るためのウィンドウを提供します。このプラットフォームでは、Cloudflareが毎日処理する膨大なトラフィックをのぞき見でき、どのIPが特定の業界を攻撃しているか、どの脅威アクターが世界的な傾向を示しているかをリアルタイムで把握できます。しかし、その可視性をアクティブな軽減策に変換するのは、多くの場合、手作業による事後対応型のプロセスでした。
セキュリティチームは、繰り返しフラストレーションに直面してきました。特定のIPアドレスが特定の脅威アクター(Tycoon二要素認証やRaccoonO365など)に関連していること、あるいは他の地域で特定の業界を標的にしていることがわかっていたにもかかわらず、ルールを手動で設定しない限り、自社のWAF内でこれらの高リスクIPを簡単に自動的にブロックできなかったのです。
Cloudflareの膨大な脅威インテリジェンスをWAFエンジンに直接取り入れる新たな統合を発表でき、大変嬉しく思います。ライブインテリジェンスデータを使って、先制的なルールを書くことができるようになりました。つまり、インテリジェンスコンテキストを追加して、既知の悪意あるアクターがインフラに侵入する前に、アプリケーションを保護できるということです。
リクエストの初期段階で専用フィールドを入力することで、WAFは次に基づいてトラフィックをスクリーニングできるようになりました。
特定の脅威アクター名をマッチングして攻撃しているのが誰か
業界または国をフィルタリングし、そのIPが過去にターゲットにされた実績を確認するために、誰をターゲットにしているか
どのような種類の攻撃が、強化された脅威コンテキストを使用し、攻撃タイプ(DDoS、WAF、サイバー犯罪など)と最後に確認された時間枠でフィルタリングされましたか
この新しい機能は、最近攻撃シグネチャ検出のために導入したものと同じ 常時稼働型の検出フレームワークに基づいて構築されています。同システムは、事前設定されたルールを必要とせず、一般的な攻撃パターンをリアルタイムで特定するシステムです。検出と軽減を分離することで、脅威インテリジェンスがバックグラウンドで常に実行され、アクションを決定する前に、洞察に満ちた脅威メタデータでHTTPリクエスト分析を強化します。
「常時接続」モデルの主な利点は、従来の「ログとブロック」のトレードオフがないことです。ログモードでは可視性を確保し、ブロックモードでは保護することもできます。それは、ルールによってリクエストがブロックされてしまうと、他の署名がそのリクエストをどのように評価したかを知るための可視性が失われるためです。あなたの防御の強化に役立った可能性のある洞察が得られるからです。
Cloudforce Oneのサブスクリプションをお持ちの場合、これらのインサイトは自動的に分析に表示されます。どの脅威アクターがサイトを攻撃しているか、どの業界のIPを通常ターゲットにしているかを表示できるため、「スイッチをオン」にしてブロックする前にトラフィックパターンを確認できます。
これらの検出は無視できる遅延で実行され、パフォーマンスの超高速性を維持しながら、堅牢なセキュリティポリシーの構築に必要な信頼性の高いデータを提供します。この初期リリースはIPベースのマッチングに焦点を当てていますが、これらの機能をJA3フィンガープリントやドメインベースのマッチングに拡張することをすでに検討しています。これにより、攻撃者が悪意のあるペイロードで使用する固有のソフトウェアシグネチャや悪意のある宛先リンクを特定することで、攻撃者がIPをローテーションしている場合でも、悪意のあるトラフィックをブロックすることができます。
これを可能にするために、以下の具体的なシグナルをWAFエンジンに直接公開しました。
フィールド | 説明 |
cf.intel.ip.attacker_names | 既知の脅威グループの名前(例:CRAVENFLEA)。 |
cf.intel.ip.target_industries | このIPが対象とする業界(例:暗号資産、自動車)。 |
cf.intel.ip.attacker_countries | 脅威イベントの発生元の国。 |
cf.intel.ip.target_countries | 脅威イベントの標的となった国。 |
cf.intel.ip.datasets | データを提供するソースフィード(例:ddos、waf)。 |
単一のIPアドレスが複数の脅威主体や標的業界に同時に関連付けられる可能性があるため、これらのフィールドは配列として表されます。any()関数と[*]ワイルドカードを使用して、その脅威プロファイル内の値が基準に一致するかどうかを確認します。
地域を標的とする既知のDDoS参加者をブロック:any(cf.intel.ip.target_countries[*] == "FR") and any(cf.intel.ip.datasets[*] == "ddos")
金融セクターを標的とした特定の脅威アクターから保護: any(cf.intel.ip.target_industries[*] == "Banking & Financial Services") and any(cf.intel.ip.attacker_names[*] == "BLACKBASTA")
特定の高リスク配信元国に対する広範な保護:any(cf.intel.ip.attacker_countries[*] == "IR")
UI駆動型のアプローチを希望する場合も、コードとしてのインフラストラクチャを希望する場合も、これらのフィールドは既存のワークフローに統合されます。
Infrastructure as Codeを好むチームのために、新しいcf.intelフィールドは、WAF カスタムルールとレート制限のWAFルールビルダーに完全に統合されています。現在お使いになっているのと同じ構文を使って、複雑な表現を書くことができます。これらは標準的なWAFフィールドであるため、Cloudflare APIとTerraformを介して完全にサポートされており、選択したドメインやアカウント全体で脅威ブロックを自動化することができます。
WAFルールビルダーに新しいフィールドが追加され、ユーザーが脅威イベントインジケータに基づいて適切な設定を選択できるようになりました。
デプロイはこの戦いの半分にすぎません。これらの脅威インテリジェンスフィールドによってトリガーされたすべての一致が、セキュリティ分析に記録されます。トラフィックを掘り下げることで、どのルールがトリガーされ、どのインジケーターが一致したかを正確に確認できます。これらの強化されたログにより、ルールがトリガーされた場合の監査と事後分析が迅速に可能になります。
セキュリティ分析では、脅威イベントが一致する攻撃が表示されます。完全なコンテキストとワンクリックでカスタムセキュリティルールを作成できるオプションも用意されています。
すでに脅威インテリジェンスダッシュボードを使用して傾向を調査している場合は、IPリストをコピーして貼り付ける必要はありません。「過去7日間に金融セクターの攻撃が確認されたIP」など、特定のフィルターに基づいて保存ビューを作成できます。ワンクリックで、これらのフィルターをエクスポートしてWAFルールに直接追加できます。
保存されたビューでは、保存されたビューの設定と一致するWAFルールを簡単に作成できるようになりました。
当社のネットワーク全体のグローバルインテリジェンス
可視性と使いやすさは、基盤となるエンジンが高速になって初めて可能になります。トラフィックを減速させることなく、数百万もの脅威指標を処理するにはどうすればよいでしょうか?
これらの脅威インテリジェンスデータセットは高性能形式に圧縮され、世界中のCloudflareデータセンターに配信されます。リクエストが当社のネットワークに到達すると、Cloudflare WAFは、これらのローカルデータセットに対してO(1)常時ルックアップを実行します。これにより、10の指標と照合する場合も、1,000万の指標に対してチェックする場合も、遅延オーバーヘッドは事実上ゼロ(マイクロ秒単位で測定)のままであることが保証されます。
1つのIPは複数の脅威ベクトルに関連付けられているため、当社のエンジンは最初の一致だけで停止することはありません。IPに関連付けられたすべてのシグナルのセットを同時に評価します。これにより、「攻撃者 = RU」と「標的業界 = 銀行」を探すルールが、これらの属性の交点を1つのパスで評価することで正しくトリガーされ、計算の複雑さを増すことなく、マルチベクトル型アクターに対する最大のカバーを提供します。
この機能は、アクティブなCloudforce Oneサブスクリプションをご利用のお客様に本日よりお使いいただけます。
「Cloudforce One Essentials」を使用することで、顧客は脅威イベントのデフォルトのデータセットにアクセスし、指標を検索し、脅威ハンティング調査を行うことができます
Cloudforce One Advantageにより、お客様は情報提供リクエストを通じて脅威インテリジェンスアナリストのカスタムインサイトにアクセスできます
Cloudforce One Eliteは、当社で最も充実したパッケージであり、ブランド保護、多数の情報リクエスト、すべての脅威イベントデータセットへのアクセスが含まれています。
グローバルなインサイトをローカル防御に変える準備はできましたか?脅威イベントまたはCloudflareダッシュボードのWAFセクションにアクセスして、最初の脅威インテリジェンスルールの作成を開始するか、Cloudforce Oneのサブスクリプションの詳細については、アカウントチームにお問い合わせください。