Современные реалии таковы, что не каждый бизнес может себе позволить сайт, особенно стартующий бизнес. Поэтому выгодно воспользоваться конструктором сайтов, например filandor. Запуск сайта через несколько минут.

Остановите атаки до того, как они станут известны: делаем Cloudflare WAF умнее

Cloudflare WAF помогает владельцам сайтов защищать свои приложения от злоумышленников. Он делает это, анализируя трафик с помощью управляемых правил Cloudflare: написанных от руки узкоспециализированных правил, которые обнаруживают и блокируют вредоносную полезную нагрузку. Но у них есть проблема: если для конкретной атаки не написано правило, оно ее не обнаружит.

Сегодня мы решаем эту проблему, делая наш WAF умнее и анонсируя общедоступную систему оценки атак WAF.

Клиенты наших пакетов Enterprise Core и Advanced Security будут иметь постепенный доступ к этой новой функции. Все оставшиеся корпоративные клиенты получат доступ в ближайшие месяцы.

Наша система оценки атак WAF, полностью дополняющая наши управляемые правила Cloudflare, классифицирует все запросы с использованием модели, обученной на наблюдаемых истинных положительных результатах в сети Cloudflare, что позволяет вам обнаруживать (и блокировать) уклонение, обход и новые методы атак до того, как они станут общеизвестными. .

Проблема с WAF на основе подписи

Злоумышленники, пытающиеся проникнуть в веб-приложения, часто используют известные или недавно раскрытые полезные нагрузки. Cloudflare WAF был создан, чтобы очень хорошо справляться с этими атаками. Управляемый набор правил Cloudflare и управляемый набор правил Cloudflare OWASP на самом деле постоянно обновляются и направлены на защиту веб-приложений от известных угроз при минимизации ложных срабатываний.

Ситуация усложняется с неизвестными публично атаками, часто называемыми нулевыми днями. В то время как наши команды делают все возможное, чтобы исследовать новые векторы угроз и обновлять правила Cloudflare Managed, скорость человека становится ограничивающим фактором. Каждый раз, когда обнаруживается новый вектор, злоумышленники получают возможность обойти средства защиты.

Одним из хорошо известных примеров была атака Log4j RCE, когда нам приходилось развертывать частые обновления правил по мере того, как обнаруживались новые обходные пути путем изменения известных шаблонов атак.

Решение: дополнить подписи моделью оценки машинного обучения.

Наша система оценки атак WAF — это усовершенствование WAF Cloudflare на основе машинного обучения. Он оценивает каждый запрос с вероятностью того, что он является вредоносным. Затем вы можете использовать эту оценку при реализации пользовательских правил WAF, чтобы обеспечить безопасность вашего приложения наряду с существующими управляемыми правилами Cloudflare.

Как мы используем машинное обучение в Cloudflare WAF?

В любой задаче классификации качество обучающей выборки напрямую связано с качеством результатов классификации, поэтому для подготовки обучающих данных было приложено много усилий.

И здесь мы использовали сверхвозможность Cloudflare: мы воспользовались видимостью сети Cloudflare, собрав миллионы истинно положительных образцов, сгенерированных нашим существующим WAF на основе подписи, и дополнительно улучшили его, используя методы, описанные в «Повышение точности нашего машинного обучения WAF». .

Это позволило нам обучить модель, которая способна классифицировать, учитывая HTTP-запрос, вероятность того, что запрос содержит вредоносную полезную нагрузку, но, что более важно, классифицировать, когда запрос очень похож на известный истинно положительный, но все же достаточно отличается от него. избежать совпадения управляемого правила.

Модель работает в потоке HTTP-трафика и на сегодняшний день оптимизирована для трех категорий атак: SQL-инъекция (SQLi), межсайтовый скриптинг (XSS) и широкий спектр атак удаленного выполнения кода (RCE), таких как внедрение оболочки, PHP. инъекции, компрометации типа Apache Struts, Apache log4j и аналогичные атаки, которые приводят к RCE. В будущем мы планируем добавить дополнительные типы атак.

Выходные баллы аналогичны баллам управления ботами; они варьируются от 1 до 99, где низкие баллы указывают на вредоносный или вероятно вредоносный, а высокие баллы указывают на чистый или вероятно чистый HTTP-запрос.

Остановите атаки до того, как они станут известны: делаем Cloudflare WAF умнее

Доказательство немедленной ценности

Одним из примеров эффективности этой новой системы является то, что 13 октября 2022 года CVE-2022-42889 была определена как «критическая серьезность» в Apache Commons Text, затрагивающая версии с 1.5 по 1.9.

Полезная нагрузка, использованная в атаке, хотя и не была немедленно заблокирована нашими управляемыми правилами Cloudflare, была правильно идентифицирована (получив очень низкую оценку) нашей системой оценки атак. Это позволило нам защитить конечные точки и идентифицировать атаку с нулевым временем развертывания. Конечно, мы также по-прежнему обновляли управляемые правила Cloudflare, чтобы охватить новый вектор атаки, поскольку это позволяет нам улучшать наши обучающие данные, дополнительно завершая наш цикл обратной связи.

Узнайте то, чего вы не знаете, с новой аналитикой безопасности

В дополнение к системе оценки атак у нас есть еще одно важное объявление: наша новая аналитика безопасности! Подробнее об этом можно прочитать в официальном сообщении.

Используя новую аналитику безопасности, вы можете просматривать распределение оценок атак независимо от того, были ли запросы заблокированы или нет, что позволяет вам исследовать потенциально вредоносные атаки до развертывания каких-либо правил.

В представлении будет отображаться не только оценка атаки WAF, но также управление ботами и сканирование контента с возможностью смешивания и сопоставления фильтров по вашему желанию.

Остановите атаки до того, как они станут известны: делаем Cloudflare WAF умнее

Как использовать WAF Attack Score и Security Analytics

Давайте отправимся в путешествие, чтобы обнаружить атаки с помощью новой аналитики безопасности, а затем использовать оценки атак WAF, чтобы смягчить их.

Начиная с аналитики безопасности

Это новое представление может показать вам всю информацию о вашем трафике в одном месте. У вас есть десятки фильтров, которые можно смешивать и сопоставлять, лучшие статистические данные, несколько распределений интерактивных графиков, а также образцы журналов для проверки ваших идей. По сути, это дает вам возможность предварительно просмотреть ряд фильтров без необходимости создавать настраиваемые правила WAF.

Шаг 1 — получить доступ к новой аналитике безопасности: чтобы получить доступ к новой аналитике безопасности на панели инструментов, перейдите на вкладку «Безопасность» (Безопасность > Аналитика), предыдущий (Безопасность > Обзор) все еще существует под (Безопасность > События). У вас должен быть доступ хотя бы к оценке атаки WAF, чтобы иметь возможность видеть новую аналитику безопасности на данный момент.

Шаг 2 — исследовать идеи: на новой странице аналитики вы увидите распределение всего вашего трафика по времени, а также множество фильтров с правой стороны, показывающих распределение для нескольких функций, включая оценку атаки WAF и оценку управления ботами, чтобы сделать это очень легко чтобы применять интересные фильтры, мы добавили раздел «Insights».

Остановите атаки до того, как они станут известны: делаем Cloudflare WAF умнее

Выбрав опцию «Анализ атак», вы увидите обзорную диаграмму с накоплением того, как ваш трафик выглядит с точки зрения оценки атаки WAF.

Остановите атаки до того, как они станут известны: делаем Cloudflare WAF умнее

Шаг 3 — фильтровать атакующий трафик. Для начала хорошо бы найти полностью защищенные HTTP-запросы, классифицированные как атаки. Вы можете сделать это, используя ползунки оценки атаки с правой стороны или выбрав любой из фильтров информации, которые легко использовать в один клик. Все графики будут обновляться автоматически в соответствии с выбранными фильтрами.

Остановите атаки до того, как они станут известны: делаем Cloudflare WAF умнее

Шаг 4 — проверить трафик атаки: это можно сделать, развернув выбранные журналы под графиком распределения трафика, например, в приведенном ниже расширенном журнале вы можете увидеть очень низкий показатель RCE, указывающий на «Атаку», вместе с показателем бота, указывающим, что запрос был «Вероятно автоматизирован». Глядя на поле «Путь», мы можем подтвердить, что это действительно вредоносный запрос. Обратите внимание, что не все поля в настоящее время регистрируются/отображаются. Например, запрос может получить низкую оценку из-за вредоносной полезной нагрузки в теле HTTP, которую сегодня сложно проверить в примерах журналов.

Остановите атаки до того, как они станут известны: делаем Cloudflare WAF умнее

Шаг 5 — создайте правило для смягчения трафика атаки: после того, как вы убедились, что ваш фильтр не соответствует ложным срабатываниям, одним нажатием кнопки «Создать пользовательское правило» вы будете перенаправлены в конструктор пользовательских правил WAF со всеми вашими фильтры предварительно заполнены и готовы к «развертыванию».

Оценки атак в журналах событий безопасности

Показатели атак WAF также доступны в журналах HTTP и при переходе к (Безопасность > События) при расширении любого из образцов журнала событий:

Остановите атаки до того, как они станут известны: делаем Cloudflare WAF умнее

Обратите внимание, что все новые поля доступны в пользовательских правилах WAF и правилах ограничения скорости WAF. Они задокументированы в наших документах для разработчиков: cf.waf.score, cf.waf.score.xss, cf.waf.score.sqliа также cf.waf.score.rce.

Хотя проще всего использовать эти поля, начав с нашей новой информационной панели Security Analytics, как описано выше, вы можете использовать их как есть при создании правил и, конечно же, смешивая с любым другим доступным полем. В следующем примере развертывается правило действия «Журнал» для любого запроса с совокупной оценкой атаки WAF (cf.waf.score) менее 40.

Остановите атаки до того, как они станут известны: делаем Cloudflare WAF умнее

Что дальше?

Это всего лишь один из многих шагов, чтобы сделать наш Cloudflare WAF по-настоящему «интеллектуальным». Помимо развертывания этой новой технологии для большего числа клиентов, мы уже работаем над обеспечением еще большей прозрачности и охватом дополнительных векторов атак. Обо всем этом и многом другом следите за обновлениями!