Een grote uitdaging waar securitymanagers momenteel mee worstelen, is het analyseren van alle gedetecteerde cyberdreigingen in de indicatorfeeds. Deze leveren metadata over allerlei inbreukindicatoren (IOC’s), zoals IP-adressen, ASN’s, domeinen, URL en hashes. Hoewel er meer indicatorfeeds voor dreigingsinformatie beschikbaar komen, bevatten veel feeds echter amper contextuele informatie over de reden waarom een indicator in de feed is opgenomen. Cloudforce One geeft zowel een realtime inzicht in cyberdreigingen als de benodigde context.

Nog een beperking van veel feeds is dat ze zich uitsluitend op blokkeerbare indicatoren richten en complexere gevallen niet eenvoudig kunnen verwerken, zoals een bedreiging die misbruik maakt van een CVE of een interne bedreiging. In plaats daarvan wordt dit soort complexere dreigingsinformatie voor uitgebreide rapportages bewaard. Die rapporten zijn echter ook een uitdaging, vanwege de tijd die nodig is voor het schrijven en bewerken van zo’n document, wat veel tijd in beslag kan nemen, waardoor de dreigingsinformatie wellicht niet tijdig beschikbaar is.

Oplossing
Als oplossing voor de hiervoor genoemde uitdagingen is het Cloudforce One dreigingsplatform ontwikkeld. Cloudflare blokkeert dagelijks vele miljarden cyberdreigingen en via het nieuwe platform zijn deze met contextuele gegevens over alle gedetecteerde dreigingen in realtime te bekijken. Speciaal ontworpen om securityteams en hun -managers van bruikbare informatie te voorzien vanuit een wereldwijd perspectief.
Cloudflare verwerkt gemiddeld 71 miljoen HTTP-verzoeken en 44 miljoen DNS-query’s per seconde. Dit verkeersvolume levert waardevolle inzichten en een compleet beeld van actuele dreigingen op. Cloudforce One benut de informatie die dit verkeer oplevert voor een uitgebreid, realtime overzicht van de dreigingsactiviteiten op het internet. Om organisaties te helpen hun kostbare activa beter beschermen en snel op bedreigingen te kunnen reageren.

Gebeurtenissen detecteren en in kaart brengen
De enorme hoeveelheid dreigingen die in het netwerk van Cloudflare wordt waargenomen, is overweldigend voor elk securitysysteem en elke SOC-analist. Daarom bundelt het bedrijf deze activiteit tot een gebeurtenisstroom die niet alleen inbreukindicatoren (IOC’s) bevat, maar ook de bijbehorende context. Hierdoor wordt het eenvoudiger om actie te ondernemen op basis van de unieke gegevens afkomstig van het wereldwijde Cloudflare-netwerk. 
Allereerst worden gebeurtenissen blootgelegd die verband houden met denial-of-service (DOS)-aanvallen die in Cloudflare’s netwerk worden waargenomen, gecombineerd met de geavanceerde dreigingen die door het Cloudforce One Intelligence-team worden getraceerd. Inclusief de hulpmiddelen, technieken en procedures die door de gevolgde kwaadwillenden worden gebruikt.

Toekomst
Cloudflare brengt gebeurtenissen in kaart op basis van het MITRE ATT&CK-framework conform de cyber kill chain-fasen. In de toekomst worden daar gebeurtenissen aan toegevoegd die betrekking hebben op het verkeer dat wordt geblokkeerd door de Web Application Firewall (WAF), Zero Trust Gateway, Zero Trust Email Security Business Email Compromise en andere datasets waar alleen Cloudflare over beschikt. Samen bieden deze gebeurtenissen organisaties een uitgebreid en actueel overzicht van de dreigingsactiviteiten die op het internet plaatsvinden.
Elke dreigingsgebeurtenis omvat de specifieke activiteit die is waargenomen, vergelijkbaar met een STIX2-waarnemingsobject. Daarnaast wordt een samenvatting gegeven van de contextuele informatie, plus een uitgebreide weergave en een overzicht van de MITRE ATT&CK- en Cyber Kill Chain-fasen. Een voorbeeld hiervan is te bekijken de API-documentatie.

Cloudflare’s doel is om organisaties meer inzicht te bieden in de dreigingen die op dat moment plaatsvinden. Dat doen ze door hen belangrijke informatie te verschaffen waarmee ze zowel algemene als specifieke vragen over de cyberdreigingen voor hun organisaties kunnen onderzoeken en beantwoorden. Bijvoorbeeld:

• Wie valt mijn branche aan?
• Wie valt mijn land aan?
• Welke indicatoren kan ik gebruiken om aanvallen op mijn branche te blokkeren?
• Wat heeft een cybercrimineel gedurende een bepaalde periode in de kill chain gedaan?

Elke gebeurtenis heeft een unieke identificatiecode waarmee die aan de geïdentificeerde dreiging wordt gekoppeld. Hierdoor kunnen de Cloudforce One dreigingsinformatie-analisten aanvullende context voor vervolgonderzoeken leveren.

Gefundeerd op Cloudflare Workers AI
Het nieuwe dreigingsplatform is ontwikkeld met behulp van het Cloudflare Developer Platform, omdat zo optimaal gebruik gemaakt kon worden van de veelzijdige functionaliteit en integratie van Cloudflare Workers AI. Het platform is in feite een Cloudflare Worker die gebruikmaakt van SQLite-backed Durable Objects om gebeurtenissen op te slaan die op het Cloudflare-netwerk worden waargenomen. Daarbij is ervoor gekozen om Durable Objects te gebruiken in plaats van D1, Cloudflare’s serverless SQL-databaseoplossing, omdat hiermee dynamisch SQL-tabellen aan te maken zijn om unieke, aanpasbare datasets op te slaan.

Opschalen
Door datasets op deze wijze op te slaan, kan men de dreigingsgebeurtenissen over het netwerk opschalen. Zo is Cloudflare bestand tegen grote datapieken, gezien de onvoorspelbare aard van internet-aanvallen. Hierdoor kan men de gebeurtenissen ook per databron beheren, een subset aan data met vertrouwde partners delen, of de toegang tot bevoegde gebruikers beperken. Tot slot wordt de metadata van elke afzonderlijke dreigingsgebeurtenis in de Durable Object KV opgeslagen, zodat er contextuele data beschikbaar is die verder gaat dan vaste, doorzoekbare velden. Voorbeelden hiervan zijn requests-per-second voor de denial-of-service-gebeurtenissen of broninformatie, zodat analisten van Cloudforce One de gebeurtenis aan de exacte dreigingsactiviteit kunnen koppelen voor nader onderzoek.

Toegang tot dreigingsgebeurtenissen
Organisaties die Cloudforce One gebruiken hebben toegang tot dreigingsgebeurtenissen via het Cloudflare Dashboard in Security Center, of de API voor dreigingsgebeurtenissen in Cloudforce One. Elk van deze filters toont de stroom van dreigingsactiviteiten die op het internet plaatsvindt, zoals waargenomen door Cloudflare. Deze stroom kan worden aangepast met door de gebruiker gedefinieerde filters.
Op het Cloudflare Dashboard hebben gebruikers toegang tot de Attacker Timelapse-weergave, waarmee ze strategische vragen kunnen beantwoorden. Bovendien hebben ze toegang tot een uitgebreide gebeurtenistabel om dieper op de aanvalsdetails in te gaan. Deze aanpak zorgt ervoor dat gebruikers altijd de meest relevante informatie binnen handbereik hebben.

De gebeurtenissentabel is een uitgebreid overzicht in het Security Center waarin gebruikers specifieke dreigingsactiviteiten kunnen analyseren, gefilterd op diverse criteria. Hier kan men specifieke dreigingsgebeurtenissen en vijandige campagnes onderzoeken met behulp van de Cloudflare’s verkeersinzichten. Het allerbelangrijkste is dat deze tabel aan gebruikers bruikbare inbreukindicatoren en een samenvatting van gebeurtenissen levert, zodat ze hun diensten op de juiste manier kunnen verdedigen. Alle data in Cloudflare’s gebeurtenistabel is ook toegankelijk via de API voor dreigingsgebeurtenissen van Cloudforce One.

Praktijkvoorbeeld
Onlangs gelekte chats van de criminele organisatie Black Basta onthulden informatie over hun slachtoffers, methoden en infrastructuuraankopen. Hoewel niet te bevestigen is of de gelekte chats op enigerlei wijze waren gemanipuleerd, was de betreffende infrastructuur eenvoudig te verifiëren. Als gevolg daarvan is deze dreigingsinformatie nu beschikbaar in de vorm van dreigingsgebeurtenissen, compleet met alle unieke contextgegevens van Cloudflare.
Analisten die de domeinen, hosts en bestandsamples zoeken die Black Basta gebruikt, kunnen dankzij de dreigingsgebeurtenissen waardevolle inzichten verkrijgen in de activiteiten van deze aanvaller. In de gebruikersinterface voor dreigingsgebeurtenissen kan men bijvoorbeeld de kolom ‘Aanvaller’ filteren door ‘BlackBasta’ uit het keuzemenu te selecteren, zie onderstaande afbeelding. Dit levert een samengestelde lijst op met geverifieerde IP-adressen, domeinen en bestandshashes voor verder onderzoek. Lees voor meer informatie over dit unieke inzicht in de dreigingsactiviteiten van Black Basta: Black Basta’s blunder: de gelekte groepschats.

Waarom dreigingsgebeurtenissen publiceren?
Organisaties worden geconfronteerd met steeds meer cyberdreigingen die de bedrijfsvoering kunnen verstoren en gevoelige gegevens in gevaar kunnen brengen. Omdat cybercriminelen steeds geraffineerder worden, is de behoefte aan tijdige en relevante dreigingsinformatie groter dan ooit. Daarom publiceert Cloudflare de beschikbare informatie over dreigingsgebeurtenissen, om een beter inzicht in het dreigingslandschap te bieden.
Het Cloudforce One dreigingsplatform wil aan deze behoefte voldoen met een uitgebreider en meer gecontextualiseerd overzicht van actuele dreigingsactiviteiten. Hiermee kunnen analisten de incidenten zelf via aanpasbare filters onderzoeken en verder analyseren om patronen te identificeren en effectieve tegenmaatregelen te treffen. Door toegang te bieden tot realtime dreigingsgegevens, kunnen organisaties in staat weloverwogen beslissingen nemen over hun beveiligingsstrategieën.

Meer visualisaties en analyses
Organisaties die Cloudforce One gebruiken hebben nu toegang tot de API en het dashboard, waardoor ze de dreigingsinformatie naadloos in hun bestaande systemen kunnen integreren. Straks krijgen ze ook toegang tot meer visualisaties en analyses van dreigingsgebeurtenissen, waardoor ze hun bevindingen beter kunnen begrijpen en er beter over kunnen rapporteren.
De nieuwe gebruikersinterface bevat binnenkort al verbeterde visualisaties van aanvalstijdlijnen, campagneoverzichten en aanvalsgrafieken, die nog meer inzicht geven in de cyberdreigingen voor organisaties. Tevens is het dan mogelijk om deze service in bestaande SIEM-platforms te integreren en de indicatoren met andere systemen te delen. Geïnteresseerden kunnen online al meer informatie lezen over het dreigingsinformatie-onderzoek dat het Cloudflare-team publiceert.