Cloudflare IDS
Sistemistica
In questo articolo parliamo del nuovo Cloudflare IDS, un nuovo prodotto Cloudflare prossimo al lancio che ha lo scopo di monitorare la rete e avvisare in caso di un sospetto attacco. Con una profonda integrazione in Cloudflare One, il sistema di rilevamento delle intrusioni Cloudflare offre una visione generale della rete globale e ispezionando tutto il traffico per rilevare eventuali comportamenti errati. Indipendentemente dal fatto che il sospetto attacco provenga dall'esterno o dall'interno della rete.
Cloudflare IDS analizza la rete senza sforzo.
Le aziende solitamente creano regole firewall per mantenere le proprie reti al sicuro da minacce esterne e interne. Quando i malintenzionati tentano di attaccare una rete, quei firewall verificano se l'attacco corrisponde a uno schema di regole e nel caso, il firewall, interviene per bloccare l'attacco.
solitamente si configurano queste regole attraverso i firewall fisici, spesso di marche e modelli diversi, distribuiti in posizioni fisiche. Cloudflare ha recentemente annunciato il suo Magic Firewall, firewall a livello di rete Cloudflare consegnati nei loro data center in tutto il mondo. Con questa soluzione si potrà scrivere la regola firewall una sola volta e distribuirla su Cloudflare, di modo che la loro rete globale possa proteggere gli uffici e i diversi data center, senza la necessità di hardware on-premise.
Ma questa soluzione è ottimale quando si conosce la provenienza degli attacchi. Se non si dispone di tale certezza, trovare questi tipi di attacchi diventa costoso. Gli aggressori sofisticati possono stimolare le difese di una rete per determinare quali regole esistono o non esistono, sfruttando queste informazioni per lanciare attacchi più silenziosi. O peggio ancora per “compromettere” i dipendenti e attaccare dall'interno.
Cloudflare Intrusion Detection System (IDS), fornisce invece una soluzione (più sofisticata) in grado di analizzare l'intera rete contemporaneamente avvisando in caso di eventi particolari che potrebbero non essere rilevati in base alla regola scritta.
Cloudflare IDS rappresenta un pezzo critico di Cloudflare One. Con WARP che collega i dispositivi e Magic Transit che collega gli uffici e i data center a Cloudflare, Cloudflare IDS si posiziona sopra entrambi, permettendo di esaminare e valutare tutto il traffico contemporaneamente. Ciò restituisce una visione unica di quello che sta accadendo all'interno della rete e dove potrebbero essersi verificate le violazioni. Cloudflare IDS (assicura Cloudflare) migliora costantemente anche l'identificazione di minacce e attacchi. È possibile scegliere di ricevere avvisi e, con un solo clic, bloccare rapidamente e facilmente i tentativi di intrusione che superano le regole statiche. Ancora più importante, è la possibilità di trarre vantaggio dall’intelligenza del sistema Cloudflare il quale apprende dagli attacchi in altre regioni o settori per segnalare gli eventi che hanno un impatto sul sistema.
Il funzionamento
Presumiamo una violazione:
I modelli di sicurezza legacy si fidavano implicitamente di qualsiasi connessione all'interno della rete. Ciò li ha resi vulnerabili a violazioni e attacchi da parte di malintenzionati provenienti dall'interno. Il concetto di ZeroTrust ribalta il modello assumendo che ogni connessione sia pericolosa. Invece di aspettare le prove che si è verificata una violazione definitiva, si presume che sia già avvenuta.
Per implementare il modello ZeroTrust in modo efficace, sono necessari due componenti principali:
- Una visione completa dell'intera rete, che viene costantemente analizzata per individuare i problemi che le regole statiche potrebbero aver mancato
- Un sistema di rilevamento delle intrusioni (acquistato o prodotto in casa), che effettua l'analisi.
Parte di ciò che guida l'efficacia di Cloudflare IDS è la sua profonda integrazione con Cloudflare One.
WARP e Magic Transit forniscono il primo componente, consentendo di connettere l'intera rete e tutti i dispositivi a Cloudflare, offrendo una vista generale su ogni singolo pacchetto e connessione.
Cloudflare IDS aiuta quindi a rilevare gli attacchi provenienti da qualsiasi parte della rete esaminando attivamente il traffico e il contenuto del traffico. Cloudflare IDS (come ci spiega Cloudflare) dovrebbe funzionare in due modi:
- Forma del traffico
- Ispezione del traffico.
Osservando il comportamento del traffico sulla tua rete, possiamo apprendere qual è il comportamento normale. Un utente normalmente accede solo a un singolo sistema ogni giorno, accede solo a determinate applicazioni ecc. Non ci si aspetta che qualcuno tenti di accedere a molti sistemi immediatamente o che esegua la scansione delle porte della rete. Questi sono chiari segni che lasciano intendere una cattiva intenzione.
L'altra forma di rilevamento delle intrusioni che Cloudflare utilizza è l'ispezione del traffico: esamina il traffico di rete per individuare eventuali attacchi molto mirati. Questi stili di attacchi non possono essere rilevati utilizzando i metodi tradizionali perché essi vengono percepiti come traffico normale. Solo guardando all'interno è possibile notare se qualcuno sta provando a compiere qualcosa di potenzialmente dannoso.
Immunità di gregge
Gli aggressori tendono a seguire uno schema, ripetendo le stesse modalità di attacco su imprese differenti.
Negli ultimi tempi infatti è stato osservato un incremento di minacce di questo tipo, poiché attacchi come le “campagne DDoS Fancy Bear” si spostano da un'organizzazione all'altra, impiegando la stessa tattica.
Più sicuri insieme. CloudFlare IDS impara dagli attacchi diretti alla sua stessa rete Clouflare ma anche da quelli diretti ai suoi clienti così da identificare continuamente i nuovi tipi di attacchi che vengono lanciati. In questo modo (spiega la stessa Cloudflare) è possibile offrire (all’adottatore dell’IDS) il beneficio delle lezioni apprese protegendo se stessa e gli altri clienti. La piattaforma inoltre consente di incorporare i feed delle minacce esterne e permette anche di caricare la propria.
Aiuto alla CPU
Un grosso problema delle soluzioni IDS (che siano costruite internamente o acquistate) è che sono notoriamente “affamate” di CPU. Queste soluzioni hanno la necessità di mantenere molto stato in memoria e richiedono molti calcoli per funzionare in maniera efficace e precisa.
Con Cloudflare IDS, costruito da zero per essere scalabile all'infinito, è possibile invece scaricare questo carico sulla rete Cloudflare. Ogni “data center edge” esegue esattamente lo stesso software, consentendo di gestire il carico di lavoro in maniera efficiente e su vasta scala. Con Cloudflare IDS è possibile dunque rimuovere il carico di risorse computazionali delle soluzioni legacy riducendo le preoccupazioni in merito alla capacità.
Incredibilmente facile da attivare
Cloudflare assicura che il suo sistema IDS è estremamente semplice da attivare. Una volta distribuito Cloudflare IDS basterà un semplice click e il sistema inizierà ad analizzare gli schemi del traffico Magic Transit e degli eventi Magic Firewall per confrontarli con i loro feeds delle minacce.
Quando accade qualcosa di sospetto e minaccioso verrà notificato un segnale di allarme. Da questo momento in poi sarà possibile esaminare il tentativo di intrusione e stabilire cosa è successo. sarà possibile ottenere maggiori informazioni sul tipo di attacco e sul punto in cui si è verificato. La riparazione è poi a portata di clic: sarà infatti sufficiente impostare una regola e inviarla alla rete globale di Cloudflare e (assicura sempre Cloudflare), l'attacco verrà fermato di colpo.