Cloudflare uvodi nova WAF pravila temeljena na obavještajnim podacima o prijetnjama u stvarnom vremenu

Cloudflare je najavio novu integraciju koja Threat Events i Cloudforce One obavještajne podatke izravno povezuje s WAF motorom, pa sigurnosni timovi sada mogu pisati proaktivna pravila na temelju živih podataka o prijetnjama. Tvrtka navodi da se time u WAF mogu unositi dodatni kontekstni signali kako bi se aplikacije štitile od poznatih zlonamjernih aktera prije nego što pokušaju dosegnuti infrastrukturu.

Nova mogućnost oslanja se na polja koja se popunjavaju u ranoj fazi obrade zahtjeva. WAF tako može provjeravati tko napada, prema imenima određenih prijetiteljskih skupina; koga su ti IP-ovi ranije ciljali, kroz filtre za industriju i državu; te o kakvoj je vrsti napada riječ, uz podatke o napadu, vremenu kada je posljednji put viđen i vrsti izvora poput DDoS-a, WAF-a ili cyberkriminala. Cloudflare navodi da je ovo temeljeno na istom uvijek aktivnom okviru za detekciju koji je nedavno predstavljen za Attack Signature Detection.

Tvrtka dodaje da takav model uklanja klasičnu dilemu između rada u log modu i rada u block modu. Prema opisu Cloudflarea, kad pravilo blokira zahtjev, gubi se dio uvida u to kako bi ga druge signature procijenile, a upravo bi taj uvid mogao pomoći pri daljnjem jačanju obrane. Ako korisnici imaju Cloudforce One pretplatu, ti se uvidi automatski prikazuju u analitici, uključujući podatke o tome koji prijetiteljski akteri pogađaju njihovu stranicu i koje industrije ti IP-ovi obično ciljaju.

Cloudflare također navodi da se detekcije izvršavaju uz zanemarivu latenciju, dok početno izdanje ostaje usmjereno na podudaranje na temelju IP adresa. Tvrtka kaže i da već razmatra proširenje na JA3 otiske i podudaranje na temelju domena, što bi omogućilo blokiranje zlonamjernog prometa i kada napadači rotiraju IP adrese. Za WAF su otvorena i konkretna polja kao što su cf.intel.ip.attacker_names, cf.intel.ip.target_industries, cf.intel.ip.attacker_countries, cf.intel.ip.target_countries i cf.intel.ip.datasets, a Cloudflare navodi da su ti signali dostupni i kroz API te Terraform za korisnike koji žele automatizirati pravila u postojećim tokovima rada.