Cloudflare的威胁事件为安全分析师提供了一个了解全球威胁形势的窗口。该平台提供了Cloudflare每天处理的巨大流量,因此您可以实时查看哪些IP正在攻击特定行业或哪些威胁行为者正在全球范围内发展。然而,将这种可见性转化为主动缓解通常是一个手动、被动的过程。
安全团队一再面临挫折:知道某些IP地址与特定威胁行为者(如Tycoon 2FA或RaccoonO365 )相关联,或者在其他地区被发现针对其特定行业,但除非他们手动配置规则,否则他们无法轻松地在自己的WAF内自动阻止这些高风险IP。
我们很高兴地宣布推出新的集成,将Cloudflare庞大的威胁情报直接引入您的WAF引擎:您现在可以使用实时情报数据编写主动规则。这意味着您可以添加更多智能上下文,以保护您的应用程序免受已知不良行为者的攻击,甚至在他们试图触及您的基础设施之前。
通过在请求的早期阶段填充专门字段, WAF现在可以根据以下内容筛选流量:谁通过匹配特定的威胁行为者名称来攻击谁通过行业或国家/地区过滤器来攻击他们的目标,以查看过去IP的目标是什么类型的攻击使用丰富的威胁环境,按攻击类型( DDoS、WAF、网络犯罪等)和上次看到的时间范围进行过滤这种新功能建立在我们最近引入的相同的始终在线检测框架之上
通过将检测与缓解分开,我们确保威胁情报在后台持续运行,在您决定采取行动之前,通过富有洞察力的威胁元数据丰富您的HTTP请求分析。“始终在线”模式的主要优点是消除了传统的“日志与阻止”权衡:日志模式下的可见性或块模式下的保护。