Cloudflare запускает элитную службу REACT для реагирования на киберинциденты

Оглавление

• Проблема фрагментированной безопасности
• Как работает REACT
• Ключевые преимущества подхода Cloudflare
• Основные угрозы, наблюдаемые командой REACT
  • Высокоэффективные угрозы со стороны инсайдеров
  • Атаки вымогателей
  • Бреши в безопасности приложений и цепочках поставок

Cloudflare представляет новую службу реагирования на инциденты REACT, которая объединяет защиту на границе сети с внутренним расследованием и восстановлением. Сервис призван устранить разрыв между обнаружением угроз и их полным устранением.

Проблема фрагментированной безопасности

Несмотря на то, что Cloudflare ежедневно блокирует в среднем 190 миллиардов киберугроз, реальный ущерб часто происходит внутри сетей клиентов. Компания столкнулась с ситуациями, когда вымогатели парализовали финансовые операции, утечки данных разрушали бизнес риелторских фирм, а ошибки конфигурации приводили к масштабным потерям информации.

В каждом случае возникала одна и та же проблема: клиентам приходилось передавать инциденты отдельным внутренним командам для расследования и восстановления. Эти передачи создавали задержки и фрагментировали ответные меры, что давало атакующим дополнительное время для эксплуатации уязвимостей.

Интеграция защиты на границе с внутренним расследованием — это логичный следующий шаг для Cloudflare. Компания наконец-то признала, что блокировки трафика недостаточно, когда атака уже проникла внутрь. Интересно, как это повлияет на рынок традиционных MSSP-провайдеров, которые специализируются именно на реагировании на инциденты.

Как работает REACT

Новая служба состоит из двух основных компонентов: консультационных услуг по безопасности для подготовки к инцидентам и непосредственного реагирования на чрезвычайные ситуации.

Консультационные услуги предназначены для оценки и улучшения состояния безопасности организаций. Они включают:

• Проактивный поиск угроз на основе глобальной аналитики угроз Cloudflare
• Учения по отработке действий при смоделированных атаках
• Оценки готовности к инцидентам и зрелости процессов безопасности

Компонент реагирования на инциденты активируется во время активного кризиса безопасности. Команда специализируется на сложных угрозах, включая:

• Деятельность APT-групп и государственных структур
• Вымогательские атаки
• Угрозы со стороны инсайдеров
• Компрометацию корпоративной почты

Ключевые преимущества подхода Cloudflare

Сервис предлагает несколько уникальных преимуществ по сравнению с традиционными решениями для реагирования на инциденты:

• Беспрецедентная видимость угроз: Около 20% интернета работает через сеть Cloudflare, что дает команде уникальную возможность наблюдать за атаками в реальном времени по всему миру
• Сетевая нейтрализация: Команда может развертывать меры защиты непосредственно на границе Cloudflare, сокращая время между обнаружением и сдерживанием угрозы
• Независимость от поставщиков: Сервис доступен как клиентам Cloudflare, так и другим организациям, независимо от их технологического стека

Основные угрозы, наблюдаемые командой REACT

Анализ последних шести месяцев работы команды выявил три основные тенденции:

Высокоэффективные угрозы со стороны инсайдеров

Команда REACT наблюдает значительное количество инцидентов, вызванных инсайдерами, которые используют доверенный доступ для обхода типичных средств контроля безопасности. Эти угрозы трудно обнаружить, поскольку они часто сочетают технические действия с нетехническими мотивациями.

Атаки вымогателей

Вымогатели продолжают оставаться основной причиной инцидентов высокой серьезности, представляя экзистенциальную угрозу практически для каждого сектора. Остановка этих атак требует не только надежной защиты, но и хорошо отработанного плана восстановления.

Бреши в безопасности приложений и цепочках поставок

Команда REACT также отмечает значительный рост уязвимостей в этой области, что требует дополнительного внимания и специализированных мер защиты.

По материалам Cloudflare Blog