Mengubah indikator ancaman Cloudflare menjadi aturan WAF waktu nyata

Segera setelah indikator ancaman memasuki sistem, aturan mulai memblokir lalu lintas. Aksi ini terlihat sangat rapi. Langkahnya cepat, umpan baliknya cepat, dan laporannya bagus. Namun begitu hal ini dimasukkan ke dalam produksi, kesulitan sebenarnya bukan lagi mengubah indikator menjadi aturan, namun membuat aturan ini tahan terhadap lalu lintas, kesalahan positif, dan kemunduran.

Saat saya membaca Mengubah indikator ancaman Cloudflare menjadi aturan WAF waktu nyata, yang terlintas di benak saya bukanlah kata-kata mewah “otomatisasi akses intelijen”, tetapi beberapa gambaran yang sangat praktis: sebuah IP ditandai merah dan disadap sepuluh menit kemudian; seorang ASN ditandai dengan risiko tinggi, dan sebagai hasilnya, seluruh jalan keluar bersama (shared exit) terlibat; sampel serangan berumur pendek baru saja memasuki basis aturan, dan lalu lintas serangan telah dihentikan, meninggalkan aturan lama yang terus berlaku. Real-time bukan hanya soal kecepatan, namun juga memampatkan siklus hidup aturan, kredibilitas data, dan tanggung jawab disposisi ke dalam jendela yang sama.

Aturan bisa cepat, asalkan bisa ditarik

Ketika indikator ancaman memasuki WAF, yang pertama kehilangan kesabaran biasanya bukan penyerangnya, melainkan orang yang bertugas. Karena begitu aturan mulai berlaku, yang terjadi selanjutnya bukanlah “peningkatan keamanan” yang abstrak, melainkan cedera yang tidak disengaja, pengajuan banding, pembatalan, dan audit tertentu. Indikator tingkat IP adalah yang paling mudah untuk didelegasikan. Mereka mempunyai serangan satu titik, waktu bertahan hidup yang singkat, dan biaya pemulihan yang rendah. Indikator seperti ASN, segmen jaringan, sidik jari TLS, dan kombinasi permintaan jauh lebih hati-hati. Mereka mencakup area yang lebih luas dan memiliki efek samping yang lebih sulit ketika terkena.

Bagian yang sangat berharga dari hal ini adalah bahwa aturan tidak ditulis sekali dan kemudian selesai, namun muncul dengan TTL, sumber, rentang hit, dan kondisi pembatalan. Tanpa kolom ini, aturan real-time akan dengan cepat berubah menjadi kumpulan catatan larangan yang sudah kadaluwarsa. Jika Anda memblokir serangan hari ini, Anda akan mulai memblokir pengguna normal besok. Bau buruk yang paling umum dalam produksi adalah bahwa basis aturan semakin tebal, dan yang dipertahankan bukanlah penilaian yang efektif, tetapi emosi historis.

Sebuah buffer harus dibiarkan di antara lapisan indikator dan lapisan tindakan.

Menerjemahkan indikator ancaman langsung ke dalam aturan blok tentu saja merupakan langkah tercepat, namun langkah ini juga merupakan langkah termudah untuk memperbesar kesalahan intelijen menjadi kecelakaan online. Pendekatan yang lebih stabil biasanya dengan meninggalkan lapisan penyangga antara indikator dan tindakan, membiarkan sinyal yang sama melewati pengamatan, tantangan, dan batas kecepatan terlebih dahulu, dan kemudian memutuskan apakah akan benar-benar memblokirnya. Jika lapisan penyangga ini hilang, semakin cepat indikator diperbarui, semakin cepat pula aturan tersebut rusak secara tidak sengaja.

Ketika benar-benar diterapkan, aturan yang terbaik adalah tidak menggunakan tombol on/off yang datar, namun serangkaian status yang dapat mengekspresikan intensitas tindakan: rekam terlebih dahulu, lalu tantang, lalu batasi arus, dan terakhir masukkan intersepsi. Manfaat dari hal ini sangatlah jelas, peraturan dapat ditingkatkan secara bertahap seiring dengan semakin kuatnya bukti yang ada, dan dapat dengan cepat diturunkan peringkatnya jika bukti semakin lemah. Bagi tim keamanan, hal ini dapat menjaga kredibilitas lebih baik dibandingkan mengisi seluruh aturan sekaligus; dari sisi bisnis, setidaknya mereka bisa melihat fluktuasi yang tidak normal saat pertama kali muncul, daripada menunggu hingga tiket layanan pelanggan menumpuk untuk mengetahui apa yang terjadi.

{
  "action": "challenge",
  "scope": "path:/login",
  "ttl": "15m",
  "confidence": 0.82
}

Struktur ini terlihat sederhana, namun sebenarnya sangat penting. Ketika confidence rendah, tantangan pertama lebih seperti penilaian teknik daripada intersepsi langsung; ttl secara otomatis kedaluwarsa setelah kedaluwarsa untuk menghindari informasi lama yang tertinggal; scope direduksi menjadi suatu jalur atau segmen lalu lintas sehingga area kerusakan yang tidak disengaja tidak akan membesar tanpa batas.

Tanpa adanya peninjauan, peraturan hanya akan bertambah panjang dan terlihat seperti tumpukan sampah.

Ketakutan terbesar terhadap WAF real-time bukanlah tingkat hit yang rendah, namun tidak ada yang tahu apa yang terjadi setelah serangan tersebut. Setelah aturan dirilis, Anda harus dapat melihat kembali tiga hal: berapa banyak serangan nyata yang diblokir, berapa banyak permintaan normal yang terbunuh secara tidak sengaja, dan apakah ada metode bypass baru setelah serangan tersebut. Hanya dengan menghubungkan ketiga hal ini maka aturan tersebut dapat dianggap dapat dijalankan dan dipelihara; tanpa salah satu dari mereka, pada akhirnya akan menjadi tindakan inersia “memblokirnya terlebih dahulu”.

Ini juga merupakan bagian yang paling diremehkan dari otomatisasi indikator ancaman. Mungkin ada banyak sumber indikator, dan pembaruan intelijen mungkin sering dilakukan, namun tanpa umpan balik yang stabil, peraturan akan selalu berjalan begitu saja. Sistem yang benar-benar matang akan mencatat tingkat keberhasilan, jumlah rollback, jumlah rilis manual, alarm terkait, dan kerugian bisnis dari setiap aturan. Pada titik ini, aturannya tidak lagi sekadar konfigurasi keamanan, namun pembuangan catatan dengan rantai bukti.

Kumpulan alat ini hanya cocok untuk tim yang sudah memiliki kemampuan pembuangan

Mengubah indikator ancaman menjadi aturan WAF secara real-time tidak cocok untuk semua skenario. Untuk sistem dengan lalu lintas kecil, permukaan serangan sempit, dan tugas manual yang cukup cepat, seringkali lebih merepotkan jika terus mengandalkan aturan statis dan pembaruan manual. Yang sangat membutuhkan kemampuan ini biasanya adalah tim dengan traffic padat, kepadatan serangan tinggi, sering berganti aturan, dan sudah memiliki log, review, dan proses tugas.

Ketika sistem jenis ini diimplementasikan, manfaatnya bukan sekadar “berhenti lebih cepat”. Hal yang lebih penting adalah mengubah pembuangan keselamatan dari penilaian manual yang hanya dilakukan satu kali saja menjadi rantai pelaksanaan yang dapat dibatalkan, dapat ditinjau, dan bertahap. Keuntungan platform seperti Cloudflare dalam melakukan hal ini bukan hanya dapat memperoleh lebih banyak sinyal ancaman, namun juga memiliki kemampuan untuk mendorong sinyal ke lapisan aturan, dan kemudian menghubungkan lapisan aturan kembali ke pemantauan, rollback, dan audit. Tanpa rantai ini, real-time hanya akan membuat kesalahan terjadi lebih cepat; dengan rantai ini, aturan benar-benar bisa masuk produksi.