Cloudflare'in tehdit göstergelerini gerçek zamanlı WAF kurallarına dönüştürme

Sisteme bir tehdit göstergesi girdiği anda kurallar trafiği engellemeye başlıyor. Bu eylem çok zarif görünüyor. Hız hızlı, geri bildirim hızlı ve raporlar güzel. Ancak bu şey üretime alındıktan sonra asıl zorluk artık göstergeyi bir kurala dönüştürmek değil, bu kuralı trafiğe, yanlış pozitiflere ve geri dönüşlere karşı koymaktır.

Cloudflare’in tehdit göstergelerini gerçek zamanlı WAF kurallarına dönüştürmek’i okuduğumda aklıma süslü “istihbarat erişim otomasyonu” sözcükleri değil, çok pratik birkaç resim geldi: bir IP kırmızı olarak işaretlendi ve on dakika sonra ele geçirildi; bir ASN yüksek riskli olarak işaretlenmişti ve sonuç olarak ortak bir çıkışın tamamı söz konusuydu; kısa ömürlü bir saldırı örneği kural tabanına yeni girmiş ve saldırı trafiği kesilerek geçerliliğini koruyan eski bir kural bırakılmıştır. Gerçek zaman burada sadece hızla ilgili değildir; kural yaşam döngüsünü, veri güvenilirliğini ve elden çıkarma sorumluluklarını aynı pencerede sıkıştırır.

Kurallar geri çekilebilmek şartıyla hızlı olabilir

Bir tehdit göstergesi WAF’a girdiğinde sabrını ilk kaybeden genellikle saldırgan değil, görevdeki kişi olur. Çünkü bir kural yürürlüğe girdiğinde, bunu takip eden şey soyut “güvenlik iyileştirmesi” değil, belirli kazara yaralanmalar, itirazlar, geri almalar ve denetimlerdir. IP düzeyindeki göstergeler devredilmesi en kolay olanlardır. Tek nokta vuruşları, kısa hayatta kalma süreleri ve düşük kurtarma maliyetleri vardır. ASN, ağ segmenti, TLS parmak izi ve istek kombinasyonu gibi göstergeler çok daha temkinli. Daha geniş bir alanı kaplarlar ve vurulduğunda daha zor yan etkilere sahiptirler.

Bunun gerçekten değerli olan kısmı, kuralların bir anda yazıp bitirilmesi değil, TTL, kaynak, isabet aralığı ve geri alma koşullarıyla birlikte görünmesidir. Bu alanlar olmadan, gerçek zamanlı kurallar hızla bir sürü süresi dolmuş yasaklama kaydına dönüşecektir. Bugün bir saldırıyı engellerseniz yarın normal kullanıcıları engellemeye başlayacaksınız. Üretimdeki en yaygın kötü koku, kural tabanının gittikçe kalınlaşması ve korunan şeyin etkili muhakeme değil, tarihsel duygular olmasıdır.

Gösterge katmanı ile eylem katmanı arasında tampon bırakılmalıdır.

Tehdit göstergelerini doğrudan blok kurallarına dönüştürmek elbette en hızlı adımdır ancak bu adım aynı zamanda istihbarat hatalarını çevrimiçi kazalara dönüştürmek için de en kolay adımdır. Daha istikrarlı bir yaklaşım genellikle gösterge ile eylem arasında bir tampon katmanı bırakmak, aynı sinyalin önce gözlem, sorgulama ve hız sınırından geçmesine izin vermek ve ardından onu gerçekten engelleyip engellememeye karar vermektir. Bu tampon katmanı kaybolduğunda, göstergeler ne kadar hızlı güncellenirse, kurallar da kazara o kadar hızlı hasar görür.

Gerçekte uygulandığında, kuralın düz bir açma/kapama düğmesi değil, eylemin yoğunluğunu ifade edebilen bir dizi durum olması en iyisidir: önce kaydedin, sonra sorun, sonra akımı sınırlayın ve son olarak müdahaleye girin. Bunun faydası açıktır; kanıtlar güçlendikçe kurallar kademeli olarak yükseltilebilir ve kanıtlar zayıfladığında hızla düşürülebilir. Güvenlik ekibi için bu, güvenilirliği tüm kuralları bir kerede doldurmaktan daha iyi koruyabilir; İş dünyası açısından, ne olduğunu öğrenmek için müşteri hizmetleri biletlerinin birikmesini beklemek yerine, en azından anormal dalgalanmaları ilk ortaya çıktıklarında görebilirler.

{
  "action": "challenge",
  "scope": "path:/login",
  "ttl": "15m",
  "confidence": 0.82
}

Bu yapı basit gibi görünse de aslında çok önemlidir. confidence düşük olduğunda, ilk önce meydan okumak doğrudan müdahaleden çok mühendislik kararına benzer; ttl, eski bilgilerin bir kenarda asılı kalmasını önlemek için, son kullanma tarihinden sonra otomatik olarak sona erer; scope, kaza sonucu oluşan hasar alanının sonsuza kadar genişlememesi için bir yola veya trafik bölümüne indirgenmiştir.

İnceleme yapılmazsa kurallar daha da uzayacak ve çöp yığını gibi görünecek.

Gerçek zamanlı WAF’ın en büyük korkusu isabet oranının düşük olması değil, isabet sonrasında ne olduğunu kimsenin bilmemesidir. Kurallar yayınlandıktan sonra geriye dönüp üç şeye bakabilmeniz gerekir: Kaç tane gerçek saldırının engellendiği, kaç tane normal isteğin kazara öldürüldüğü ve isabetlerden sonra yeni bypass yöntemlerinin olup olmadığı. Yalnızca bu üç şeyi birbirine bağlayarak kuralın uygulanabilir ve sürdürülebilir olduğu düşünülebilir; bunlardan hiçbiri olmazsa, eninde sonunda “zaten ilk önce onu engellemek” şeklinde eylemsiz bir eylem haline gelecektir.

Bu aynı zamanda tehdit göstergesi otomasyonunun en hafife alınan kısmıdır. Göstergelerin birçok kaynağı olabilir ve istihbarat güncellemeleri sık olabilir, ancak istikrarlı bir geri bildirim döngüsü olmadığında kurallar her zaman ileriye doğru ilerleyecektir. Gerçekten olgun bir sistem, her kuralın isabet oranını, geri alma sayısını, manuel sürüm sayısını, ilgili alarmları ve iş kayıplarını kaydedecektir. Bu noktada kurallar artık sadece güvenlik konfigürasyonları değil, kanıt zinciri ile imha kayıtlarıdır.

Bu araç seti yalnızca halihazırda imha etme becerisine sahip olan ekipler için uygundur

Tehdit göstergelerini gerçek zamanlı olarak WAF kurallarına dönüştürmek her senaryo için uygun değildir. Trafiği az, saldırı yüzeyi dar ve manuel olarak yeterince hızlı çalışan sistemler için, statik kurallara ve manuel güncellemelere güvenmeye devam etmek genellikle daha zahmetlidir. Bu yeteneğe gerçekten ihtiyaç duyanlar genellikle yoğun trafiğe sahip, saldırı yoğunluğu yüksek, sık kural değiştiren, halihazırda log, inceleme ve görev süreçlerine sahip ekiplerdir.

Bu tür bir sistem uygulandığında, değer yalnızca “daha hızlı durmak” değildir. Daha da önemlisi, güvenli imha işlemini tek seferlik manuel karardan, iptal edilebilir, gözden geçirilebilir ve derecelendirilebilir bir yürütme zincirine dönüştürmektir. Cloudflare gibi bir platformun bunu yapmasının avantajı, yalnızca daha fazla tehdit sinyali alabilmesi değil, aynı zamanda sinyalleri kural katmanına gönderme ve ardından kural katmanını tekrar izleme, geri alma ve denetime bağlama yeteneğine sahip olmasıdır. Bu zincir olmadan, gerçek zaman yalnızca hataların daha hızlı gerçekleşmesine neden olur; Bu zincirle kurallar gerçek anlamda üretime girebilir.