Protegemos Cloudflare con Cloudflare One

Cómo proteger a un número cada vez mayor de usuarios en un modelo de trabajo híbrido

Desde el inicio de nuestra andadura en 2010, Cloudflare ha priorizado el uso de nuestros propios servicios para resolver nuestros desafíos de informática y de seguridad. Este enfoque nos ayuda a probar y mejorar las funciones antes de ofrecerlas a los clientes y ha sido fundamental en la forma en que Cloudflare ha protegido a sus usuarios.

A medida que las superficies de ataque de Cloudflare crecen con la incorporación de más empleados, clientes y tecnología, tenemos la obligación de seguir reforzando nuestra postura de seguridad y dotar a nuestros equipos de informática y de seguridad con mayor visibilidad y control. En respuesta, hemos creado y adoptado los servicios de Cloudflare One, nuestra plataforma SASE y SSE, para proteger el acceso a las aplicaciones, defendernos de las ciberamenazas y salvaguardar los datos confidenciales.

Cloudflare cuenta con una plantilla de más de 3500 profesionales en docenas de oficinas y ubicaciones remotas. Este caso práctico explora cómo Cloudflare utiliza nuestros servicios Cloudflare One para garantizar la seguridad y la productividad de los usuarios en toda la organización.

"Proteger Cloudflare con nuestros servicios es la forma más eficaz no solo de defender nuestro negocio, sino también de innovar para nuestros clientes", afirma Grant Bourzikas, director de seguridad. "Nuestro compromiso de proteger Cloudflare con nuestras soluciones ayuda a nuestro equipo y servicios de seguridad a estar a la vanguardia a medida que siguen creciendo las aspiraciones y la complejidad de nuestra organización".

Cómo proteger el acceso a las aplicaciones

Cloudflare usa las prácticas recomendadas de Zero Trust para proteger el acceso de los usuarios, remotos o presenciales, a todas las aplicaciones autoalojadas. En concreto, utilizamos nuestro servicio de acceso a la red Zero Trust (ZTNA) (Cloudflare Access) para verificar la identidad, aplicar la autenticación multifactor (MFA) con claves físicas, y evaluar la postura del dispositivo para cada solicitud. Esta postura ha evolucionado con los años y ha permitido a Cloudflare proteger a un número cada vez mayor de usuarios de forma más eficaz, y asesorar a los clientes basándonos en nuestras propias experiencias.

El origen de nuestro servicio ZTNA: cómo sustituimos nuestra VPN

El interés de Cloudflare por la seguridad Zero Trust comenzó con un problema práctico que nuestros ingenieros resolvieron por sí mismos: la optimización del acceso a los entornos de los desarrolladores sin los problemas de una red privada virtual (VPN).

En 2015, cuando los usuarios teletrabajaban en contadas ocasiones, se veían obligados a redireccionar el tráfico a través de un dispositivo VPN local para acceder a las aplicaciones autoalojadas. La latencia y la falta de respuesta de la VPN frustraban especialmente a los ingenieros de guardia, que tenían que conectarse a horas intempestivas para resolver problemas urgentes.

Para resolver sus propios desafíos, nuestros ingenieros crearon Cloudflare Access, que comenzó como un servicio de proxy inverso que enrutaba las solicitudes de acceso a través del centro de datos de Cloudflare más cercano, en lugar de realizar un redireccionamiento a través del hardware de la VPN. Para cada solicitud, Access verificaba a los usuarios basándose en nuestro proveedor de identidad en una ventana del navegador, evitando los inconvenientes y riesgos de recordar las credenciales de inicio de sesión del cliente VPN.

Esta sencilla experiencia de autenticación promovió la adopción orgánica de Access para más aplicaciones y redujo aún más la dependencia de la VPN. Los ingenieros empezaron protegiendo Grafana con este nuevo flujo de trabajo de autenticación, seguida de aplicaciones web como nuestra suite Atlassian y, finalmente, incluso recursos no HTTP.

La repentina transición al teletrabajo durante la pandemia no hizo sino acelerar esta migración de aplicaciones protegidas por Access. En verano de 2020, los equipos de informática de Cloudflare habían logrado una reducción de aproximadamente el 80 % en el tiempo dedicado a responder a incidencias relacionados con la VPN y una reducción de aproximadamente el 70 % en el volumen de incidencias en comparación con el año anterior, lo que supuso un ahorro de tiempo estimado en 100 000 dólares anuales.

A principios de 2021, el equipo de seguridad de Cloudflare ordenó que todas las aplicaciones autoalojadas se trasladaran a Access, lo que nos ayudó a reducir nuestra superficie de ataque con controles de privilegios mínimos, denegación por defecto y basados en la identidad. Ese mismo año, Cloudflare eliminó por completo su VPN, y hemos traducido nuestras experiencias en orientaciones normativas para otras organizaciones.

El proceso de altas y bajas de empleados también se ha simplificado. Los usuarios nuevos ya no tienen que aprender a configurar una VPN, lo que supone un ahorro de más de 300 horas anuales para los cientos de nuevos empleados contratados en 2020. En su lugar, la configuración del acceso a las aplicaciones se ha automatizado en gran medida gracias a la integración de Cloudflare con la herramienta de infraestructura como código Terraform.

"La sustitución de nuestra VPN y la implementación del modelo Zero Trust internamente permite a nuestros compañeros conectarse a las aplicaciones de una forma más rápida, segura y sencilla, y seguir siendo productivos, sostiene Derek Pitts, director de seguridad. "Con nuestro servicio ZTNA, Cloudflare no tiene que elegir entre mejorar la seguridad y crear una experiencia de usuario asombrosa".

MFA de clave de seguridad física y cómo evitar un ataque de phishing selectivo

Desde la implementación interna de ZTNA, Cloudflare ha adoptado la MFA. Empezamos con claves temporales como contraseñas de un solo uso de duración definida (TOTP) entregadas a través de texto, correo electrónico y aplicaciones. A partir de 2018, el equipo de seguridad de Cloudflare empezó a distribuir claves físicas como forma opcional de autenticación en aplicaciones específicas.

El mayor cambio en este enfoque de MFA comenzó en febrero de 2021, cuando los ataques de ingeniería social contra usuarios, incluidas llamadas haciéndose pasar por el departamento de informática de Cloudflare, se hicieron más frecuentes. En respuesta, Cloudflare empezó a exigir la autenticación con claves físicas compatibles con FIDO2 para todas las aplicaciones y usuarios, un enfoque más resistente al phishing. Ya sea en portátiles corporativos o en dispositivos móviles personales, ahora todos los empleados deben utilizar su clave de seguridad validada por FIPS de YubiKey para acceder a una aplicación, y se han desactivado todas las demás formas de MFA. Este método también aprovecha una criptografía más sólida a través del protocolo estándar WebAuthn.

Este método de clave de seguridad física se puso a prueba en agosto de 2022, cuando Cloudflare evitó un ataque de phishing selectivo que consiguió vulnerar a otras grandes empresas. Un total de 76 empleados de Cloudflare recibieron textos de aspecto legítimo que conducían a una página falsa de inicio de sesión de Okta. Los ciberdelincuentes introdujeron las credenciales obtenidas en el sitio de inicio de sesión real del proveedor de identidad en tiempo real para devolver un código TOTP al usuario. Para las organizaciones que dependían de los códigos TOTP, una vez que un empleado introducía ese TOTP en la página de inicio de sesión falsa, los ciberdelincuentes iniciaban una carga malintencionada de phishing para controlar el equipo del empleado de forma remota.

Si bien algunos empleados de Cloudflare escribieron sus credenciales, el enfoque de Cloudflare impidió que los atacantes se hicieran con el control de ningún equipo. Tras identificar el ataque, Cloudflare tomó medidas adicionales para neutralizar el riesgo:

• Bloqueamos el dominio de phishing con nuestra propia puerta de enlace web segura (SWG).
• Aislamos el acceso a todos los dominios recién registrados con nuestro servicio de aislamiento remoto del navegador (RBI).
• Colaboramos con socios del sector para desconectar la infraestructura del atacante.
• Eliminamos las sesiones activas mediante ZTNA y restablecimos las credenciales en riesgo.
• Buscamos identidades y dispositivos con autenticación de dos fases no verificada en nuestros registros de actividad.
• Bloqueamos las direcciones IP utilizadas por el ciberdelincuente para que no pudiera acceder a ningún servicio de Cloudflare.

En conjunto, las numerosas capas de seguridad de Cloudflare, con un servicio sólido de MFA como primera línea de defensa, evitaron este ataque sofisticado.

Para obtener más información sobre este capítulo, lee nuestra publicación en el blog y nuestro resumen de solución sobre el incidente.

Ampliamos las comprobaciones de la postura de los dispositivos

Cloudflare se ha centrado fundamentalmente en ampliar las comprobaciones de la postura de los dispositivos a usuarios y aplicaciones, con el uso del contexto de software propio y de terceros.

En la actualidad, el cliente de dispositivo de Cloudflare reenvía el tráfico a través de conexiones salientes cifradas y se extiende a través de nuestro gestor de dispositivos móviles a todos los portátiles de la empresa. Los usuarios también pueden utilizar dispositivos móviles personales que cumplan ciertos criterios de seguridad, incluida la inscripción en nuestra gestión de terminales. El cliente de dispositivo es ahora obligatorio para acceder a algunos recursos internos esenciales de los portátiles corporativos y pronto lo será para acceder desde dispositivos móviles personales.

Cloudflare también ejecuta el software Falcon de Crowdstrike para la protección de puntos finales en todos los dispositivos corporativos y crea políticas de acceso condicional que incorporan la telemetría de Crowdstrike. En concreto, solo se concede acceso a los recursos si la puntuación de la evaluación Zero Trust (ZTA) de Crowdstrike, un número que representa el estado de un dispositivo en tiempo real, está por encima de un umbral mínimo. Esta integración de ZTNA es solo una de las diversas facetas de la colaboración en cursoentre Cloudflare y Crowdstrike.

En conjunto, la seguridad de Cloudflare ha obtenido un registro detallado de cada solicitud de acceso a cada recurso (incluso registro de comandos SSH). Esta amplia visibilidad a través de identidades y dispositivos nos ayuda a investigar los incidentes con mayor agilidad.

Protección contra ciberamenazas

También implementamos los servicios Cloudflare One internamente para defendernos de las ciberamenazas. Algunos ejemplos son el uso de nuestro SWG y RBI para proteger la navegación por Internet y el uso de nuestro servicio de seguridad del correo electrónico para proteger las bandejas de entrada de los ataques de phishing.

"Los servicios de Cloudflare One nos protegen durante todo el ciclo de vida del ataque, ya que reducen nuestra superficie de ataque, mitigan las amenazas basadas en Internet, restringen el movimiento lateral y evitan el robo de datos o financiero", explica Bourzikas. "La incorporación de capas a nuestra seguridad web y de correo electrónico en los últimos años nos ha ayudado a mejorar la protección y la visibilidad coherentes en toda nuestra plantilla híbrida en crecimiento".

Protección de la navegación por Internet para usuarios remotos y oficinas

En Cloudflare empezamos a utilizar nuestro propio servicio SWG (también conocido como Gateway) cuando nos enfrentamos a un desafío similar al de nuestros clientes: proteger a los usuarios del aumento de las amenazas en líneas tras la adopción del teletrabajo durante la pandemia.

Nuestra primera prioridad fue implementar el filtrado DNS para bloquear el acceso de los usuarios a dominios de Internet peligrosos o no deseados, basándonos en categorías de seguridad y contenido, lo que se consiguió en las siguientes fases en el plazo de un año desde el cambio al teletrabajo:

• Filtrado DNS para todas las oficinas. Se instaló en pocos días y solo fue necesario dirigir el tráfico DNS de los enrutadores de las oficinas a nuestra red. Este filtrado basado en la ubicación protegió a los usuarios que aún realizaban funciones críticas para la empresa localmente, ayudó a nuestros administradores a ajustar las configuraciones de las políticas, y sigue vigente hoy en día.
• Implementación del cliente de dispositivo de Cloudflare. El reenvío del tráfico mediante proxy a través del cliente de dispositivo proporciona la base para los controles de seguridad y la visibilidad específicos del usuario y del dispositivo, incluida la encriptación de todas las conexiones salientes a Internet.
• Filtrado DNS para todos los usuarios remotos. A principios de 2021, Cloudflare creó políticas de filtrado DNS y experiencias de Internet coherentes para todos los usuarios remotos y presenciales.

A medida que Cloudflare ha ido integrando el trabajo híbrido en su rutina, nuestros equipos de seguridad se han beneficiado de mayores controles y visibilidad del tráfico de Internet reenviado mediante proxy, entre los que se incluyen:

• Controles HTTP granulares: nuestros equipos de seguridad inspeccionan el tráfico HTTPS para bloquear el acceso a sitios web específicos identificados como peligrosos por nuestro equipo de seguridad, realizan análisis antivirus y aplican políticas de navegación que tienen en cuenta la identidad.
• Aislamiento selectivo de la navegación por Internet : en las sesiones de navegación aisladas, todo el código web se ejecuta en la red de Cloudflare, lejos de los dispositivos locales, aislando así a los usuarios de cualquier contenido no fiable y malicioso. En la actualidad, las redes sociales, los medios de noticias, el correo electrónico personal y otras categorías de Internet potencialmente peligrosas están aisladas. Los dominios recién vistos, por ejemplo, entran en esa última categoría, y Cloudflare destaca en su identificación dado el alto volumen de consultas DNS que resolvemos (más de 2000 consultas al día, de media).
• Registro basado en la geografía : ver dónde se originan las solicitudes salientes ayuda a nuestros equipos de seguridad a comprender la distribución geográfica de nuestra plantilla, incluida nuestra presencia en zonas de alto riesgo.

"Hoy día, Cloudflare tiene visibilidad específica por usuario y dispositivo de todos nuestros empleados, lo que nos ayuda a evaluar nuestro riesgo de forma más exhaustiva", confirma Derek Pitts, director de seguridad. "A medida que evoluciona nuestro perfil de riesgo, nuestros equipos de seguridad gradúan nuestros controles de navegación por Internet para garantizar que se mitigan las amenazas con un impacto mínimo en la productividad de los usuarios".

Para saber más sobre este capítulo, lee nuestra publicación en el blog.

Cómo proteger las bandejas de entrada con la seguridad del correo electrónico en la nube

A principios de 2020, Cloudflare experimentó un aumento de los intentos de phishing. Nuestro proveedor de correo electrónico (Google Workspace) contaba con un sistema sólido de filtrado de correo electrónico no deseado para su aplicación web nativa, pero tenía problemas con las amenazas avanzadas, como las amenazas al correo electrónico corporativo (BEC). y otros métodos de acceso al correo electrónico, como una aplicación móvil para iOS. Además, conforme aumentaba el volumen de phishing, nuestros equipos de informática dedicaban demasiado tiempo a las investigaciones manuales, entre 15 y 30 minutos en el caso de ataques sencillos, y más para los más sofisticados.

Para solucionar este problema, Cloudflare implementó Area 1 Email Security, en aquel momento un proveedor externo, junto con Google Workspace. En 30 días, Area 1 bloqueó 90 000 ataques en total, lo que provocó un descenso significativo y prolongado del número de correos electrónicos de phishing. Además, la baja tasa de falsos positivos redujo el tiempo dedicado a las investigaciones, y los equipos de seguridad se beneficiaron de una mayor variedad de información, incluidos los usuarios que solían ser blanco de ataques.

"De hecho, la tecnología de Area 1 fue tan eficaz en su lanzamiento, que nuestro director general se puso en contacto con nuestro director de seguridad para preguntarle si nuestra seguridad del correo electrónico estaba fallando", escribió John Graham-Cumming, director técnico de Cloudflare. "Nuestro director general no había observado ninguna incidencia de intento de phishing por parte de nuestros empleados durante muchas semanas, algo poco frecuente. Resulta que nuestros empleados no estaban notificando ningún intento de phishing, porque Area 1 los estaba bloqueando antes de que llegaran a las bandejas de entrada de nuestros empleados".

En vista de esta experiencia positiva, Cloudflare adquirió Area 1 a principios de 2022 y la integró con Cloudflare One, permitiendo a nuestros clientes y a nosotros mismos adoptar una postura de seguridad más proactiva en numerosos canales.

Por ejemplo, el aislamiento de enlaces de correos electrónicos utiliza la funcionalidad de seguridad de RBI y correo electrónico para abrir enlaces potencialmente sospechosos en un navegador aislado. De esta manera, se neutraliza el código malicioso y se evita que los usuarios adopten medidas peligrosas en la página web mediante tácticas como la restricción de las entradas de teclado, y copiar y pegar. Entre otras aplicaciones, Cloudflare utiliza esta función para evitar ataques de phishing en diferido que eluden las detecciones típicas, ayudando a mantener a salvo a nuestros equipos de seguridad mientras investigan incidentes de phishing.

"La seguridad del correo electrónico de Cloudflare detecta los intentos de phishing antes de que lleguen a las bandejas de entrada de nuestros usuarios", señala Derek Pitts, director de seguridad. "El correo electrónico sigue siendo uno de los vectores de ataque más populares, y me da tranquilidad saber que a nuestros usuarios pueden gestionar nuestro servicio de forma eficaz y sencilla".

Protección de los datos confidenciales

Limitar quién puede acceder a qué aplicaciones con políticas Zero Trust y defenderse de las amenazas de phishing y ransomware ayuda a Cloudflare a evitar la filtración de datos. Seguimos mitigando los riesgos de filtración de datos con servicios como nuestro agente de seguridad de acceso a la nube (CASB) y la prevención de pérdida de datos (DLP) para detectar datos confidenciales.

• Gestión de los riesgos de exposición de datos en aplicaciones SaaS . Este proceso incluye la realización de análisis de nuestras suites SaaS a través de la API (como Google Workspace, GitHub y Salesforce) en busca de datos confidenciales y configuraciones erróneas que supongan un riesgo de filtración, y posteriormente la adopción de medidas sobre la orientación normativa para remediarlo a través de las políticas de SWG.
• Detección y control del movimiento de datos confidenciales . Incluye clases de datos patentados y regulados, como credenciales y claves, información financiera e información sanitaria.

Para obtener más información sobre el enfoque de Cloudflare One respecto a la protección de datos, lee nuestra publicación en el blog.

Nuestra cultura prioriza la seguridad

Los servicios de seguridad mencionados anteriormente son tan valiosos como las personas y los procesos implicados en su implementación. En concreto, los hitos que hemos alcanzado hasta ahora son mérito de la cultura general de nuestra organización que prioriza la seguridad ante todo, y que se basa en el principio de que "la seguridad es responsabilidad de todos".

Por ejemplo, Cloudflare gestiona su propio equipo de respuesta a incidentes de seguridad (SIRT) interno que trabaja de forma ininterrumpida, y anima a todos los empleados a informar de actividades sospechosas cuanto antes y con frecuencia. Este enfoque transparente que consiste en "detectar cualquier incidente y comunicarlo" crea una primera línea de defensa y un sistema de detección positivo. Estos informes de primera línea mejoran nuestro enfoque. La dirección acepta y espera que más del 90 % de los informes de los empleados al SIRT resulten ser inofensivos, porque cuando se producen ciberataques reales, como con el incidente de phishing selectivo de 2022, las alertas a tiempo son fundamentales. Además, este enfoque proactivo "libre de culpa" se aplica a la notificación de errores para la implementación interna de nuestros propios servicios, ayudando a hacerlos más sólidos en el proceso.

"La cultura de Cloudflare, en la que la seguridad es lo primero, facilita mi trabajo", afirma Bourzikas. "Nuestros usuarios invierten en garantizar experiencias de seguridad de la máxima calidad, lo que a su vez ayuda a nuestros equipos a crear mejores servicios para nuestros clientes. Este compromiso es fundamental a medida que seguimos ampliando capacidades y servicios con nuestra plataforma Cloudflare One".