Proteggere Cloudflare con Cloudflare One

Proteggere una forza lavoro ibrida in crescita

Sin dalla sua fondazione nel 2010, Cloudflare ha dato priorità all'utilizzo dei suoi stessi servizi per risolvere le sfide IT e di sicurezza interne. Questo approccio che ci aiuta a testare e migliorare le capacità prima della consegna ai clienti è stato fondamentale per il modo in cui Cloudflare ha protetto la nostra forza lavoro.

Man mano che le superfici d'attacco di Cloudflare crescono con l’aggiunta di più dipendenti, clienti e tecnologia, abbiamo l’obbligo di rafforzare ulteriormente la nostra strategia di sicurezza e dotare i nostri team IT e di sicurezza di forte visibilità e controllo. In risposta, abbiamo creato e adottato servizi da Cloudflare One, la nostra piattaforma SASE e SSE, per accedere con sicurezza alle app, difenderci dalle minacce informatiche e proteggere i dati sensibili.

Cloudflare copre più di 3.500 persone in decine di uffici e località remote. Questo case study esplora il modo in cui Cloudflare utilizza i nostri servizi Cloudflare One per garantire la sicurezza e la produttività degli utenti in tutta l'organizzazione.

"Proteggere Cloudflare con i nostri servizi è il modo più efficace non solo per salvaguardare la nostra attività, ma anche per innovarci davanti ai nostri clienti", afferma Grant Bourzikas, Chief Security Officer. “Il nostro impegno nel proteggere Cloudflare con Cloudflare aiuta il nostro team di sicurezza e i nostri servizi a restare all’avanguardia mentre la nostra organizzazione continua a crescere in ambizione e complessità”.

Accesso sicuro alle app

Cloudflare si attiene alle Migliori pratiche Zero Trust per proteggere l'accesso a tutte le app self-hosted per tutti gli utenti, sia remoti che in ufficio. Nello specifico, utilizziamo il nostro servizio Zero Trust Network Access(ZTNA)(Cloudflare Access) per verificare l'identità, applicare l'autenticazione a più fattori (MFA) con chiavi hardware e valutare la posizione del dispositivo ad ogni richiesta. Questo atteggiamento si è evoluto nel corso di diversi anni e ha consentito a Cloudflare di proteggere più efficacemente la propria forza lavoro in crescita e di consigliare i clienti in base alle proprie esperienze.

La nostra storia sulle origini di ZTNA: la sostituzione della nostra VPN

L'interesse di Cloudflare verso Zero Trust è iniziato con un problema pratico che i nostri ingegneri hanno risolto da soli: semplificare l'accesso agli ambienti degli sviluppatori senza il fastidio di una rete privata virtuale (VPN).

Nel 2015, nelle rare occasioni in cui i dipendenti lavoravano da remoto, sono stati costretti a smistare il traffico attraverso un dispositivo VPN in sede per raggiungere le app ospitate internamente. La latenza e la mancata risposta della VPN ha reso particolarmente frustante l'intervento degli ingegneri di turno che si sono visti costretti ad accedere negli orari più strani per valutare problemi urgenti.

Per risolvere questo punto dolente, i nostri ingegneri hanno costruito Cloudflare Access, che inizialmente era un servizio reverse proxy che instradava le richieste di accesso attraverso il datacenter Cloudflare più vicino, invece di eseguire il backhauling tramite hardware VPN. Ad ogni richiesta, Access verificava gli utenti in base al nostro identity provider in una finestra del browser, liberandoli dall'inconveniente e dai rischi di ricordare le credenziali di accesso del client VPN.

L'esperienza di autenticazione fluida ha favorito l'adozione organica di Access per più app e un'ulteriore riduzione della dipendenza dalla VPN. Gli ingegneri hanno iniziato proteggendo Grafana con questo nuovo flusso di lavoro di autenticazione, seguito da app Web come la nostra suite Atlassian e infine anche da risorse non HTTP.

L’improvvisa transizione al lavoro remoto durante la pandemia non ha fatto altro che accelerare la migrazione delle altre app dietro Access. Entro l’estate 2020, i team IT di Cloudflare avevano raggiunto una riduzione di circa l’80% del tempo dedicato alla manutenzione dei ticket relativi alla VPN e una riduzione di circa il 70% del volume dei ticket rispetto all’anno precedente, con un conseguente risparmio di tempo stimato in 100.000 dollari all’anno.

All’inizio del 2021, il team di sicurezza di Cloudflare ha imposto che tutte le app ospitate internamente venissero spostate dietro Access, aiutandoci a ridurre la nostra superficie d'attacco con privilegi minimi, negazione predefinita e controlli basati sull’identità. Nello stesso anno, Cloudflare aveva completamente deprecato la sua VPN e noi abbiamo tradotto le nostre esperienze in indicazioni prescrittive per altre organizzazioni.

Anche l’onboarding e l’offboarding dei dipendenti è diventato più semplice. I nuovi dipendenti non devono più imparare a configurare una VPN, risparmiando fino a 300 ore all’anno sulle centinaia di nuovi assunti nel 2020. La configurazione per l’accesso alle app è ora in gran parte automatizzata tramite l’integrazione di Cloudflare con lo strumento Infrastructure-as-Code Terraform.

“Sostituendo la nostra VPN e adottando Zero Trust internamente, i nostri colleghi ora dispongono di un modo più veloce, più sicuro e più semplice per connettersi alle app e rimanere produttivi, afferma Derek Pitts, Direttore della sicurezza. “Con il nostro servizio ZTNA, Cloudflare non deve scendere a compromessi tra miglioramento della sicurezza e creazione di un'esperienza utente straordinaria."

Tasto fisico MFA e contrasto all'attacco di phishing mirato

Dopo aver lanciato ZTNA internamente, Cloudflare ha abbracciato l’MFA. Il percorso è iniziato consentendo l'MFA con tasto programmabile come le password One-Time basate sul tempo (TOTP) consegnate tramite SMS, e-mail e app. A partire dal 2018, il team di sicurezza di Cloudflare ha iniziato a distribuire tasti fisici e a consentirne l'uso come forma opzionale di autenticazione su app specifiche.

Il cambiamento più importante in questo approccio all’MFA è iniziato nel febbraio 2021, quando gli attacchi di social engineering contro i dipendenti – comprese le chiamate con impersonificazione dell'IT di Cloudflare – sono diventati più frequenti. In risposta, Cloudflare ha iniziato a richiedere l'autenticazione con tasti fisici Conforme FIDO2 per tutte le app e gli utenti – un approccio più resistente al phishing. Sia sui laptop aziendali che sui dispositivi mobili personali, tutti i dipendenti ora devono toccare i propri tasti di sicurezza Convalidato FIPS da YubiKey per raggiungere un'app e tutte le altre forme di MFA sono state disabilitate. Questo metodo sfrutta anche una crittografia più potente tramite il protocollo standard WebAuthn.

Questo approccio con tasto fisico è stato messo alla prova nell’agosto 2022, quando Cloudflare ha contrastato un attacco di phishing mirato che è riuscito a violare con successo altre grandi imprese. Settantasei dipendenti di Cloudflare hanno ricevuto SMS dall'aspetto legittimo che portavano a una falsa pagina di accesso di Okta. Gli autori delle minacce hanno inserito in tempo reale tutte le credenziali raccolte nel sito di accesso effettivo del provider di identità per richiedere all’utente un codice TOTP. Per le organizzazioni che facevano affidamento sui codici TOTP, una volta che un dipendente immetteva tale TOTP nella pagina di accesso falsa, gli autori della minaccia avviavano un payload dannoso di phishing per controllare la macchina del dipendente da remoto.

Anche se alcuni dipendenti di Cloudflare avevano inserito le proprie credenziali, l’approccio di Cloudflare ha impedito agli autori dell'attacco di impossessarsi di qualsiasi macchina. Dopo aver identificato l'attacco, Cloudflare ha adottato diverse ulteriori misure per neutralizzare il rischio:

• Ha bloccato il dominio di phishing tramite gateway web sicuro (SWG)
• Ha isolato l'accesso a tutti i domini appena registrati tramite il servizio Browser isolation remoto (RBI)
• Ha collaborato con i partner del settore per disattivare l'infrastruttura dell'autore dell'attacco
• Ha interrotto le sezioni attive tramite ZTNA e ha reimpostato le credenziali compromesse
• Ha controllato l'identità e i dispositivi con autenticazione a due fattori non verificati in base ai registri delle attività
• Ha bloccato gli indirizzi IP utilizzati dall'autore della minaccia e gli ha impedito l'accesso a qualsiasi servizio Cloudflare

Nel complesso, i molteplici livelli di sicurezza di Cloudflare – con un forte MFA come prima linea di difesa – hanno sventato questo sofisticato attacco.

Per saperne di più su questo capitolo della storia, leggi il nostro post sul blog e il brief sulla soluzione relativi all'incidente.

Estensione dei controlli sulla posizione del dispositivo

Cloudflare si concentra fortemente sull'estensione dei controlli sulla posizione dei dispositivi tra utenti e app, utilizzando il contesto di software sia di prima che di terze parti.

Oggi, il client del dispositivo Cloudflare inoltra il traffico tramite proxy usando connessioni in uscita crittografate e lo distribuisce attraverso il nostro gestore di dispositivi mobili a tutti i laptop aziendali. I dipendenti possono anche utilizzare dispositivi mobili personali che soddisfano determinati criteri di sicurezza, inclusa la registrazione alla nostra gestione degli endpoint. Per i laptop aziendali il client del dispositivo ora deve accedere ad alcune risorse interne critiche e presto questa pratica sarà necessaria anche per l'accesso dai dispositivi mobili personali.

Cloudflare esegue inoltre il software Falcon di Crowdstrike per la protezione degli endpoint su tutti i dispositivi aziendali e crea regole di accesso condizionato che incorporano la telemetria di Crowdstrike. Nello specifico, l’accesso è concesso alle risorse solo se il punteggio Zero Trust Assessment (ZTA) di Crowdstrike – un numero che rappresenta lo stato di salute in tempo reale di un dispositivo – è al di sopra di una soglia minima. Questa integrazione ZTNA è solo uno dei tanti aspetti della collaborazione in corsotra Cloudflare e Crowdstrike.

Nel complesso, la sicurezza di Cloudflare ha ottenuto una registrazione dettagliata di ogni richiesta di accesso a ogni risorsa (persino nella Registrazione dei comandi SSH). Quest'estesa visibilità su identità e dispositivi ci aiuta a indagare sugli incidenti con maggiore agilità.

Difendersi dalle minacce informatiche

Implementiamo i servizi Cloudflare One anche internamente per difenderci dalle minacce informatiche. Gli esempi includono l'utilizzo del nostro SWG e Browser Isolation remoto per proteggere la navigazione su Internet e l'utilizzo del nostro servizio di sicurezza e-mail per proteggere le caselle di posta dagli attacchi di phishing.

“I servizi di Cloudflare One ci proteggono durante l’intero ciclo di vita dell’attacco riducendo la nostra superficie d'attacco, mitigando le minacce basate su Internet, limitando lo spostamento laterale e prevenendo il furto di dati o finanziario,” dichiara Bourzikas. “La stratificazione della nostra sicurezza Web ed e-mail negli ultimi anni ci ha aiutato a ottenere costantemente protezione e visibilità in tutta la nostra crescente forza lavoro ibrida.”

Protezione della navigazione Internet per utenti e uffici remoti

Cloudflare ha iniziato a utilizzare il nostro SWG (noto anche come Gateway) quando ha dovuto affrontare una sfida simile a quella dei nostri clienti: proteggere la forza lavoro dall’aumento delle minacce online dopo il passaggio al lavoro a distanza durante la pandemia.

La nostra priorità era implementare il filtro DNS per impedire agli utenti di raggiungere domini Internet dannosi o indesiderati in base alla sicurezza e alle categorie di contenuti, cosa che è stata realizzata nelle seguenti fasi entro un anno dal passaggio al lavoro da remoto:

• Filtro DNS per tutte le sedi degli uffici. La configurazione ha richiesto solo pochi giorni ed ha richiesto solo l'instradamento del traffico DNS dai router dell'ufficio alla nostra rete. Questo filtraggio basato sulla posizione ha protetto i pochi utenti che eseguivano ancora funzioni aziendali critiche in sede, ha aiutato i nostri amministratori a perfezionare le configurazioni dei criteri ed è in vigore ancora oggi.
• Implementazione del client del dispositivo Cloudflare. L'inoltro del traffico dietro un proxy tramite il client del dispositivo fornisce la base per i controlli di sicurezza e la visibilità specifici dell'utente e del dispositivo, inclusa la crittografia di ogni connessione in uscita a Internet.
• Filtro DNS per tutti gli utenti remoti. All'inizio del 2021, Cloudflare aveva impostato una policy di filtro DNS ed esperienze Internet coerenti per gli utenti remoti e in ufficio.

Man mano che Cloudflare si è stabilizzato su un lavoro ibrido di routine, i nostri team di sicurezza hanno beneficiato di controlli e visibilità aggiuntivi per il traffico Internet inoltrato, tra cui:

• Controlli HTTP granulari - I nostri team di sicurezza ispezionano il traffico HTTPS per bloccare l'accesso a siti Web specifici identificati come dannosi dal nostro team di sicurezza, eseguono scansioni antivirus e applicano policy di navigazione in grado di riconoscere l'identità.
• Isolare selettivamente la navigazione su Internet - Nelle sessioni di navigazione isolate, tutto il codice Web viene eseguito sulla rete di Cloudflare lontano dai dispositivi locali, isolando gli utenti da qualsiasi contenuto non attendibile e dannoso. Oggi i social media, i notiziari, la posta elettronica personale e altre categorie Internet potenzialmente rischiose sono isolate. I domini visti di recente, ad esempio, rientrano in quest'ultima categoria e Cloudflare eccelle nell'identificarli dato l'elevato volume di query DNS che risolve (oltre 2 miliardi di query al giorno, in media).
• Accessi basati sulla geografia - Vedere da dove provengono le richieste in uscita aiuta i nostri team di sicurezza a comprendere la distribuzione geografica della nostra forza lavoro, inclusa la nostra presenza in aree ad alto rischio.

“Oggi, Cloudflare ha una visibilità specifica per utente e dispositivo su tutti i suoi dipendenti, il che ci aiuta a valutare il nostro rischio in modo più completo”, afferma Derek Pitts, Direttore della sicurezza. “Man mano che il nostro profilo di rischio evolve, i nostri team di sicurezza calibrano i nostri controlli di navigazione in Internet per garantire che le minacce vengano mitigate con un impatto minimo sulla produttività degli utenti.”

Per saperne di più su questo capitolo della storia, leggi il nostro post nel blog.

Protezione delle caselle di posta con la sicurezza della posta elettronica nel cloud

All’inizio del 2020, Cloudflare ha registrato un aumento dei tentativi di phishing. Il nostro provider di posta elettronica (Google Workspace) era efficace nel filtraggio dello spam per la sua app Web nativa, ma ha avuto problemi con minacce avanzate, come la compromissione della posta elettronica aziendale (BEC). e altri metodi per accedere alla posta elettronica come un'app mobile iOS. Inoltre, con l’aumento di volume del phishing, i nostri team IT hanno dedicato troppo tempo alle indagini manuali – circa 15-30 minuti per attacchi semplici e anche di più per quelli più sofisticati.

Per risolvere questo problema, Cloudflare ha implementato Area 1 Email Security – a quel tempo un fornitore terzo – insieme a Google Workspace. In 30 giorni, Area 1 ha bloccato 90.000 attacchi totali, determinando un calo significativo e prolungato delle e-mail di phishing. Inoltre, il basso tasso di falsi positivi ha ridotto il tempo dedicato alle indagini e i team di sicurezza hanno beneficiato di una gamma più ampia di informazioni, compresi i dipendenti più presi di mira.

“In effetti, la tecnologia di Area 1 si è rivelata così efficace al momento del lancio che il nostro CEO ha contattato il nostro Chief Security Officer per verificare se la sicurezza della nostra posta elettronica fosse stata compromessa,” scrisse John Graham-Cumming, CTO di Cloudflare, "Il nostro CEO non vedeva alcun tentativo di phishing segnalato dai nostri dipendenti da molte settimane, un evento raro. Risulta che i nostri dipendenti non segnalavano alcun tentativo di phishing, perché l’Area 1 rilevava tutti i tentativi di phishing prima che raggiungessero le caselle di posta dei nostri dipendenti”.

Alla luce di questa esperienza positiva, Cloudflare ha acquisito Area 1 all’inizio del 2022 e l'ha integrato con Cloudflare One, consentendo ai nostri clienti e a noi stessi di adottare un approccio di sicurezza più proattivo su più canali.

Ad esempio, isolamento dei collegamenti di posta elettronica utilizza Browser Isolation remoto e funzionalità di sicurezza e-mail per aprire collegamenti potenzialmente sospetti in un browser isolato. Ciò neutralizza il codice dannoso e impedisce agli utenti di intraprendere azioni rischiose sulla pagina Web tramite tattiche come la limitazione degli input da tastiera e il copia e incolla. Tra le altre app, Cloudflare utilizza questa funzionalità per ostacolare gli attacchi di phishing differiti che eludono i rilevamenti tipici, aiutando a mantenere i nostri team di sicurezza al sicuro mentre indagano sugli incidenti di phishing.

“La sicurezza e-mail di Cloudflare rileva i tentativi di phishing prima che raggiungano le caselle di posta dei nostri dipendenti", afferma Derek Pitts, Direttore della sicurezza. “L'e-mail continua a essere uno dei vettori di attacco più popolari e mi dà tranquillità sapere che il nostro servizio è così efficace e semplice da gestire per il nostro personale.”

Protezione dei dati sensibili

Applicare dei limiti per chi può accedere a quali app con policy Zero Trust e difendersi dalle minacce di phishing e ransomware aiuta Cloudflare a prevenire il trafugamento di dati. Stiamo mitigando ulteriormente i rischi di fuga di dati con servizi come il nostro cloud access security broker (CASB) e prevenzione della perdita dei dati (DLP) per rilevare dati sensibili.

• Gestione dei rischi di esposizione dei dati nelle app SaaS . Ciò include la scansione delle nostre suite SaaS tramite API (come Google Workspace, GitHub e Salesforce) per dati sensibili e le configurazioni errate che rischiano perdite e quindi agire in base a linee guida prescrittive per porre rimedio tramite le politiche SWG
• Rilevamento e controllo del movimento di dati sensibili . Ciò include classi di dati proprietarie e regolamentate come credenziali e segreti, dati finanziari e informazioni sanitarie.

Per saperne di più sull’approccio di Cloudflare One alla protezione dei dati, leggi il nostro post sul blog.

La nostra cultura della sicurezza al primo posto

I servizi di sicurezza a cui si fa riferimento in precedenza sono preziosi tanto quanto le persone e i processi coinvolti nella loro implementazione. In particolare, i traguardi raggiunti finora rendono merito alla cultura generale della nostra organizzazione incentrata sulla sicurezza, che affonda le sue radici nel principio secondo cui “la sicurezza è parte del lavoro di tutti”.

Ad esempio, Cloudflare gestisce un proprio Security Incident Response Team (SIRT) interno attivo 24 ore su 24, 7 giorni su 7 e incoraggia tutti i dipendenti a segnalare attività sospette tempestivamente e spesso. Questo approccio trasparente del tipo “vedere qualcosa, dire qualcosa” crea una prima linea di difesa e un ciclo di feedback positivo: queste segnalazioni dalle prime linee migliorano il nostro approccio. La leadership accetta e si aspetta che oltre il 90% delle segnalazioni dei dipendenti alla SIRT si rivelerà innocua, perché quando si verificano attacchi informatici reali – come nel caso dell’incidente di phishing mirato del 2022 – gli avvisi tempestivi sono fondamentali. Inoltre, questo approccio proattivo “senza biasimo” si applica alla segnalazione di bug per l’implementazione interna dei nostri servizi, contribuendo a renderli più forti nel processo.

“La cultura della sicurezza di Cloudflare rende il mio lavoro più semplice", afferma Bourzikas. “I nostri dipendenti si impegnano a garantire esperienze di sicurezza della massima qualità, il che a sua volta aiuta i nostri team a creare servizi migliori per i nostri clienti. Questo impegno è fondamentale poiché continuiamo ad estendere capacità e servizi con la nostra piattaforma Cloudflare One.”