Ir al contenido
Avanet
Threat Intelligence Feeds para el firewall – bloquear ataques antes de que llamen a la puerta

Threat Intelligence Feeds para el firewall – bloquear ataques antes de que llamen a la puerta

Hay días en los que, como administrador de TI, uno se siente bajo fuego constante: bots y ciberdelincuentes intentan encontrar brechas en la red minuto a minuto. Un vistazo a los logs del firewall muestra una avalancha de intentos de conexión sospechosos desde todo el mundo. ¿No sería tranquilizador impedir que los atacantes conocidos llegaran siquiera a llamar a la puerta de la propia red? Ahí es exactamente donde entran en juego los Threat Feeds, también llamados a menudo Threat Intelligence Feeds o, abreviadamente, Threat Intel Feeds. Pero ¿qué hay detrás y por qué conviene utilizar estos feeds en el firewall?

¿Por qué se necesitan Threat Feeds en el firewall?

Los Threat Feeds son, en esencia, listas actualizadas continuamente de Indicators of Compromise (IoCs) conocidos, por ejemplo direcciones IP, dominios o URL maliciosos. Estos feeds proceden de fuentes especializadas: organizaciones de seguridad, iniciativas sectoriales, comunidades open source o proveedores comerciales de Threat Intelligence. Un firewall moderno puede importar estos feeds externos y bloquear automáticamente el tráfico asociado a amenazas conocidas incluso antes de que se materialice un ataque.

Aparecen amenazas nuevas constantemente, y ningún administrador puede vigilar manualmente todas las IP y dominios peligrosos. Aquí, un Threat Intelligence Feed aporta al firewall conocimiento adicional: le informa de forma continua sobre qué orígenes se consideran peligrosos en ese momento. Así, el firewall puede impedir conexiones hacia esos destinos antes de que malware o atacantes causen daños. En modelos de firewall más recientes, por ejemplo Sophos a partir de la versión 21 con Active Threat Response, el soporte para feeds de terceros ya está integrado. Muchos otros fabricantes ofrecen funciones similares; el principio es el mismo.

Las ventajas de un Threat Feed en el firewall son obvias:

  • Protección proactiva: Las amenazas conocidas se bloquean antes de que lleguen a su red y puedan causar daños.
  • Flexibilidad: Se pueden utilizar feeds de distintas fuentes y adaptarlos a los requisitos propios, desde feeds gratuitos de la comunidad hasta feeds premium muy especializados.
  • Automatización: El firewall actualiza y utiliza el feed automáticamente; se elimina el mantenimiento manual constante de listas de bloqueo, lo que reduce de forma notable la carga de los administradores.

En resumen, un firewall con Threat Feed funciona como un sistema de alerta temprana que intercepta a remitentes maliciosos conocidos ya en el perímetro de la red. Esto aumenta de forma clara la seguridad de la infraestructura y, al mismo tiempo, reduce de manera apreciable el tráfico no deseado que llega a los sistemas internos.

Defensa proactiva: detener bots y ataques por adelantado

Un ejemplo práctico del valor añadido de los Threat Feeds es la defensa frente a ataques basados en botnets. Muchos mecanismos de seguridad, como los bloqueos tras X intentos fallidos, detectan ataques de fuerza bruta de forma relativamente fiable cuando proceden de una única dirección IP. Sin embargo, los atacantes modernos distribuyen sus intentos entre numerosos bots: cada host infectado prueba, por ejemplo, solo uno o dos inicios de sesión durante un periodo prolongado. Ninguna IP individual destaca negativamente a nivel local: los ataques permanecen bajo el radar y esquivan mecanismos de protección convencionales como Fail2Ban o límites de login.

Aquí es donde un Threat Intelligence Feed de amplia cobertura muestra su fortaleza. Al evaluar los logs de muchos firewalls, se puede detectar que determinadas direcciones IP muestran actividad sospechosa distribuida en varios sistemas. Si la misma IP aparece, por ejemplo, en los registros de inicio de sesión de decenas de empresas diferentes con intentos fallidos, es un indicio claro de un ataque coordinado. Estas direcciones se marcan entonces en el Threat Feed y se bloquean de forma centralizada. El propio firewall aprende de ello: en cuanto uno de esos hosts de botnet lo intenta una sola vez contra usted, se identifica y se bloquea de inmediato gracias al conocimiento del feed, antes de que pueda causar daños relevantes.

Telemetría de firewalls Avanet para el Cybora Threat Intelligence Feed
Telemetría de firewalls Avanet para el Cybora Threat Intelligence Feed

Figura: La red mundial de firewalls funciona como un sistema sensorial de alerta temprana. Si un firewall gestionado detecta una IP sospechosa y la comunica a la base de datos central en la nube, todos los participantes conectados reciben esa información. La IP maliciosa se marca en el Threat Intelligence Feed y queda bloqueada en todos los firewalls de la red. Así todos se benefician de la experiencia de los demás. Cybora cura después estos datos para nosotros y los convierte en un Threat Feed excelente.

Gracias a esta Threat Intelligence compartida, también pueden detenerse de forma proactiva ataques distribuidos y lentos. Cada nueva dirección IP maliciosa detectada llega al feed en poco tiempo y, con ello, a la lista de bloqueo de todos los firewalls participantes. El resultado es una reducción drástica de los intentos de ataque que llegan a pasar. El firewall tiene que procesar menos “ruido” y a los ataques reales les resulta mucho más difícil pasar desapercibidos.

Integración sencilla en Sophos, Fortinet, Palo Alto & Co.

Afortunadamente, integrar un Threat Feed en las plataformas de firewall habituales es sencillo. En Avanet nos centramos principalmente en Sophos Firewall, pero el feed puede integrarse igualmente en soluciones de otros fabricantes. Ya sea Fortinet FortiGate, Palo Alto Networks, Check Point, OPNsense u otros: la mayoría de los firewalls modernos admiten listas de bloqueo/Threat Feeds externos y pueden suscribirse por URL a una lista de IP o dominios.

Añadir Threat Intelligence Feeds en Sophos Firewall
Añadir Threat Intelligence Feed en Sophos Firewall

Con el ejemplo de Sophos XGS se ve lo sencillo que es: desde la interfaz web, en el menú “Third-Party Threat Feeds”, se añade un nuevo feed, se introduce un nombre, la URL del feed y el tipo (IPv4, dominio o URL), se selecciona Bloquear como acción y listo. En Fortinet o Palo Alto el proceso es similar, aunque las funciones tienen otros nombres, por ejemplo External Block List en FortiGate o External Dynamic List en Palo Alto.

En general, solo se necesitan unos pocos pasos para integrar el Cybora Threat Feed:

  1. Obtener la URL del feed: Primero recibe de nosotros la URL del Threat Feed deseado, por ejemplo para el Basic Feed o Premium.
  2. Introducirlo en el firewall: Abra en la interfaz del firewall el área de Threat Feeds externos/personalizados o listas de bloqueo y añada allí un nuevo feed o conector. El nombre y la descripción pueden elegirse libremente. Como fuente se introduce la URL recibida.
  3. Definir las reglas de filtrado: Indique qué tipo de indicador se importa (direcciones IPv4, dominios, URL) y qué debe hacer el firewall con él, normalmente bloquear. A continuación, configure el intervalo de consulta, por ejemplo cada 6 horas, y guarde la configuración.

Después de estos pasos, el firewall se conecta automáticamente al feed y carga los Indicators of Compromise actuales. A partir de ese momento, el suministro de Threat Intel funciona en segundo plano: la lista de IP y dominios maliciosos se actualiza regularmente, y el firewall bloquea todas las direcciones incluidas de forma completamente automática. La integración suele llevar solo unos minutos; la ganancia de seguridad, en cambio, es enorme.

Threat Intelligence Feeds curados por Cybora

En Internet existen numerosas listas de bloqueo y Threat Feeds disponibles gratuitamente. Entonces, ¿por qué utilizar un feed de Cybora? El reto está en la calidad y actualidad de los datos. Cybora ha desarrollado un Threat Intelligence Feed curado, optimizado específicamente para su uso en firewalls y refinado de forma continua. El enfoque de Cybora combina muchas fuentes y las filtra de manera inteligente para ofrecer un resultado completo y fiable. Para ello utilizamos, entre otros:

  • Listas públicas de la comunidad y OSINT: p. ej., listas de bloqueo conocidas de la comunidad de seguridad que recopilan amenazas actuales.
  • Threat Intelligence comercial: feeds de datos comprados de proveedores de seguridad especializados que entregan material exclusivo (p. ej., sobre nuevos dominios de malware).
  • Honeypots y sensores propios: Cybora opera sistemas honeypot y utiliza otros datos de telemetría para detectar atacantes, IP, dominios y patrones de ataque.
  • Telemetría de firewalls de entornos de clientes: Los firewalls gestionados por Avanet pueden aportar logs anonimizados de ataques y anomalías que Cybora incorpora al análisis y la curación del feed.

Al fusionar toda esta información se crea un flujo de datos actualizado de forma constante con indicadores maliciosos que va mucho más allá de fuentes individuales. Más importante aún: Cybora cura y verifica los datos para excluir en gran medida los falsos positivos. En lugar de volcar sin revisar todas las listas posibles, lo que podría bloquear erróneamente servicios legítimos, apostamos por calidad antes que cantidad. Cada IP o dominio del Cybora Feed se ha manifestado realmente como ataque o infraestructura maliciosa, a menudo en varios sistemas independientes. Por eso se puede confiar en el Cybora Feed y activarlo en el firewall con tranquilidad, sin miedo a bloquear tráfico legítimo innecesariamente.

El Cybora Threat Intelligence Feed lleva tiempo utilizándose en varios firewalls que gestionamos y ha sido probado en distintos entornos de cliente bajo condiciones reales. En rollouts controlados hemos refinado continuamente la lógica de curación, los intervalos de actualización y las comprobaciones de calidad. El resultado es un feed estable y apto para producción, que funciona en el firewall sin esfuerzo adicional y mejora de forma continua con feedback operativo. Así, las nuevas instalaciones se benefician de inmediato de la experiencia obtenida en campo.

Cuatro paquetes de Threat Feed para cada necesidad

No todos los entornos necesitan la misma profundidad de Threat Intelligence. Por eso ofrecemos el Cybora Threat Feed en cuatro niveles, desde el paquete básico gratuito hasta la solución de gama alta. Así cada entorno encuentra el nivel de protección adecuado:

Basic

  • 0 CHF por año
  • Intervalo de actualización: cada 24 h
  • Feeds IPv4: ≈ 30.000 IPs

Solicitar Feed

Standard

  • 179 $ por año
  • Intervalo de actualización: cada 6 h
  • Feeds IPv4: ≈ 45.000 IPs
  • Soporte
  • 100 % de descuento para clientes con suscripción de Sophos Firewall*

Suscribirse

Premium

  • 349 $ por año
  • Intervalo de actualización: cada 1 h
  • Feeds IPv4: ≈ 120.000 IPs
  • Feeds de dominios / URL
  • Soporte Suscribirse

Ultimate

1999 $ por año

  • Intervalo de actualización: cada 15 min
  • Feeds IPv4: > 220.000 IPs
  • Feeds de Dominio / URL
  • Soporte

Suscribirse

  • Basic: Protección básica gratuita con listas básicas basadas en la comunidad. Contiene alrededor de 30.000 direcciones IP maliciosas conocidas y se actualiza cada 24 horas. Ideal para entornos más pequeños que desean una protección básica sólida de manera rentable.
  • Standard: Feed estándar seleccionado con una cobertura más amplia (aprox. 45.000 IPs) y actualizaciones cada 6 horas. Incorpora fuentes fiables adicionales para permitir una detección más precisa y reducir el número de falsos positivos. Adecuado para empresas que desean aumentar notablemente su seguridad y al mismo tiempo reducir el tráfico innecesario.
  • Premium: Feed premium para altas exigencias, actualizado cada hora. Incluye alrededor de 120.000 IP maliciosas conocidas y, a partir del cuarto trimestre de 2025, también feeds extensos de dominios y URL (más de 30 listas curadas). Contiene datos exclusivos de nuestros honeypots, feeds de partners y análisis en tiempo real. Para organizaciones que no quieren hacer concesiones en seguridad.
  • Ultimate: El paquete integral con cobertura máxima. Contiene todos los puntos de datos disponibles (actualmente más de 220.000 IP) y se actualiza cada 15 minutos, casi en tiempo real. Ofrece el mayor nivel de protección y resulta especialmente interesante para infraestructuras críticas o empresas grandes que desean prepararse frente a cualquier amenaza. (Este paquete se ofrece de forma individual y está dirigido a entornos muy exigentes).

Todas las variantes del Cybora Threat Feed son totalmente compatibles con Sophos Firewall (a partir de v21 con el bundle de licencia Xstream Protection correspondiente) y con los demás sistemas mencionados. Se puede empezar poco a poco, por ejemplo con el Basic Feed gratuito, y pasar a niveles superiores si crecen los requisitos de seguridad. Para clientes existentes que ya utilizan nuestra suscripción de Sophos Firewall hay descuentos en los paquetes de feed de pago, de modo que la integración merece la pena por partida doble.

Conclusión – Pruébelo y esté un paso por delante del peligro

Los ataques son cada día más sofisticados y numerosos, pero no hay que afrontarlos sin protección. Un Threat Intelligence Feed da al firewall la ventaja necesaria para bloquear fuentes de peligro conocidas antes incluso de que llamen a la puerta. La experiencia muestra que, una vez activado un feed de este tipo, a menudo sorprende cuántos intentos de conexión se bloquean automáticamente ya en los primeros días. Todas esas solicitudes de bots, escáneres e intentos de login dudosos que antes tenían que ser repelidos laboriosamente por sistemas internos o reglas separadas rebotan ahora directamente en el firewall.

Entonces, ¿por qué no comprobar por uno mismo qué diferencia marca? Con el Cybora Basic Feed puede probar de forma gratuita y sin compromiso cuánto tráfico no deseado aparece en su propio entorno y cuánto de él queda neutralizado desde el principio por el Threat Feed. Los resultados generan confianza: se ve negro sobre blanco qué parte del tráfico diario es realmente maliciosa y ya no carga en absoluto la infraestructura de seguridad.

Al final, la idea es sencilla: “Su firewall merece más conocimiento”. Un Threat Feed es un medio eficaz para aportar ese conocimiento. Al aprovechar la inteligencia colectiva de miles de fuentes, se mantiene siempre un paso por delante de los atacantes. Pruébelo: su firewall, y también su tranquilidad, se lo agradecerán.

FAQ

¿Qué es un Threat Feed o Threat Intelligence Feed?

Un flujo de datos actualizado continuamente con indicadores de ataque como IP, dominios o URL que el firewall puede bloquear automáticamente.

¿En qué se diferencia un Threat Feed de las reglas de firewall clásicas o IPS?

Los Threat Feeds funcionan de forma proactiva y basada en reputación, antes de que un ataque sea visible. Las reglas e IPS reaccionan principalmente a patrones en el tráfico. Ambos enfoques se complementan.

¿Qué requisitos de licencia se aplican a Sophos?

Para la integración cómoda de feeds externos, generalmente se requiere Xstream Protection.

¿Qué firewalls son compatibles?

Sophos, Fortinet, Palo Alto, Check Point, OPNsense y otras plataformas con soporte para listas de bloqueo externas o External Dynamic Lists.

¿Desde cuándo está en uso el feed de Cybora?

Probamos regularmente distintos Threat Feeds. El feed de Cybora ha sido hasta ahora el que mejor resultado nos ha dado: ofrece una excelente relación calidad-precio y está optimizado específicamente para su uso en firewalls.

¿Qué tan grande es la red Threat Intel de Cybora?

Cientos de firewalls productivos de clientes, así como varios servidores honeypot distribuidos globalmente en cinco continentes, entregan datos de telemetría de forma continua. Estos datos se incorporan de forma curada al Cybora Threat Feed y se actualizan continuamente.

La transmisión de datos de telemetría a Cybora se realiza exclusivamente previo acuerdo con el cliente correspondiente. Además, anonimizamos los datos previamente antes de que se incorporen al análisis y la curación.

Patrizio

Patrizio

Patrizio es un especialista de redes con amplia experiencia, centrado en firewalls Sophos, switches y puntos de acceso. Ayuda a clientes y equipos de TI con la configuracion, la migracion y una segmentacion de red limpia.