Sophos Firewall Threat Feeds
Les Sophos Firewall Threat Feeds de Cybora fournissent en continu des Threat Intelligence Feeds qui importent automatiquement des Indicators of Compromise (IoC) dans Sophos Firewall. Ces IoC peuvent être des adresses IP malveillantes, des domaines de malware, des URL de phishing ou des serveurs Botnet C&C connus.
Une grande partie du travail manuel disparaît ainsi. Au lieu de maintenir à la main des adresses IP ou des domaines dans des objets Host, des règles Firewall ou des listes de blocage, la firewall récupère automatiquement les données depuis un feed curaté et peut bloquer le trafic correspondant.
C’est particulièrement utile dès qu’une firewall est visible depuis Internet. Les IP publiques, règles DNAT, publications WAF, VPN Portals ou accès WebAdmin sont souvent découverts très rapidement par des bots, scanners et frameworks d’exploitation automatisés. Un bon Threat Feed réduit ce trafic indésirable avant qu’il n’atteigne plus profondément l’environnement.
Que sont les Threat Feeds ?
Les Threat Feeds, ou flux de menaces, sont des listes d’indicateurs de compromission. En pratique, il s’agit d’indices sur une infrastructure malveillante connue :
- Adresses IP : scanners, botnets, systèmes compromis ou serveurs Command-and-Control.
- Domaines : domaines de malware, de phishing ou C2.
- URL : chemins malveillants ou liens de téléchargement précis.
Selon le fournisseur, ces feeds proviennent d’organisations de sécurité, de consortiums sectoriels, de communautés open source, de Threat Intelligence commerciale, de honeypots ou de capteurs propres. Dans Sophos Firewall v21, la fonction a été étendue avec des feeds tiers intégrés via l’Active Threat Response Framework.
Les avantages sont clairs :
- Protection proactive : bloquer les menaces avant qu’elles ne provoquent des dégâts.
- Flexibilité : utiliser des feeds de différents fournisseurs selon les besoins.
- Automatisation : la firewall bloque automatiquement, sans intervention manuelle.
- Allègement : le trafic indésirable est rejeté plus tôt et n’atteint pas les services internes.
Cas d’utilisation typiques
Les Threat Feeds ne concernent pas uniquement le trafic sortant des clients. Dans la pratique, les services accessibles publiquement voient très vite des accès automatisés.
| Cas d’utilisation | Pourquoi les Threat Feeds aident |
|---|---|
| DNAT vers des serveurs internes | Les redirections de ports sont rapidement scannées. Un feed IPv4 peut bloquer des sources connues comme mauvaises avant qu’elles n’atteignent le serveur interne. |
| Publications WAF | Les serveurs web voient souvent du trafic bot, des scans CVE, des probes CMS et du Credential Stuffing. Les Threat Feeds ajoutent une couche de réputation aux règles WAF. |
| VPN Portal, User Portal et WebAdmin | Les portails doivent d’abord être protégés par Device Access, MFA et réseaux sources. Les Threat Feeds réduisent en plus les sources d’attaque connues. |
| Trafic client sortant | Les feeds de domaines et d’URL peuvent bloquer des destinations malware, phishing ou C2 connues. |
| Adresses WAN fortement scannées | Lorsqu’une IP publique voit durablement du trafic bot, un bon feed IPv4 peut soulager sensiblement la firewall et les logs. |
Les Threat Feeds ne remplacent toutefois pas une publication propre. Si un service est accessible via DNAT ou WAF, seuls les ports nécessaires doivent rester ouverts, les sources ou pays doivent être limités, IPS/WAF activés et les logs vérifiés. Les Threat Feeds sont un module de protection supplémentaire, pas une autorisation pour des règles Any trop larges.
Prérequis pour les Threat Feeds
Pour utiliser la fonction Sophos Firewall Threat Feeds, il faut disposer de la licence bundle Xstream Protection pour Sophos Firewall. Ce bundle contient les fonctions de sécurité nécessaires pour que la firewall puisse traiter les informations de menace et y réagir via Active Threat Response.
Avant le déploiement, vérifier aussi :
- La firewall utilise une version SFOS compatible avec les Third-Party Threat Feeds.
- La firewall peut joindre l’URL du feed via DNS et HTTPS.
- Chaque feed utilise un Indicator type clair, par exemple
IPv4 address,DomainouURL. - Le logging pour Active Threat Response est activé.
- Il est décidé si le feed doit d’abord être observé ou bloquer directement.
Notre recommandation : introduire les nouveaux feeds de manière contrôlée. Si la firewall le permet, commencer par une phase d’observation, vérifier les événements dans le Log Viewer, puis passer au blocage. On voit ainsi tôt si des systèmes légitimes seraient touchés.
Points importants pour les feeds URL
Les feeds IP et Domain sont généralement simples à comprendre. Les feeds URL sont plus exigeants, car la firewall doit voir le chemin URL pertinent. Avec du trafic HTTPS, ce n’est pas toujours possible sans déchiffrement adapté.
Si des feeds URL doivent être utilisés en production, vérifier donc si Web Proxy, DPI Engine et TLS Inspection conviennent à l’environnement. Sans visibilité propre sur le trafic HTTPS, un feed URL peut être moins efficace qu’attendu.
Du Free au Ultimate Threat Feed - by Cybora
Des informations de menace fiables et actuelles sont essentielles. C’est pourquoi Avanet utilise des plans Threat Feed curatés de Cybora, adaptés à Sophos Firewalls.
Les feeds sont constitués à partir de différentes sources afin d’obtenir une détection des menaces aussi large et fiable que possible. Cela comprend des données Community et OSINT, des informations commerciales, des résultats de honeypots ainsi que des logs d’attaques, d’erreurs et d’anomalies anonymisés provenant de nombreuses Sophos Firewalls que nous exploitons.
Free (Basic) convient aux Home Users, PoC et tests de compatibilité. Standard complète le feed IPv4 avec des domaines malware et phishing importants. Premium étend la couverture aux domaines et URL avec mises à jour horaires. Ultimate vise les infrastructures critiques et les périmètres à haut risque avec des mises à jour toutes les 15 minutes.
Avec Sophos Firewall Threat Feeds, la sécurité réseau gagne un niveau supplémentaire. Les feeds curatés évitent la gestion complexe des sources. Selon l’environnement, le plan Basic gratuit suffit pour des tests, tandis que Standard, Premium et Ultimate couvrent les besoins de production avec davantage de couverture et d’actualité.
Nous avons testé différents feeds pendant une période prolongée dans des environnements Sophos Firewall réels. Le feed Cybora s’est montré un compromis solide et abordable entre qualité, actualité et exploitation quotidienne.
Comparer les Threat Feeds
Free / Basic
Free (Basic)
$0/par an
- Intervalle de mise à jour: toutes les 24 h
- IPv4: 20,000 IPv4
- Support: Aucun support
Basic Protection
Standard
$179/par an
- Intervalle de mise à jour: toutes les 6 h
- IPv4: 85,000 IPv4
- Domaines: Top 5,000 Domaines
- Support: Standard
Advanced Protection
Premium
$349/par an
- Intervalle de mise à jour: toutes les 1 h
- IPv4: 220,000 IPv4
- Domaines: 45,000 Domaines
- URLs: 25,000 URLs
- Support: Priorité
Mission-Critical Protection
Ultimate
$1,999/par an
- Intervalle de mise à jour: toutes les 15 min
- IPv4: 300,000+ IPv4
- Domaines: 100,000+ Domaines
- URLs: 100,000 URLs
- Support: Très élevé
Lors d’une comparaison, il ne faut pas regarder seulement le nombre d’entrées. Une liste énorme n’est pas automatiquement meilleure si elle génère beaucoup de False Positives ou si elle est mal maintenue. L’essentiel est que le feed soit actuel, curaté et bien exploitable par la firewall.
Critères importants :
- actualité des données
- types d’indicateurs supportés
- qualité et curation des sources
- intervalle de mise à jour
- risque de False Positives
- traçabilité dans le Log Viewer
- processus d’exception raisonnable
Avanet Firewall Network
Une partie du feed Premium provient de notre réseau de firewalls, réparti dans le monde entier.
De nombreux outils détectent sans problème les attaques Brute Force provenant d’adresses IP individuelles, mais échouent face aux attaques distribuées par botnets. Dans ces cas, chaque hôte contrôlé par l’attaquant ne réalise que quelques tentatives de connexion échouées à faible fréquence et échappe ainsi à la détection et au blocage.
Certains botnets regroupent des centaines de milliers d’hôtes infectés, permettant aux cybercriminels de mener des attaques Brute Force massives sans être bloqués.
Grâce à notre réseau, nous collectons les logs de manière centralisée, détectons tôt les activités suspectes et pouvons bloquer rapidement les adresses IP attaquantes. Il en résulte un Threat Intelligence Feed constamment mis à jour avec des IP observées comme suspectes sur plusieurs systèmes. La consolidation et l’injection continue de ces données dans notre feed permettent d’identifier les adresses IP qui attaquent l’infrastructure et de les bloquer automatiquement.
Ce que les Threat Feeds ne remplacent pas
Les Threat Feeds sont puissants, mais ne remplacent pas les bases propres d’une firewall.
Ils ne remplacent pas :
- des règles Firewall restrictives
- MFA pour VPN, portails et accès administrateur
- Device Access et Local Service ACL
- IPS, WAF, Web Protection et TLS Inspection
- Patch Management et Hotfixes
- Logging, Reporting et contrôles réguliers
Si un serveur web est publié par DNAT, la règle Firewall doit quand même avoir des sources aussi précises que possible, des services concrets et le logging activé. Un Threat Feed bloque des sources mauvaises connues, mais des attaquants inconnus ou nouveaux peuvent toujours arriver.
Configurer Sophos Firewall Threat Feed
L’intégration de nos Sophos Firewall Threat Feeds est simple et ne prend que quelques minutes. Tous les feeds sont entièrement compatibles avec la fonction Third-Party Threat Feed de Sophos Firewall et peuvent être ajoutés via l’interface web :
- Ouvrir le menu :
Protect > Active threat response > Third-party threat feeds > Add - Saisir les informations de base
- Name:
cybora-premium-ipv4 - Description:
Cybora Feed - Premium
- Name:
- Définir le type d’indicateur
- Indicator type:
IPv4 address,DomainouURL
- Indicator type:
- Choisir l’action
- Pour le blocage en production :
Block - Pour un démarrage prudent : observer d’abord les événements si l’environnement l’exige.
- Pour le blocage en production :
- Renseigner l’URL du feed
- Coller l’adresse correspondante de la liste Avanet dans External URL.
- Définir l’intervalle de récupération
- Polling interval: choisir une valeur adaptée au feed acheté.
- Un intervalle plus court n’apporte rien si le feed lui-même n’est mis à jour qu’à un intervalle plus long.
- Configurer l’authentification (si nécessaire)
- Selon le feed, sans authentification ou avec les identifiants fournis.
- Tester la connexion et enregistrer
- Exécuter Test connection.
- Enregistrer ensuite avec Save.
Pour une configuration pas à pas, voir la documentation Sophos.
Contrôle en exploitation
Après la configuration, il ne faut pas simplement supposer que tout fonctionne. Les événements doivent être visibles et explicables.
- Vérifier
System services > Log settingset activer le logging Active Threat Response. - Filtrer le
Log viewersurActive threat response. - Vérifier quel feed a déclenché l’événement.
- Contrôler source, destination, service et règle Firewall concernée.
- En cas de False Positive, ne pas créer d’exception large ; vérifier et documenter l’indicateur précis.
Avec DNAT, WAF et VPN Portals, on voit souvent très vite après l’activation combien de trafic indésirable provient de sources connues comme mauvaises. C’est l’une des raisons pour lesquelles nous utilisons volontiers les Threat Feeds pour les services exposés.