Feed di Threat Intelligence per il firewall – Bloccare gli attacchi prima che bussino

A volte gli amministratori IT hanno la sensazione di essere costantemente sotto tiro: bot e cybercriminali cercano di trovare falle nella rete ogni minuto. Uno sguardo ai log del firewall rivela una marea di tentativi di connessione sospetti provenienti da tutto il mondo. Non sarebbe più rassicurante se non permettessi agli aggressori noti di bussare alla tua rete? È proprio qui che entrano in gioco i feed delle minacce, spesso chiamati feed di threat intelligence o threat intel. Ma cosa c’è dietro e perché dovresti usare questi feed sul tuo firewall?

Perché hai bisogno di feed di minacce sul firewall?

I feed delleminacce sono sostanzialmente elenchi costantemente aggiornati di Indicatori di Compromissione (IoC) noti, ad esempio indirizzi IP, domini o URL dannosi. Questi feed sono forniti da fonti specializzate: organizzazioni di sicurezza, iniziative industriali, comunità open source o fornitori commerciali di informazioni sulle minacce. Un firewall moderno può importare questi feed esterni e quindi bloccare automaticamente il traffico di dati provenienti da minacce note prima che un attacco abbia effettivamente luogo.

Nuove minacce emergono continuamente e nessun amministratore può tenere d’occhio manualmente tutti gli IP e i domini pericolosi. È qui che un feed di threat intelligence fornisce al firewall ulteriori conoscenze: Lo informa continuamente su quali fonti sono attualmente note come pericolose. In questo modo il firewall può impedire le connessioni a questi obiettivi prima che il malware o gli aggressori causino danni. Nei modelli di firewall più recenti (ad esempio Sophos Firewall dalla versione 21 con Active Threat Response), il supporto per questi feed di terze parti è già integrato. Ma anche molti altri produttori dispongono di funzioni simili: il principio è sempre lo stesso.

I vantaggi di un feed delle minacce sul firewall sono evidenti:

• Protezione proattiva: le minacce note vengono bloccate prima che possano raggiungere la tua rete e causare danni.
• Flessibilità: puoi utilizzare feed provenienti da varie fonti e adattarli alle tue esigenze, da quelli gratuiti della comunità a quelli premium altamente specializzati.
• Automazione: il firewall aggiorna e utilizza il feed automaticamente; non è necessario un costante aggiornamento manuale delle blacklist, il che riduce notevolmente il carico di lavoro degli amministratori.

In sintesi, il firewall con Threat Feed funziona come un sistema di allarme precoce che intercetta i mittenti maligni noti al confine della rete. Questo aumenta notevolmente la sicurezza dell’infrastruttura e allo stesso tempo riduce sensibilmente la quantità di traffico indesiderato che raggiunge i sistemi interni.

Difesa proattiva: blocca bot e attacchi in anticipo

Un esempio pratico del valore aggiunto dei feed delle minacce è la difesa dagli attacchi basati sulle botnet. Molti meccanismi di sicurezza (come il blocco dopo X tentativi falliti) riconoscono gli attacchi brute force in modo relativamente affidabile se provengono da un singolo indirizzo IP. Tuttavia, i moderni attaccanti distribuiscono i loro tentativi su numerosi bot: ogni singolo host infetto tenta solo uno o due tentativi di accesso, ad esempio, e questo viene distribuito su un lungo periodo di tempo. Nessun singolo IP attira l’attenzione negativa a livello locale: gli attacchi rimangono sottotraccia e aggirano i meccanismi di protezione convenzionali come il Fail2Ban o i limiti di accesso.

È qui che entra in gioco un feed di intelligence sulle minacce ad ampio raggio. Se si analizzano i log di molti firewall, si può notare che alcuni indirizzi IP mostrano un’attività cospicua in diversi sistemi. Ad esempio, se lo stesso IP compare nei log di login di decine di aziende diverse con tentativi falliti, questo è un chiaro indizio di un attacco coordinato. Tali indirizzi vengono quindi etichettati nel feed delle minacce e bloccati a livello centrale. Il tuo firewall impara da questo: non appena uno di questi host botnet tenta di accedere anche solo una volta, viene immediatamente identificato e bloccato – grazie alla conoscenza del feed – senza poter causare alcun danno significativo.

Illustrazione: La rete globale di firewall di Avanet funge da sistema di allarme sensoriale. Se un firewall gestito riconosce un IP sospetto e lo segnala al database centrale del cloud, tutti i partecipanti connessi ricevono questa informazione. L’IP dannoso viene segnalato nel feed delle informazioni sulle minacce e quindi bloccato da tutti i firewall della rete. In questo modo, tutti beneficiano dell’esperienza degli altri.

Queste informazioni condivise sulle minacce possono essere utilizzate anche per bloccare in modo proattivo gli attacchi distribuiti e insidiosi. Ogni nuovo indirizzo IP dannoso riconosciuto finisce in breve tempo nel feed e quindi nell’elenco di blocco di tutti i firewall partecipanti. Di conseguenza, il numero di tentativi di attacco che riescono a passare è drasticamente ridotto. Il firewall deve elaborare meno “rumore” e gli attacchi autentici fanno molta più fatica a passare inosservati.

Semplice integrazione con Sophos, Fortinet, Palo Alto & Co.

Fortunatamente, l’integrazione di un feed di minacce nelle piattaforme firewall più diffuse è semplice. Noi di Avanet ci concentriamo principalmente su Sophos Firewall, ma il nostro feed si integra altrettanto bene con le soluzioni di altri fornitori. Che si tratti di Fortinet FortiGate, Palo Alto Networks, Check Point, OPNsense o altri, la maggior parte dei firewall moderni supporta blocklist/threat feed esterni e può sottoscrivere un elenco di IP/domini tramite URL.

L’esempio di Sophos XGS mostra quanto sia facile: aggiungi un nuovo feed tramite l’interfaccia web nel menu “Feed di minacce di terze parti”, inserisci un nome, l’URL del feed e il tipo (IPv4, dominio o URL), seleziona Blocca come azione – fatto. Anche Fortinet o Palo Alto funzionano in modo simile, solo che le funzioni hanno nomi leggermente diversi (come Elenco di blocco esterno per FortiGate o Elenco dinamico esterno per Palo Alto).

In generale, sono necessari solo pochi passaggi per integrare il nostro feed:

1. Ottenere l’URL del feed: Per prima cosa, ti invieremo l’URL del feed di minacce desiderato (ad esempio per il feed di base o per quello Premium).
2. Aggiungi al firewall: apri l’area per i feed o le blocklist di minacce esterne/definite dall’utente nell’interfaccia del firewall e aggiungi un nuovo feed/connettore. Il nome e la descrizione possono essere scelti liberamente. Inserisci l’URL del feed ricevuto come fonte.
3. Imposta le regole del filtro: Specifica quale tipo di indicatore viene importato (indirizzi IPv4, domini, URL) e cosa deve fare il firewall con esso – di solito lo blocca. Quindi imposta l’intervallo di polling (ad esempio ogni 6 ore) e salva la configurazione.

Dopo questi passaggi, il firewall si connette automaticamente al feed e carica gli Indicatori di Compromissione correnti. Da questo momento in poi, l’alimentazione di Threat Intel funziona in background: l’elenco degli IP e dei domini dannosi viene aggiornato regolarmente e il firewall blocca tutti gli indirizzi in esso contenuti in modo completamente automatico. L’integrazione richiede spesso solo pochi minuti, ma l’aumento della sicurezza è enorme.

Feed di intelligence sulle minacce curati da Avanet

Oggi esistono numerose blacklist e feed di minacce liberamente disponibili su Internet. Allora perché utilizzare un feed di Avanet? La sfida sta nella qualità e nella tempestività dei dati. Abbiamo sviluppato il nostro feed di informazioni sulle minacce, che è ottimizzato appositamente per i firewall e viene costantemente perfezionato. Il nostro approccio combina molte fonti e le filtra in modo intelligente per fornire un risultato completo e affidabile. Tra le altre cose, utilizziamo

• Elenchi pubblici della comunità e OSINT: ad esempio, blocklist note della comunità della sicurezza che raccolgono le minacce attuali.
• Informazioni commerciali sulle minacce: feed di dati acquistati da fornitori di sicurezza specializzati che forniscono materiale esclusivo (ad esempio su nuovi domini di malware).
• I nostri honeypot: Gestiamo sistemi honeypot che attirano gli aggressori su Internet e registrano i loro IP, domini e modelli di attacco.
• La rete di firewall dei nostri clienti: Molti dei firewall che supportiamo inviano i log anonimizzati degli attacchi e delle anomalie al nostro database centrale (ovviamente con il consenso). Questi dati reali sul campo mostrano in una fase iniziale quali sono gli IP che stanno attaccando attivamente in natura.

La combinazione di tutte queste informazioni crea un flusso di dati costantemente aggiornato di indicatori di malware che va ben oltre le singole fonti. Ma soprattutto, curiamo e revisioniamo i dati per eliminare in larga misura i falsi positivi (falsi allarmi). Anziché limitarci a raccogliere a caso tutti gli elenchi possibili – che potrebbero facilmente portare al blocco di servizi legittimi – ci concentriamo sulla qualità piuttosto che sulla quantità. Ogni IP o dominio presente nel feed Avanet si è effettivamente manifestato come un attacco o un’infrastruttura dannosa, spesso su più sistemi indipendenti. Di conseguenza, è possibile fidarsi dei nostri feed e abilitarli nel firewall con la coscienza pulita, senza temere di bloccare inutilmente il traffico legittimo.

Il nostro Threat Intelligence Feed è in uso dalla fine del 2024 ed è stato testato in diversi ambienti dei clienti in condizioni reali. Abbiamo continuamente perfezionato la logica di curatela, gli intervalli di aggiornamento e i controlli di qualità in rollout controllati. Il risultato è un feed stabile e pratico che funziona sul firewall senza alcuno sforzo aggiuntivo e che viene continuamente migliorato grazie al feedback operativo. Ciò significa che le nuove installazioni beneficiano immediatamente dei risultati ottenuti sul campo.

Quattro pacchetti di alimentazione delle minacce per ogni esigenza

Non tutti gli ambienti hanno bisogno della stessa profondità di informazioni sulle minacce. Ecco perché offriamo il nostro feed in quattro livelli di espansione, dal pacchetto base gratuito alla soluzione di fascia alta. In questo modo tutti possono trovare il giusto livello di protezione:

• Basic: protezione di base gratuita con elenchi di base basati sulla comunità. Contiene circa 30.000 indirizzi IP dannosi noti e viene aggiornato ogni 24 ore. Ideale per gli ambienti più piccoli che desiderano una protezione di base solida a un prezzo ragionevole.
• Standard: feed standard curato con una copertura più ampia (circa 45.000 IP) e aggiornamenti ogni 6 ore. Include fonti aggiuntive affidabili per consentire un rilevamento più preciso e ridurre il numero di falsi positivi. Adatto alle organizzazioni che desiderano aumentare significativamente la propria sicurezza riducendo al contempo il traffico inutile.
• Premium: feed premium per richieste elevate, aggiornato ogni ora. Include circa 120.000 IP cattivi noti e, a partire dal quarto trimestre del 2025, ulteriori feed completi di domini e URL (oltre 30 elenchi curati). Contiene dati esclusivi provenienti dalle nostre honeypots, feed dei partner e analisi in tempo reale. Per le organizzazioni che non vogliono scendere a compromessi con la sicurezza.
• Ultimate: Il pacchetto completo e spensierato con la massima copertura. Contiene tutti i punti dati disponibili (attualmente ~190.000 IP) e viene aggiornato ogni 15 minuti, quasi in tempo reale. Offre la massima protezione possibile ed è particolarmente interessante per le infrastrutture critiche o per le grandi aziende che desiderano armarsi contro qualsiasi minaccia. (Questo pacchetto viene offerto singolarmente ed è rivolto ad ambienti molto esigenti).

Tutte le versioni del nostro feed delle minacce sono pienamente compatibili con Sophos Firewall (dalla v21 con il corrispondente pacchetto di licenze Xstream Protection) e con gli altri sistemi citati. Puoi iniziare con poco, ad esempio con il feed Basic gratuito, e passare a livelli superiori se le tue esigenze di sicurezza crescono. Per i clienti esistenti che già utilizzano il nostro abbonamento a Sophos Firewall, sono previsti sconti sui pacchetti di feed a pagamento, quindi l’integrazione è doppiamente vantaggiosa.

Conclusione: provalo e rimani un passo avanti al pericolo.

Gli attacchi diventano ogni giorno più sofisticati e più numerosi, ma non per questo devi essere indifeso. Un feed di informazioni sulle minacce fornisce al firewall il vantaggio necessario per bloccare le fonti di pericolo conosciute ancora prima che bussino alla porta. L’esperienza lo dimostra: Una volta attivato un feed di questo tipo, spesso ci si sorprende di quanti tentativi di connessione vengano bloccati automaticamente nei primi giorni. Tutte le richieste di bot, gli scanner e i tentativi di accesso dubbi che prima dovevano essere bloccati faticosamente dai sistemi interni o da regole separate, ora vengono bloccati dal firewall.

Allora perché non provare di persona la differenza che fa? Con il nostro Avanet Basic Feed, puoi testare gratuitamente e senza impegno quanto traffico indesiderato viene generato nel tuo ambiente e quanto viene stroncato sul nascere dal Threat Feed. Le informazioni ottenute creano fiducia: Puoi vedere nero su bianco quale parte del traffico giornaliero è effettivamente dannoso e non mette più a dura prova l’infrastruttura di sicurezza.

In definitiva: “Il tuo firewall merita più conoscenza”. Un feed di minacce è un mezzo efficace per fornire questa conoscenza. Utilizzando le informazioni dello sciame provenienti da migliaia di fonti, puoi essere sempre un passo avanti agli aggressori. Provalo: il tuo firewall (e i tuoi sonni tranquilli) ti ringrazieranno.

FAQ