Vai al contenuto
Avanet
Threat Intelligence Feeds per il Firewall – Bloccare gli attacchi prima che bussino

Threat Intelligence Feeds per il Firewall – Bloccare gli attacchi prima che bussino

25. AGOSTO 2025

In alcuni giorni, come amministratore IT, ti senti sotto fuoco costante: ogni minuto, bot e criminali informatici cercano di trovare falle nella rete. Uno sguardo ai log del firewall mostra un’inondazione di tentativi di connessione sospetti da tutto il mondo. Non sarebbe rassicurante se agli aggressori noti non fosse nemmeno permesso di bussare alla porta della tua rete? È esattamente qui che entrano in gioco i Threat Feeds – spesso chiamati anche Threat Intelligence Feeds o Threat Intel Feeds in breve. Ma cosa c’è dietro, e perché dovresti usare tali feed sul firewall?

Perché hai bisogno di Threat Feeds sul firewall?

I Threat Feeds sono fondamentalmente elenchi costantemente aggiornati di noti Indicators of Compromise (IoC) – ad esempio, indirizzi IP, domini o URL dannosi. Questi feed sono forniti da fonti specializzate: organizzazioni di sicurezza, iniziative del settore, community open source o fornitori commerciali di threat intelligence. Un firewall moderno può importare tali feed esterni e quindi bloccare automaticamente il traffico dati da minacce note prima ancora che un attacco abbia luogo.

Nuove minacce appaiono costantemente e nessun amministratore può tenere d’occhio manualmente tutti gli IP e i domini pericolosi. Qui, un Threat Intelligence Feed fornisce al firewall praticamente conoscenza aggiuntiva: lo informa continuamente su quali fonti sono attualmente note come pericolose. Pertanto, il firewall può impedire connessioni a questi obiettivi prima che malware o aggressori causino danni. Nei modelli di firewall più recenti (ad es. Sophos dalla versione 21 con Active Threat Response), il supporto per tali feed di terze parti è già saldamente integrato. Ma molti altri produttori hanno anche funzioni simili – il principio rimane lo stesso.

I vantaggi di un Threat Feed sul firewall sono evidenti:

  • Protezione proattiva: Le minacce note vengono bloccate prima che raggiungano la tua rete e possano causare danni.
  • Flessibilità: Puoi utilizzare feed da varie fonti e adattarli alle tue esigenze – dai feed gratuiti della community ai feed premium altamente specializzati.
  • Automazione: Il firewall aggiorna e utilizza il feed automaticamente; l’aggiornamento manuale costante delle blocklist non è più necessario, il che solleva notevolmente gli amministratori.

In sintesi, il firewall con Threat Feed funziona come un sistema di allarme preventivo che intercetta i mittenti noti come cattivi già al confine della rete. Ciò aumenta significativamente la sicurezza dell’infrastruttura e allo stesso tempo riduce notevolmente il traffico indesiderato che penetra nei sistemi interni.

Difesa proattiva: Fermare bot e attacchi in anticipo

Un esempio pratico del valore aggiunto dei Threat Feeds è la difesa contro gli attacchi basati su botnet. Molti meccanismi di sicurezza (come il blocco dopo X tentativi falliti) rilevano attacchi di forza bruta in modo relativamente affidabile se provengono da un singolo indirizzo IP. Tuttavia, gli aggressori moderni distribuiscono i loro tentativi su numerosi bot: ogni singolo host infetto prova, ad esempio, solo uno o due tentativi di accesso, e questo in un lungo periodo di tempo. Nessun singolo IP attira l’attenzione negativamente a livello locale – gli attacchi rimangono sotto il radar e aggirano i meccanismi di protezione convenzionali come Fail2Ban o limiti di accesso.

Qui, un Threat Intelligence Feed ampiamente posizionato gioca la sua forza. Se i log di molti firewall vengono valutati, si può vedere che determinati indirizzi IP mostrano attività sospette distribuite su più sistemi. Se lo stesso IP appare, ad esempio, nei log di accesso di decine di aziende diverse con tentativi falliti, questa è una chiara indicazione di un attacco coordinato. Tali indirizzi vengono quindi contrassegnati nel Threat Feed e bloccati centralmente. Il tuo firewall impara da questo: non appena uno di questi host botnet ci prova solo una volta con te, viene immediatamente identificato e respinto – grazie alla conoscenza del feed – senza che possa causare danni significativi.

Telemetria dei firewall Avanet per il Cybora Threat Intelligence Feed
Telemetria dei firewall Avanet per il Cybora Threat Intelligence Feed

Figura: La rete mondiale di firewall funge da sistema di allarme preventivo sensoriale. Se un firewall gestito rileva un IP sospetto e lo segnala al database cloud centrale, tutti i partecipanti connessi ricevono queste informazioni. L’IP dannoso viene contrassegnato nel Threat Intelligence Feed e quindi bloccato su tutti i firewall della rete. In questo modo, tutti beneficiano delle esperienze degli altri. Cybora trasforma poi questi dati in un eccellente Threat Feed per noi.

Attraverso questa Threat Intelligence condivisa, anche gli attacchi distribuiti e insidiosi possono essere fermati proattivamente. Ogni nuovo indirizzo IP dannoso rilevato finisce nel feed in breve tempo – e quindi nella blocklist di tutti i firewall partecipanti. Di conseguenza, il numero di tentativi di attacco riusciti è drasticamente ridotto. Il firewall ha meno “rumore” da elaborare e i veri attacchi hanno molto più difficoltà a passare inosservati.

Integrazione semplice in Sophos, Fortinet, Palo Alto & Co.

Fortunatamente, è semplice integrare un Threat Feed nelle comuni piattaforme firewall. Sebbene in Avanet ci concentriamo principalmente su Sophos Firewall, il feed può essere integrato altrettanto bene in soluzioni di altri produttori. Che si tratti di Fortinet FortiGate, Palo Alto Networks, Check Point, OPNsense o altri – la maggior parte dei firewall moderni supporta blocklist/Threat Feeds esterne e può abbonarsi a un elenco di IP/domini tramite URL.

Aggiungere Threat Intelligence Feeds su Sophos Firewall
Aggiungere Threat Intelligence Feed su Sophos Firewall

Utilizzando Sophos XGS come esempio, puoi vedere quanto è facile: tramite l’interfaccia web nel menu “Third-Party Threat Feeds”, aggiungi un nuovo feed, specifichi un nome, l’URL del feed e il tipo (IPv4, Dominio o URL), selezioni Blocca come azione – fatto. Funziona in modo simile con Fortinet o Palo Alto, solo che le funzioni sono nominate in modo leggermente diverso lì (come External Block List con FortiGate o External Dynamic List con Palo Alto).

In generale, sono necessari solo pochi passaggi per integrare il Cybora Threat Feed:

  1. Ottenere l’URL del feed: Per prima cosa, ricevi da noi l’URL del Threat Feed desiderato (ad es. per il Basic Feed o Premium).
  2. Inserire nel firewall: Apri l’area per Threat Feeds o blocklist esterne/personalizzate nell’interfaccia del firewall e aggiungi un nuovo feed/connettore lì. Il nome e la descrizione possono essere scelti liberamente. Come fonte, depositi l’URL del feed ricevuto.
  3. Impostare regole di filtro: Specifica quale tipo di indicatore viene importato (indirizzi IPv4, domini, URL) e cosa deve farne il firewall – di solito bloccare. Quindi imposta l’intervallo di polling (ad es. ogni 6 ore) e salva la configurazione.

Dopo questi passaggi, il firewall si connette automaticamente al feed e carica gli attuali Indicators of Compromise. Da questo momento in poi, la fornitura di Threat Intel viene eseguita in background: l’elenco di IP e domini dannosi viene regolarmente aggiornato e il firewall blocca tutti gli indirizzi in esso contenuti in modo completamente automatico. L’integrazione richiede spesso solo pochi minuti – tuttavia, il guadagno in sicurezza è enorme.

Threat Intelligence Feeds curati da Cybora

Ora ci sono numerose blocklist e Threat Feeds disponibili gratuitamente su Internet. Quindi perché usare un feed di Cybora? La sfida sta nella qualità e attualità dei dati. Cybora ha creato un Threat Intelligence Feed curato, appositamente ottimizzato per i firewall e costantemente perfezionato. L’approccio di Cybora combina molte fonti e le filtra intelligentemente per fornire un risultato completo e affidabile. Per questo, utilizziamo tra gli altri:

  • Elenchi pubblici della community e OSINT: ad es. blocklist note della community di sicurezza che raccolgono minacce attuali.
  • Threat Intelligence commerciale: feed di dati acquistati da fornitori di sicurezza specializzati che forniscono materiale esclusivo (ad es. su nuovi domini malware).
  • Honeypot e sensoristica propria: Cybora gestisce sistemi honeypot e utilizza ulteriori dati di telemetria per riconoscere aggressori, IP, domini e modelli di attacco.
  • Telemetria firewall da ambienti clienti: I firewall gestiti da Avanet possono fornire log anonimizzati di attacchi e anomalie, che Cybora integra nell’analisi e nella cura del feed.

Unendo tutte queste informazioni, viene creato un flusso di dati costantemente aggiornato di indicatori dannosi che va ben oltre le singole fonti. Ancora più importante: Cybora cura e verifica i dati per escludere in gran parte i falsi positivi. Invece di limitarsi a scaricare tutti gli elenchi possibili senza esame – il che potrebbe facilmente bloccare falsamente servizi legittimi – ci concentriamo sulla qualità rispetto alla quantità. Ogni IP o dominio nel Cybora Feed si è effettivamente fatto notare come attacco o infrastruttura dannosa, spesso su più sistemi indipendenti. Ciò ti consente di fidarti del Cybora Feed e attivarlo sul firewall con la coscienza pulita, senza dover temere di bloccare inutilmente traffico legittimo.

Il Cybora Threat Intelligence Feed è in uso da tempo su diversi firewall che gestiamo ed è stato testato in vari ambienti clienti in condizioni reali. In rollout controllati, abbiamo continuamente perfezionato la logica di cura, gli intervalli di aggiornamento e i controlli di qualità. Il risultato è un feed stabile e pratico che funziona sul firewall senza sforzo aggiuntivo e viene continuamente migliorato con feedback operativo. Pertanto, le nuove installazioni beneficiano immediatamente delle scoperte sul campo.

Quattro pacchetti Threat Feed per ogni esigenza

Non tutti gli ambienti hanno bisogno della stessa profondità di Threat Intelligence. Pertanto, offriamo il Cybora Threat Feed in quattro stadi di espansione – dal pacchetto base gratuito alla soluzione di fascia alta. Quindi ognuno trova il giusto livello di protezione:

Basic

  • 0 CHF all’anno
  • Intervallo di aggiornamento: ogni 24 h
  • Feed IPv4: ≈ 30.000 IP

Richiedi Feed

Standard

  • 179 $ all’anno
  • Intervallo di aggiornamento: ogni 6 h
  • Feed IPv4: ≈ 45.000 IP
  • Supporto
  • 100 % di sconto per clienti con abbonamento Sophos Firewall*

Abbonati

Premium

  • 349 $ all’anno
  • Intervallo di aggiornamento: ogni 1 h
  • Feed IPv4: ≈ 120.000 IP
  • Feed Dominio / URL
  • Supporto Abbonati

Ultimate

1999 $ all’anno

  • Intervallo di aggiornamento: ogni 15 min
  • Feed IPv4: > 220.000 IP
  • Feed Dominio / URL
  • Supporto

Abbonati

  • Basic: Protezione di base gratuita con elenchi di base basati sulla community. Contiene circa 30.000 indirizzi IP dannosi noti e viene aggiornato ogni 24 ore. Ideale per ambienti più piccoli che desiderano una solida protezione di base in modo economico.
  • Standard: Feed standard curato con una copertura più ampia (circa 45.000 IP) e aggiornamenti ogni 6 ore. Incorpora ulteriori fonti affidabili per consentire un rilevamento più preciso e ridurre il numero di falsi positivi. Adatto per le aziende che desiderano aumentare notevolmente la loro sicurezza e allo stesso tempo ridurre il traffico inutile.
  • Premium: Feed premium per esigenze elevate, aggiornato ogni ora. Include circa 120.000 IP cattivi noti nonché – dal Q4/2025 – feed di domini e URL estesi aggiuntivi (oltre 30 elenchi curati). Contiene dati esclusivi dai nostri honeypot, feed dei partner e analisi in tempo reale. Per le organizzazioni che non vogliono scendere a compromessi sulla sicurezza.
  • Ultimate: Il pacchetto completo senza pensieri con copertura massima. Contiene tutti i punti dati disponibili (attualmente oltre 220.000 IP) e viene aggiornato ogni 15 minuti – quasi in tempo reale. Offre la massima protezione possibile ed è particolarmente interessante per infrastrutture critiche o grandi aziende che vogliono armarsi contro qualsiasi minaccia. (Questo pacchetto è offerto individualmente e si rivolge ad ambienti molto esigenti.)

Tutte le varianti del Cybora Threat Feed sono completamente compatibili con Sophos Firewall (dalla v21 con il corrispondente pacchetto di licenze Xstream Protection) e gli altri sistemi menzionati. Puoi iniziare in piccolo – ad esempio con il Basic Feed gratuito – e passare a livelli superiori se necessario se i requisiti di sicurezza crescono. Per i clienti esistenti che utilizzano già il nostro abbonamento Sophos Firewall, ci sono sconti sui pacchetti feed a pagamento, quindi un’integrazione vale doppiamente la pena.

Conclusione – Provalo e stai un passo avanti al pericolo

Gli attacchi diventano ogni giorno più sofisticati e numerosi – ma non devi affrontarli senza protezione. Un Threat Intelligence Feed dà al firewall il vantaggio necessario per bloccare fonti di pericolo note prima ancora che bussino alla porta. L’esperienza mostra: Una volta attivato un feed del genere, si è spesso sorpresi di quanti tentativi di connessione vengano automaticamente impediti già nei primi giorni. Tutte le richieste di bot, scanner e tentativi di accesso dubbi, che in precedenza dovevano essere faticosamente respinti da sistemi interni o da regole separate, ora rimbalzano direttamente sul firewall.

Quindi perché non sperimentare semplicemente di persona quale differenza fa? Con il Cybora Basic Feed, puoi testare gratuitamente e senza impegno quanto traffico indesiderato si verifica nel tuo ambiente – e quanto di esso viene già stroncato sul nascere dal Threat Feed. I risultati ottenuti creano fiducia: vedi nero su bianco quale parte del traffico giornaliero è effettivamente dannoso e ora non grava più affatto sull’infrastruttura di sicurezza.

Alla fine, vale quanto segue: “Il tuo firewall merita più conoscenza.” Un Threat Feed è un mezzo efficace per fornire questa conoscenza. Utilizzando l’intelligenza dello sciame da migliaia di fonti, rimani sempre un passo avanti agli aggressori. Provalo – il tuo firewall (e la tua tranquillità) ti ringrazieranno.

FAQ

Cos'è un Threat Feed o Threat Intelligence Feed?

Un flusso di dati aggiornato continuamente con indicatori di attacchi come IP, domini o URL che possono essere bloccati automaticamente dal firewall.

In cosa differisce un Threat Feed dalle classiche regole del firewall o IPS?

I Threat Feeds funzionano basandosi sulla reputazione e proattivamente prima che un attacco diventi evidente. Le regole e l’IPS reagiscono principalmente a modelli nel traffico. Entrambi si completano a vicenda.

Quali requisiti di licenza si applicano a Sophos?

Per l’integrazione comoda di feed esterni, è solitamente richiesta Xstream Protection.

Quali firewall sono supportati?

Sophos, Fortinet, Palo Alto, Check Point, OPNsense e altre piattaforme con supporto per blocklist esterne o External Dynamic Lists.

Da quando è in uso il feed Cybora?

Testiamo regolarmente diversi Threat Feeds. Il feed di Cybora si è finora dimostrato il migliore: offre un eccellente rapporto qualità-prezzo ed è ottimizzato specificamente per l’uso sui firewall.

Quanto è grande la rete Threat Intel di Cybora?

Centinaia di firewall produttivi dei clienti e diversi server honeypot distribuiti in tutto il mondo su cinque continenti forniscono continuamente dati di telemetria. Questi dati confluiscono in forma curata nel Cybora Threat Feed e vengono aggiornati continuamente.

La trasmissione dei dati di telemetria a Cybora avviene esclusivamente previo accordo con il rispettivo cliente. Inoltre, i dati vengono da noi anonimizzati in anticipo prima di confluire nell’analisi e nella cura.

Patrizio

Patrizio

Patrizio e uno specialista di rete esperto, focalizzato su firewall Sophos, switch e access point. Supporta clienti e team IT nella configurazione, nella migrazione e in una segmentazione di rete pulita.