Vai al contenuto
Avanet
Threat Intelligence Feeds per la firewall – bloccare gli attacchi prima che bussino

Threat Intelligence Feeds per la firewall – bloccare gli attacchi prima che bussino

In certi giorni, da amministratore IT, ci si sente sotto pressione continua: ogni minuto bot e criminali informatici cercano falle nella rete. Basta uno sguardo ai log della firewall per vedere una marea di tentativi di connessione sospetti da tutto il mondo. Non sarebbe rassicurante se gli attaccanti già noti non arrivassero nemmeno a bussare alla rete? È proprio qui che entrano in gioco i Threat Feeds, spesso chiamati anche Threat Intelligence Feeds o, in breve, Threat Intel Feeds. Ma che cosa sono esattamente e perché conviene usarli sulla firewall?

Perché servono Threat Feeds sulla firewall?

I Threat Feeds sono, in sostanza, elenchi aggiornati continuamente di Indicators of Compromise (IoC) noti, ad esempio indirizzi IP, domini o URL dannosi. Questi feed vengono forniti da fonti specializzate: organizzazioni di sicurezza, iniziative di settore, community open source o fornitori commerciali di threat intelligence. Una firewall moderna può importare questi feed esterni e bloccare automaticamente il traffico proveniente da minacce note, prima ancora che un attacco si concretizzi.

Nuove minacce emergono continuamente e nessun amministratore può tenere sotto controllo manualmente tutti gli IP e i domini pericolosi. Qui un Threat Intelligence Feed fornisce alla firewall conoscenza aggiuntiva: la informa costantemente su quali sorgenti sono considerate pericolose in quel momento. La firewall può così impedire connessioni verso o da questi obiettivi prima che malware o attaccanti causino danni. Nei modelli di firewall più recenti, ad esempio Sophos dalla versione 21 con Active Threat Response, il supporto per questi feed di terze parti è già integrato. Anche molti altri produttori offrono funzioni simili: il principio rimane lo stesso.

I vantaggi di un Threat Feed sulla firewall sono evidenti:

  • Protezione proattiva: le minacce note vengono bloccate prima che raggiungano la rete e possano causare danni.
  • Flessibilità: si possono usare feed da fonti diverse e adattarli alle proprie esigenze, dai feed gratuiti della community ai feed premium altamente specializzati.
  • Automazione: la firewall aggiorna e utilizza il feed automaticamente; non serve più mantenere a mano le blocklist, con un notevole alleggerimento per gli amministratori.

In sintesi, una firewall con Threat Feed funziona come un sistema di allerta precoce che intercetta i mittenti noti come malevoli già al perimetro della rete. Questo aumenta sensibilmente la sicurezza dell’infrastruttura e riduce allo stesso tempo il traffico indesiderato che riesce a raggiungere i sistemi interni.

Difesa proattiva: fermare bot e attacchi in anticipo

Un esempio pratico del valore aggiunto dei Threat Feeds è la difesa contro attacchi basati su botnet. Molti meccanismi di sicurezza, ad esempio il blocco dopo X tentativi falliti, riconoscono gli attacchi brute force in modo relativamente affidabile quando provengono da un singolo indirizzo IP. Gli attaccanti moderni, però, distribuiscono i tentativi su numerosi bot: ogni host infetto prova magari solo uno o due login, e lo fa su un arco temporale lungo. Nessun singolo IP risulta localmente sospetto; gli attacchi restano sotto il radar e aggirano meccanismi di protezione tradizionali come Fail2Ban o i limiti di login.

Qui un Threat Intelligence Feed ampio mostra la propria forza. Analizzando i log di molte firewall, si può riconoscere che determinati indirizzi IP mostrano attività sospette distribuite su più sistemi. Se lo stesso IP compare, ad esempio, nei log di accesso di decine di aziende diverse con tentativi falliti, è un chiaro indizio di un attacco coordinato. Questi indirizzi vengono quindi marcati nel Threat Feed e bloccati centralmente. La propria firewall ne beneficia: appena uno di questi host botnet prova anche solo una volta ad accedere, viene identificato e respinto immediatamente grazie alla conoscenza del feed, senza poter causare danni rilevanti.

Telemetria dei firewall Avanet per il Cybora Threat Intelligence Feed
Telemetria dei firewall Avanet per il Cybora Threat Intelligence Feed

Figura: la rete globale di firewall funge da sistema sensoriale di allerta precoce. Quando una firewall gestita rileva un IP sospetto e lo segnala al database cloud centrale, tutti i partecipanti collegati ricevono questa informazione. L’IP dannoso viene marcato nel Threat Intelligence Feed e quindi bloccato su tutte le firewall della rete. In questo modo tutti beneficiano delle esperienze degli altri. Cybora trasforma poi questi dati per noi in un eccellente Threat Feed.

Grazie a questa Threat Intelligence condivisa, anche gli attacchi distribuiti e lenti possono essere fermati proattivamente. Ogni nuovo indirizzo IP dannoso rilevato finisce in breve tempo nel feed, e quindi nella blocklist di tutte le firewall partecipanti. Il risultato è una drastica riduzione dei tentativi di attacco che riescono a passare. La firewall deve elaborare meno “rumore” e gli attacchi reali fanno molta più fatica a passare inosservati.

Integrazione semplice in Sophos, Fortinet, Palo Alto & Co.

Fortunatamente è semplice integrare un Threat Feed nelle piattaforme firewall più diffuse. In Avanet ci concentriamo principalmente su Sophos Firewall, ma il feed può essere integrato altrettanto bene in soluzioni di altri produttori. Che si tratti di Fortinet FortiGate, Palo Alto Networks, Check Point, OPNsense o altri, la maggior parte delle firewall moderne supporta blocklist/Threat Feeds esterne e può sottoscrivere una lista di IP o domini tramite URL.

Aggiungere Threat Intelligence Feeds su Sophos Firewall
Aggiungere Threat Intelligence Feed su Sophos Firewall

L’esempio Sophos XGS mostra quanto sia semplice: dall’interfaccia web, nel menu “Third-Party Threat Feeds”, si aggiunge un nuovo feed, si inseriscono nome, URL del feed e tipo (IPv4, dominio o URL), si sceglie Blocca come azione, e il gioco è fatto. Con Fortinet o Palo Alto il processo è simile; cambiano solo i nomi delle funzioni, ad esempio External Block List in FortiGate o External Dynamic List in Palo Alto.

In generale, sono necessari solo pochi passaggi per integrare il Cybora Threat Feed:

  1. Ottenere l’URL del feed: per prima cosa si riceve da noi l’URL del Threat Feed desiderato, ad esempio per il Basic Feed o Premium.
  2. Inserire nella firewall: nell’interfaccia della firewall si apre l’area per Threat Feeds esterni, feed personalizzati o blocklist, quindi si aggiunge un nuovo feed o connector. Nome e descrizione possono essere scelti liberamente. Come sorgente si inserisce l’URL del feed ricevuto.
  3. Impostare le regole di filtro: si indica quale tipo di indicatore viene importato (indirizzi IPv4, domini, URL) e cosa deve farne la firewall, di norma bloccare. Poi si imposta l’intervallo di polling, ad esempio ogni 6 ore, e si salva la configurazione.

Dopo questi passaggi, la firewall si collega automaticamente al feed e carica gli Indicators of Compromise attuali. Da questo momento l’alimentazione di Threat Intel funziona in background: l’elenco di IP e domini dannosi viene aggiornato regolarmente e la firewall blocca in modo completamente automatico tutti gli indirizzi contenuti. L’integrazione richiede spesso solo pochi minuti, ma il guadagno in sicurezza è enorme.

Threat Intelligence Feeds curati da Cybora

Su Internet esistono ormai numerose blocklist e Threat Feeds gratuiti. Perché quindi usare un feed di Cybora? La sfida sta nella qualità e attualità dei dati. Cybora ha creato un Threat Intelligence Feed curato, ottimizzato specificamente per l’uso sulle firewall e perfezionato di continuo. L’approccio di Cybora combina molte fonti e le filtra in modo intelligente, per fornire un risultato completo e affidabile. A questo scopo utilizziamo, tra l’altro:

  • Liste pubbliche community e OSINT: ad esempio blocklist note della security community che raccolgono minacce attuali.
  • Threat Intelligence commerciale: feed di dati acquistati da fornitori specializzati, con materiale esclusivo, ad esempio su nuovi domini malware.
  • Honeypot e sensoristica propria: Cybora gestisce sistemi honeypot e usa ulteriori dati di telemetria per riconoscere attaccanti, IP, domini e pattern di attacco.
  • Telemetria firewall da ambienti clienti: le firewall gestite da Avanet possono fornire log anonimizzati di attacchi e anomalie, che Cybora integra nell’analisi e nella cura del feed.

Unendo tutte queste informazioni nasce un flusso di dati costantemente aggiornato di indicatori dannosi che va ben oltre le singole fonti. Ancora più importante: Cybora cura e verifica i dati per escludere il più possibile i falsi positivi. Invece di riversare semplicemente tutte le liste disponibili senza controllo, con il rischio di bloccare per errore servizi legittimi, puntiamo sulla qualità prima che sulla quantità. Ogni IP o dominio nel Cybora Feed si è effettivamente manifestato come attacco o infrastruttura malevola, spesso su più sistemi indipendenti. Per questo il Cybora Feed può essere considerato affidabile e attivato sulla firewall con serenità, senza temere di bloccare inutilmente traffico legittimo.

Il Cybora Threat Intelligence Feed è in uso da tempo su diverse firewall che gestiamo ed è stato testato in vari ambienti clienti in condizioni reali. In rollout controllati abbiamo affinato continuamente la logica di curatela, gli intervalli di aggiornamento e i controlli di qualità. Il risultato è un feed stabile e adatto alla pratica, che agisce sulla firewall senza sforzo aggiuntivo e viene migliorato costantemente grazie al feedback operativo. Le nuove installazioni beneficiano così subito delle esperienze raccolte sul campo.

Quattro pacchetti Threat Feed per ogni esigenza

Non tutti gli ambienti hanno bisogno della stessa profondità di Threat Intelligence. Per questo offriamo il Cybora Threat Feed in quattro livelli, dal pacchetto base gratuito alla soluzione high-end. Così ogni ambiente trova il livello di protezione adatto:

Basic

  • 0 CHF all’anno
  • Intervallo di aggiornamento: ogni 24 h
  • Feed IPv4: ≈ 30.000 IP

Richiedi Feed

Standard

  • 179 $ all’anno
  • Intervallo di aggiornamento: ogni 6 h
  • Feed IPv4: ≈ 45.000 IP
  • Supporto
  • 100 % di sconto per clienti con abbonamento Sophos Firewall*

Abbonati

Premium

  • 349 $ all’anno
  • Intervallo di aggiornamento: ogni 1 h
  • Feed IPv4: ≈ 120.000 IP
  • Feed dominio / URL
  • Supporto
  • 14 % di sconto per clienti con abbonamento Sophos Firewall*

Abbonati

Ultimate

1999 $ all’anno

  • Intervallo di aggiornamento: ogni 15 min
  • Feed IPv4: > 220.000 IP
  • Feed dominio / URL
  • Supporto

Abbonati

  • Basic: protezione di base gratuita con liste di base community-based. Contiene circa 30.000 indirizzi IP dannosi noti e viene aggiornato ogni 24 ore. Ideale per ambienti più piccoli che vogliono una solida protezione di base a basso costo.
  • Standard: feed standard curato con copertura più ampia (circa 45.000 IP) e aggiornamenti ogni 6 ore. Integra ulteriori fonti affidabili per rendere il rilevamento più preciso e ridurre il numero di falsi positivi. Adatto ad aziende che vogliono aumentare sensibilmente la sicurezza e allo stesso tempo ridurre traffico inutile.
  • Premium: feed premium per esigenze elevate, aggiornato ogni ora. Comprende circa 120.000 IP malevoli noti e, da Q4/2025, anche ampi feed di domini e URL (oltre 30 liste curate). Include dati esclusivi dai nostri honeypot, feed partner e analisi in tempo reale. Per organizzazioni che non vogliono scendere a compromessi sulla sicurezza.
  • Ultimate: il pacchetto completo con copertura massima. Contiene tutti i datapoint disponibili (attualmente oltre 220.000 IP) e viene aggiornato ogni 15 minuti, quindi quasi in tempo reale. Offre il massimo livello di protezione ed è particolarmente interessante per infrastrutture critiche o aziende più grandi che vogliono prepararsi contro qualsiasi minaccia. Questo pacchetto viene offerto individualmente ed è pensato per ambienti molto esigenti.

Tutte le varianti del Cybora Threat Feed sono pienamente compatibili con Sophos Firewall (dalla v21 con il relativo bundle di licenza Xstream Protection) e con gli altri sistemi citati. Si può iniziare in piccolo, ad esempio con il Basic Feed gratuito, e passare a livelli superiori se i requisiti di sicurezza crescono. Per i clienti esistenti che utilizzano già il nostro abbonamento Sophos Firewall sono previsti sconti sui pacchetti feed a pagamento, quindi l’integrazione conviene doppiamente.

Conclusione – Provalo e stai un passo avanti al pericolo

Gli attacchi diventano ogni giorno più sofisticati e numerosi, ma non bisogna affrontarli senza protezione. Un Threat Intelligence Feed dà alla firewall il vantaggio necessario per bloccare fonti di pericolo note prima ancora che bussino alla porta. L’esperienza mostra che, una volta attivato un feed di questo tipo, si resta spesso sorpresi da quanti tentativi di connessione vengano bloccati automaticamente già nei primi giorni. Tutte le richieste di bot, scanner e tentativi di login dubbi, che prima dovevano essere respinti faticosamente da sistemi interni o regole separate, ora rimbalzano direttamente sulla firewall.

Perché quindi non provare direttamente quale differenza fa? Con il Cybora Basic Feed è possibile testare gratuitamente e senza impegno quanto traffico indesiderato arriva nel proprio ambiente, e quanta parte viene già stroncata sul nascere dal Threat Feed. Le evidenze ottenute creano fiducia: si vede nero su bianco quale quota del traffico quotidiano è effettivamente malevola e non grava più sull’infrastruttura di sicurezza.

In fondo vale questo principio: “La tua firewall merita più conoscenza.” Un Threat Feed è un mezzo efficace per fornire questa conoscenza. Sfruttando l’intelligenza collettiva di migliaia di fonti, si resta sempre un passo avanti agli attaccanti. Vale la pena provarlo: la firewall, e anche il sonno, ringrazieranno.

FAQ

Cos'è un Threat Feed o Threat Intelligence Feed?

Un flusso di dati aggiornato continuamente con indicatori di attacco come IP, domini o URL, che possono essere bloccati automaticamente dalla firewall.

In cosa differisce un Threat Feed dalle classiche regole del firewall o IPS?

I Threat Feeds lavorano in modo proattivo e basato sulla reputazione, prima che un attacco diventi visibile. Le regole e IPS reagiscono per lo più a pattern nel traffico. I due approcci si completano a vicenda.

Quali requisiti di licenza si applicano a Sophos?

Per integrare comodamente feed esterni, di norma è richiesta Xstream Protection.

Quali firewall sono supportati?

Sophos, Fortinet, Palo Alto, Check Point, OPNsense e altre piattaforme con supporto per blocklist esterne o External Dynamic Lists.

Da quando è in uso il feed Cybora?

Testiamo regolarmente diversi Threat Feeds. Il feed di Cybora si è finora dimostrato il migliore: offre un eccellente rapporto qualità-prezzo ed è ottimizzato specificamente per l’uso sulle firewall.

Quanto è grande la rete Threat Intel di Cybora?

Centinaia di firewall di produzione dei clienti e diversi server honeypot distribuiti nel mondo su cinque continenti forniscono continuamente dati di telemetria. Questi dati confluiscono in forma curata nel Cybora Threat Feed e vengono aggiornati costantemente.

La trasmissione dei dati di telemetria a Cybora avviene esclusivamente previo accordo con il rispettivo cliente. Inoltre, i dati vengono da noi anonimizzati in anticipo, prima di confluire nell’analisi e nella curatela.

Patrizio

Patrizio

Patrizio e uno specialista di rete esperto, focalizzato su firewall Sophos, switch e access point. Supporta clienti e team IT nella configurazione, nella migrazione e in una segmentazione di rete pulita.