Vai al contenuto
Avanet

Configurare e gestire Sophos Firewall Threat Feeds

I Sophos Firewall Threat Feeds di Cybora forniscono feed continui di intelligence sulle minacce che importano automaticamente gli indicatori di compromissione (IoC) nel Sophos Firewall. Tali IoC sono ad esempio indirizzi IP dannosi, domini malware, URL di phishing o noti server C&C botnet.

Per il contesto generale di hardening, consultare l’hub Sophos Firewall Hardening: best practice per una configurazione sicura.

Ciò elimina gran parte dello sforzo di manutenzione manuale. Invece di tracciare manualmente gli indirizzi IP o i domini dei singoli aggressori negli oggetti host, nelle regole del firewall o negli elenchi di blocco, il firewall estrae automaticamente i dati da un feed curato e può bloccare il traffico appropriato.

Ciò è particolarmente utile non appena un firewall è visibile dall’esterno. IP pubblici, regole DNAT, pubblicazioni WAF, portali VPN o accessi WebAdmin vengono spesso rilevati molto rapidamente da bot, scanner e framework di exploit automatizzati. Un buon Threat Feed riduce questo traffico indesiderato prima che penetri più a fondo nell’ambiente.

In breve: i Threat Feeds sono efficaci quando vengono trattati come processo operativo. Scegliere il feed, impostare correttamente il tipo di indicatore, testare prima la visibilità, poi bloccare, verificare regolarmente gli hit e gestire in modo pulito i false positives. Collegare semplicemente una grande lista non è una buona strategia di sicurezza.

Inquadramento

Cosa sono i Threat Feeds

I Threat Feeds sono elenchi di indicatori di compromissione. In pratica, sono indizi di infrastrutture dannose note:

  • Indirizzi IP: Scanner, botnet, sistemi compromessi o server di comando e controllo.
  • Domini: malware, phishing o domini C2.
  • URL: percorsi dannosi specifici o collegamenti per il download.

A seconda del fornitore, questi feed provengono da organizzazioni di sicurezza, consorzi industriali, comunità open source, informazioni commerciali sulle minacce, honeypot o sensori propri. In Sophos Firewall v21, la funzionalità è stata ampliata per includere feed di terze parti integrati tramite Active Threat Response Framework.

I vantaggi sono evidenti:

  • Protezione proattiva: blocca le minacce prima che si verifichino danni.
  • Flessibilità: utilizza feed di diversi fornitori, adattati alle esigenze individuali.
  • Automazione: Il firewall si blocca automaticamente; l’intervento manuale non è più necessario.
  • Sollievo: il traffico indesiderato viene scartato prima e non raggiunge nemmeno i servizi interni.

Non confondere i moduli Threat Feed

Sotto Active threat response si trovano più funzioni affiancate. I nomi sembrano simili, ma risolvono compiti diversi.

  • Sophos X-Ops Threat Feeds: indicatori Sophos per minacce note. In operatività, attivare la funzione Network Protection e controllare i log.
  • MDR Threat Feeds: informazioni sulle minacce dal contesto Sophos MDR/XDR. In operatività, collegare processo MDR/Central e firewall logging.
  • Third-Party Threat Feeds: liste IoC esterne come Cybora come feed IP, dominio o URL. In operatività, gestire qualità del feed, azione, sincronizzazione ed eccezioni.
  • NDR Essentials / NDR Active Threat Intelligence: rilevamento di pattern di traffico sospetti invece di una pura lista IoC. In operatività, valutare i segnali di detection e non confonderli con una blocklist.

Questo articolo tratta soprattutto i Third-Party Threat Feeds. Per NDR e Active Threat Intelligence è adatta la guida Gestire Sophos Firewall NDR e Active Threat Response.

Aree di applicazione tipiche

I feed delle minacce non sono interessanti solo per il traffico dei clienti in uscita. In pratica, è possibile vedere l’accesso automatizzato molto rapidamente, soprattutto con i servizi accessibili al pubblico.

  • DNAT su server interni: i port forwarding vengono scansionati rapidamente. Un feed IPv4 può bloccare fonti dannose note prima che raggiungano il server interno.
  • Pubblicazioni WAF: i server web vedono spesso traffico bot, scansioni CVE, CMS probes e credential stuffing. I Threat Feeds aggiungono reputazione alle regole WAF.
  • VPN Portal, User Portal e WebAdmin: i portali dovrebbero essere protetti prima di tutto tramite Device Access, MFA e reti sorgente. I Threat Feeds riducono inoltre fonti di attacco note.
  • Traffico client in uscita: feed di domini e URL possono bloccare destinazioni note di malware, phishing o C2.
  • Indirizzi WAN molto scansionati: se un IP pubblico vede continuamente traffico bot, un buon feed IPv4 può alleggerire sensibilmente firewall e log.

Da SFOS 22, i Threat Feeds sono particolarmente interessanti per traffico in ingresso inoltrato come DNAT e WAF. La firewall può così riconoscere fonti dannose note anche davanti ai servizi pubblicati. Per installazioni più vecchie o ambienti misti, questo punto va verificato consapevolmente prima di assumere lo stesso livello di protezione.

Ma i feed delle minacce non sostituiscono la pubblicazione pulita. Se un servizio è accessibile tramite DNAT o WAF, solo le porte necessarie dovrebbero essere aperte, le reti o i paesi di origine dovrebbero essere limitati, le regole IPS/WAF attivate e i log controllati. I feed delle minacce sono un componente di protezione aggiuntivo, non un pass gratuito per le regole generali di Any.

Requisiti e licenza

Per utilizzare Third-Party Threat Feeds su Sophos Firewall è necessario lo Xstream Protection Bundle. Per questo modulo non servono licenze Sophos Central aggiuntive. Altri moduli Threat Feed hanno requisiti propri: Sophos X-Ops Threat Feeds richiede Network Protection, MDR Threat Feeds richiede inoltre Sophos MDR Essentials o MDR Complete in Sophos Central e NDR Essentials richiede Xstream Appliance Bundle.

Inoltre, dovresti controllare prima del lancio:

  • Il firewall funziona su una versione SFOS con supporto per feed di minacce di terze parti.
  • Il firewall può raggiungere l’URL del feed tramite DNS e HTTPS.
  • Per ogni feed viene utilizzato un Tipo indicatore chiaro, ad esempio IPv4 address, Domain o URL.
  • Il feed è un file di testo semplice con un indicatore per riga.
  • Range IP, indirizzi IPv6, indirizzi di rete, domini wildcard ed espressioni regolari non sono il formato adatto per Third-Party Threat Feeds.
  • La registrazione della risposta attiva alle minacce è abilitata.
  • È chiaro se il feed inizialmente viene solo osservato o direttamente bloccato.

Raccomandazione pratica: introdurre i nuovi feed in modo controllato. Se la firewall lo consente, si inizia con una fase di osservazione, si controllano gli hit nel Log Viewer e poi si passa al blocco. In questo modo si vede presto se sistemi legittimi sarebbero interessati.

URL Feeds e TLS Inspection

I feed IP e domini sono per lo più facili da capire. I feed URL sono un po’ più impegnativi perché il firewall deve vedere il percorso URL pertinente. Con il traffico HTTPS ciò non è sempre possibile senza un’adeguata decrittografia.

Se i feed URL devono essere utilizzati in modo produttivo, è quindi necessario verificare se il Proxy Web, il Motore DPI e Ispezione TLS sono adatti all’ambiente. Senza una visione chiara del traffico HTTPS, un feed URL può essere meno efficace del previsto.

Per i feed di domini e URL, la sola configurazione del feed non è sempre sufficiente. La firewall richiede una regola firewall adatta al traffico e, a seconda del traffico, Application Classification o una policy IPS. Per percorsi URL completi su HTTPS servono inoltre decrittografia Web Proxy o DPI con una regola SSL/TLS inspection adeguata. Se un feed sembra non produrre hit, non va controllato solo l’URL del feed, ma anche la regola firewall, il percorso di inspection e le exclusions.

Pianificazione prima del rollout

Monitor o Block?

Un Threat Feed può monitorare o bloccare a seconda della versione SFOS e della configurazione. Per la sicurezza produttiva il blocco è spesso l’obiettivo, ma non ogni feed dovrebbe essere messo subito alla cieca in modalità block.

  • Monitor: rendere visibili gli hit senza bloccare direttamente il traffico. Controllare volume dei log, sorgenti/destinazioni coinvolte e hit inattesi.
  • Block: fermare attivamente indicatori dannosi noti. Preparare processo per false positives, alerting ed eccezioni.
  • Review: verificare efficacia ed effetti collaterali. Valutare qualità del feed, vecchi hit, casi di supporto e rischio di business.

Per servizi molto esposti, un feed IPv4 ben curato può ridurre subito molto rumore. Con feed di domini o URL conviene essere più cauti, perché servizi legittimi possono passare più spesso da infrastrutture condivise, CDN o redirect.

Sophos valuta i feed Block e Monitor nell’ordine visualizzato. Viene loggato il primo hit corrispondente in entrambi i tipi di feed; il blocco si basa sul primo hit nella lista Block. L’ordine è quindi rilevante nella pratica: un feed Block produttivo e ben curato non dovrebbe trovarsi tra feed di test, liste incident temporanee e sorgenti sperimentali.

Ordine e posizione dei feed

Quando si aggiunge un Third-Party Feed, si può definire la posizione del feed. Sembra banale, ma è utile in operatività: feed critici e ben curati dovrebbero avere nomi chiari e un ordine definito. Feed di test, feed temporanei o sorgenti con rischio più alto di false positives non dovrebbero essere nascosti tra feed produttivi.

Convenzione pratica per i nomi:

  • Feed IPv4 produttivo in block: cybora-premium-ipv4-block
  • Domain feed in modalità monitor: cybora-standard-domain-monitor
  • Feed temporaneo per incident: incident-2026-06-c2-ipv4

Un buon nome mostra fornitore, piano o scopo, tipo di indicatore e azione. Questo fa risparmiare tempo nel Log Viewer e nelle review successive.

Sincronizzazione e Storage Quota

Per Third-Party Threat Feeds, Sophos Firewall mostra feed attivi, numero totale di Threat Indicators, Storage Quota e stato di sincronizzazione. Questi valori non vanno ignorati dopo la configurazione.

Controlli importanti:

  • Sync status: Success, Fetching o Disabled sono rapidi da classificare. Con Authentication error, Connection error, Storage full, SSL/TLS error o Failed, verificare miratamente causa e feed.
  • Last updated: il timestamp corrisponde all’intervallo di polling previsto.
  • Storage quota: la firewall ha ancora spazio sufficiente per gli IoC caricati.
  • Threat indicators: il numero corrisponde grossolanamente all’aspettativa del fornitore.
  • Synchronize now: la sincronizzazione manuale funziona quando una modifica non deve attendere il prossimo intervallo di polling.

Se la Storage Quota è piena, la colpa non è automaticamente del fornitore del feed. Le appliance piccole hanno meno margine rispetto ai modelli più grandi. La firewall continua a recuperare gli IoC all’intervallo configurato e aggiorna la lista appena torna disponibile spazio. Tuttavia conviene verificare ambito del feed, tipi di indicatori e priorità invece di collegare sempre più liste.

Sui modelli XGS più piccoli anche l’intervallo di polling può essere limitato. Secondo Sophos, XGS 87/87w, 88/88w e 107/107w supportano per Third-Party Threat Feeds solo 24h, 7d e 30d come opzioni di Polling interval. Se un feed acquistato si aggiorna più spesso, questa differenza di piattaforma va considerata nelle aspettative di attualità ed effetto di blocco.

Dal feed delle minacce gratuito a quello definitivo – di Cybora

Un’intelligence sulle minacce affidabile e aggiornata è fondamentale. Avanet si affida per questo a piani Threat Feed curati di Cybora, progettati specificamente per l’uso su Sophos Firewall.

I feed vengono compilati da varie fonti per garantire un rilevamento delle minacce il più ampio e affidabile possibile. Rientrano dati community e OSINT, informazioni acquistate commercialmente, risultati da honeypot e log anonimizzati di attacchi, errori e anomalie da ambienti Sophos Firewall realmente gestiti.

Gratuito (Base) è adatto per utenti domestici, PoC e test di compatibilità. Lo standard aggiunge importanti domini malware e phishing al feed IPv4. Premium espande la copertura per includere domini e URL con aggiornamenti orari. Ultimate è progettato per infrastrutture critiche e perimetri ad alto rischio con aggiornamenti di 15 minuti.

I feed delle minacce di Sophos Firewall filtrano più rapidamente le infrastrutture dannose note. A seconda dell’ambiente, per i test è sufficiente il piano Basic gratuito, mentre Standard, Premium e Ultimate sono destinati alle esigenze produttive con copertura e tempestività crescenti.

Cybora è particolarmente adatto quando serve un feed concreto e acquistabile per Sophos Firewall e non si vogliono raccogliere, formattare, verificare e gestire autonomamente più liste OSINT. Il valore pratico non sta nella lista più grande, ma in indicatori curati, piani di feed chiari e un percorso operativo adatto alla funzione Third-Party Threat Feed di Sophos Firewall.

Confronta i feed delle minacce

Free / Basic

Free (Basic)

$0/all'anno

  • Intervallo di aggiornamento: ogni 24 h
  • IPv4: 20,000 IPv4
  • Supporto: Nessun supporto
Scegli

Basic Protection

Standard

$179/all'anno

  • Intervallo di aggiornamento: ogni 6 h
  • IPv4: 85,000 IPv4
  • Domini: Top 5,000 Domini
  • Supporto: Standard
Scegli

Advanced Protection

Premium

$349/all'anno

  • Intervallo di aggiornamento: ogni 1 h
  • IPv4: 220,000 IPv4
  • Domini: 45,000 Domini
  • URL: 25,000 URL
  • Supporto: Priorità
Scegli

Mission-Critical Protection

Ultimate

$1,999/all'anno

  • Intervallo di aggiornamento: ogni 15 min
  • IPv4: 300,000+ IPv4
  • Domini: 100,000+ Domini
  • URL: 100,000 URL
  • Supporto: Molto alto
Scegli

Quando confronti, non dovresti prestare attenzione solo al numero di voci. Un elenco enorme non è automaticamente migliore se produce molti falsi positivi o è gestito male. È fondamentale che il feed sia aggiornato, curato e facile da usare per il firewall.

Criteri importanti:

  • Aggiornamento dei dati
  • tipi di indicatori supportati
  • Qualità e cura delle fonti
  • Intervallo di aggiornamento
  • Rischio falso positivo
  • Tracciabilità nel visualizzatore di log
  • processo di eccezione sensato

Rete firewall Avanet

Parte del feed Premium sono dati provenienti da una rete firewall distribuita. Questa visione è particolarmente interessante per modelli di attacco difficilmente percepibili su un singolo firewall.

Avanet Firewall Network - Premium Threat Intelligence Feed
Avanet Firewall Network - Premium Threat Intelligence Feed

Molti strumenti rilevano facilmente attacchi di forza bruta su singoli indirizzi IP, ma falliscono quando si tratta di attacchi botnet distribuiti. In questi casi, ciascun host controllato dall’aggressore effettua solo pochi tentativi di accesso falliti a bassa frequenza, evitando così il rilevamento e il blocco.

Alcune botnet contengono centinaia di migliaia di host infetti, consentendo ai criminali informatici di sferrare massicci attacchi di forza bruta senza essere bloccati.

Da questi pattern nasce un Threat Intelligence Feed costantemente aggiornato con IP risultati sospetti su più sistemi. Tramite aggregazione e alimentazione continua di questi dati nel Threat Intelligence Feed, gli indirizzi IP che attaccano in modo mirato infrastrutture vengono identificati e bloccati automaticamente.

Quali feed di minacce non sostituiscono

I feed delle minacce sono potenti, ma non sostituiscono i fondamenti di un firewall pulito.

Da non sostituire:

  • regole firewall restrittive
  • MFA per VPN, portali e accesso amministrativo
  • Accesso al dispositivo e ACL del servizio locale, come descritto in Protezione dell’accesso a Sophos Firewall.
  • Ispezione IPS, WAF, protezione Web e TLS
  • Gestione delle patch e degli hotfix
  • Registrazione, reporting e monitoraggio regolare

Ad esempio, se un server web viene pubblicato tramite DNAT, la regola del firewall dovrebbe comunque avere fonti il più limitate possibile, servizi specifici e logging attivato. Un feed di minacce blocca le fonti dannose note, ma possono comunque arrivare aggressori sconosciuti o nuovi.

Configurare il feed delle minacce di Sophos Firewall

L’integrazione dei Cybora Threat Feeds è semplice e richiede solo pochi minuti. Tutti i feed sono pienamente compatibili con la funzione Third-Party Threat Feed di Sophos Firewall e possono essere aggiunti tramite l’interfaccia web della firewall come segue:

  1. Apri menu: Protect > Active threat response > Third-party threat feeds > Add
  2. Inserisci i dati di base
    • Nome: cybora-premium-ipv4
    • Descrizione: Cybora Feed - Premium
  3. Imposta il tipo di indicatore
    • Tipo indicatore: IPv4 address, Domain o URL
    • Creare un feed separato per ogni tipo di indicatore se la stessa fonte offre IP, domini e URL.
  4. Seleziona azione
    • Per blocco produttivo: Block.
    • Per iniziare con cautela: scegliere Monitor o un’azione osservativa, se disponibile e sensata.
  5. Archivia URL del feed
    • Inserisci l’indirizzo appropriato dall’elenco dei feed Avanet nel campo URL esterno.
    • L’URL deve restituire un file di testo con un indicatore per riga.
  6. Imposta intervallo di polling
    • Scegli Intervallo di polling: in modo che corrisponda al feed prenotato.
    • Un tempo più breve non aiuta se il feed stesso si aggiorna solo a intervalli più lunghi.
  7. Configura l’autenticazione (se necessario)
    • A seconda del feed, senza autenticazione, con API key o con Basic Authentication.
    • Non esporre credenziali o feed key in ticket, screenshot o documentazione pubblica.
  8. Testa la connessione e salva
    • Esegui Verifica connessione.
    • Quindi salva con Salva.
Sophos Firewall Threat Feeds hinzufügen
Sophos Firewall Threat Feeds hinzufügen

Dopo il salvataggio non bisognerebbe passare subito al tema successivo. Prima va verificato se il feed si sincronizza, se il numero atteso di IoC è visibile e se nel Log Viewer gli hit mostrano in modo comprensibile nome del feed, azione, sorgente e destinazione.

Controllo durante il funzionamento

Dopo averlo configurato, non dovresti dare per scontato che tutto andrà bene. È importante che i risultati siano visibili e spiegabili.

  1. Controlla System services > Log settings e attiva la registrazione attiva della risposta alle minacce.
  2. Filtrare per Active threat response in Log viewer.
  3. Controlla quale feed ha colpito.
  4. Controllare l’origine, la destinazione, il servizio e la regola firewall interessata.
  5. Non stabilire un’eccezione generale per i falsi positivi, ma controllare e documentare l’indicatore specifico.

Soprattutto con DNAT, WAF e VPN Portal, dopo l’attivazione si vede spesso molto rapidamente quanto traffico indesiderato provenga da fonti dannose note. Per questo i Threat Feeds sono particolarmente adatti come ulteriore componente di protezione per servizi esposti.

Se un feed non mostra hit

Nessun hit non significa automaticamente che il feed sia scadente. Un altro componente Active Threat Response può riconoscere prima lo stesso IoC, il traffico rilevante può non passare dalla regola firewall corretta oppure la firewall può non vedere abbastanza contesto per domini e URL.

Controlli utili:

  1. Aprire Threat indicators e cercare un indicatore di test noto.
  2. Verificare se il feed è attivo e se il Sync status mostra Success.
  3. Con Authentication error, verificare credenziali o API key.
  4. Con Connection error, verificare DNS, accesso internet, stato HTTP e server del feed.
  5. Con SSL/TLS error, verificare il certificato CA e la catena dei certificati del server del feed.
  6. Con Failed, verificare formato del feed, apertura del file nel browser e indicatori non validi.
  7. Verificare regola firewall e Log Viewer per il traffico atteso.
  8. Per feed di domini, verificare Application Classification o policy IPS.
  9. Per feed URL, verificare Web Proxy, DPI e regola SSL/TLS inspection.
  10. Controllare Threat Exclusions, Web Exclusions e SSL/TLS Exclusion Lists.
  11. Se dopo una fase di osservazione non compaiono hit rilevanti, rivalutare ambito o posizione del feed.

Gestire i false positives

I false positives sono possibili con ogni blocklist dinamica. Decisivo è gestirli in modo pulito.

Procedura pratica:

  1. Aprire la voce interessata nel Log Viewer.
  2. Annotare nome del feed, tipo di indicatore, azione, Source, Destination e Service.
  3. Verificare se il traffico è previsto e legittimo dal punto di vista tecnico.
  4. Controllare o segnalare l’indicatore presso il fornitore del feed.
  5. Impostare un’eccezione il più stretta possibile.
  6. Documentare ticket, motivo e data di review.

Non è una buona soluzione creare un’eccezione ampia per intere reti solo perché un utente “non riesce ad aprire una pagina”. Per hit URL o domain va inoltre verificato se sono coinvolti TLS Inspection, Web Policy, DNS Protection o un’altra funzione di sicurezza.

Checklist operativa

  • Nome feed, fornitore, piano e owner documentati.
  • Tipo di indicatore impostato chiaramente per ogni feed.
  • Azione Monitor o Block scelta consapevolmente.
  • Intervallo di polling adatto al feed.
  • Verifica del certificato e autenticazione testate.
  • Stato di sincronizzazione e Storage Quota verificati.
  • Active-Threat-Response-Logs visibili.
  • Processo false-positive definito con data di review.
  • Scenari DNAT, WAF e VPN valutati in base alla versione SFOS.
  • Alert o report pianificati per hit ricorrenti.

Domande frequenti

Quale licenza serve per Third-Party Threat Feeds?

In pratica, per Third-Party Threat Feeds su Sophos Firewall è necessario lo Xstream Protection Bundle. Per questo modulo specifico non è richiesta alcuna licenza Sophos Central aggiuntiva.

Conviene far bloccare subito i Threat Feeds?

Per i feed noti e curati, l’obiettivo è il blocco. Negli ambienti sensibili, può ancora avere senso osservare prima i risultati ed escludere i falsi positivi.

I Threat Feeds aiutano anche con DNAT o WAF?

Sì, soprattutto da SFOS 22 è un caso d’uso importante. I servizi pubblicati vengono trovati rapidamente da bot e scanner. Un feed IPv4 può bloccare fonti dannose note prima che raggiungano il servizio pubblicato o l’applicazione WAF.

Perché servono feed separati per IP, domini e URL?

Il Sophos Firewall elabora un feed in base al tipo di indicatore selezionato. Se una fonte fornisce diversi tipi, dovresti crearli separatamente come feed IPv4, dominio o URL.

Un Threat Feed sostituisce IPS o WAF?

No. I feed delle minacce bloccano gli indicatori dannosi noti. Restano necessari IPS, WAF, protezione web, ispezione TLS, MFA, gestione delle patch e regole firewall pulite.

Cosa fare se un Threat Feed blocca traffico legittimo?

Verificare prima la voce di log: nome del feed, tipo di indicatore, sorgente, destinazione, servizio e azione. Poi valutare tecnicamente l’indicatore, segnalarlo al fornitore e impostare solo un’eccezione stretta con motivo e data di review.