Naar de inhoud
Avanet
Threat Intelligence Feeds voor de Firewall – Aanvallen blokkeren voordat ze aankloppen

Threat Intelligence Feeds voor de Firewall – Aanvallen blokkeren voordat ze aankloppen

25. AUGUSTUS 2025

Op sommige dagen voel je je als IT-beheerder alsof je onder constant vuur ligt: elke minuut proberen bots en cybercriminelen mazen in het netwerk te vinden. Een blik in de firewall-logs toont een vloed aan verdachte verbindingspogingen van over de hele wereld. Zou het niet geruststellend zijn als bekende aanvallers niet eens mochten aankloppen bij uw eigen netwerk? Precies hier komen Threat Feeds in het spel – vaak ook Threat Intelligence Feeds of kortweg Threat Intel Feeds genoemd. Maar wat zit erachter, en waarom zou je dergelijke feeds op de firewall gebruiken?

Waarom heb je Threat Feeds nodig op de firewall?

Threat Feeds zijn in feite voortdurend bijgewerkte lijsten met bekende Indicators of Compromise (IoC’s) – bijvoorbeeld kwaadaardige IP-adressen, domeinen of URL’s. Deze feeds worden geleverd door gespecialiseerde bronnen: beveiligingsorganisaties, industrie-initiatieven, open-source communities of commerciële threat intelligence-aanbieders. Een moderne firewall kan dergelijke externe feeds importeren en daardoor dataverkeer van bekende bedreigingen automatisch blokkeren, nog voordat een aanval daadwerkelijk plaatsvindt.

Er verschijnen voortdurend nieuwe bedreigingen, en geen enkele beheerder kan handmatig alle gevaarlijke IP’s en domeinen in de gaten houden. Hier levert een Threat Intelligence Feed de firewall als het ware extra kennis: het informeert deze continu over welke bronnen momenteel bekend staan als gevaarlijk. Zo kan de firewall verbindingen naar deze doelen voorkomen voordat malware of aanvallers enige schade aanrichten. In nieuwere firewallmodellen (bijv. Sophos vanaf versie 21 met Active Threat Response) is de ondersteuning voor dergelijke feeds van derden al stevig geïntegreerd. Maar ook veel andere fabrikanten hebben vergelijkbare functies – het principe blijft hetzelfde.

De voordelen van een Threat Feed op de firewall liggen voor de hand:

  • Proactieve bescherming: Bekende bedreigingen worden geblokkeerd voordat ze uw netwerk bereiken en schade kunnen aanrichten.
  • Flexibiliteit: U kunt feeds uit verschillende bronnen gebruiken en aanpassen aan uw eigen eisen – van gratis community-feeds tot hooggespecialiseerde premium-feeds.
  • Automatisering: De firewall werkt de feed bij en gebruikt deze automatisch; voortdurend handmatig bijwerken van blokkeerlijsten is niet meer nodig, wat beheerders aanzienlijk ontlast.

Samenvattend werkt de firewall met Threat Feed als een waarschuwingssysteem dat bekende slechte afzenders al aan de netwerkgrens onderschept. Dit verhoogt de beveiliging van de infrastructuur aanzienlijk en vermindert tegelijkertijd merkbaar het ongewenste verkeer dat überhaupt doordringt in interne systemen.

Proactieve verdediging: Bots en aanvallen vooraf stoppen

Een praktisch voorbeeld van de meerwaarde van Threat Feeds is de verdediging tegen botnet-gebaseerde aanvallen. Veel beveiligingsmechanismen (zoals blokkeren na X mislukte pogingen) detecteren brute-force aanvallen relatief betrouwbaar als ze afkomstig zijn van één IP-adres. Moderne aanvallers verdelen hun pogingen echter over talloze bots: elke afzonderlijke geïnfecteerde host probeert bijvoorbeeld slechts één of twee inlogpogingen, en dat over een lange periode. Geen enkel IP-adres valt lokaal negatief op – de aanvallen blijven onder de radar en omzeilen conventionele beschermingsmechanismen zoals Fail2Ban of inloglimieten.

Hier speelt een breed gepositioneerde Threat Intelligence Feed zijn kracht uit. Als de logs van veel firewalls worden geëvalueerd, kan worden gezien dat bepaalde IP-adressen verdachte activiteiten vertonen die over meerdere systemen zijn verdeeld. Als hetzelfde IP-adres bijvoorbeeld verschijnt in de inloglogs van tientallen verschillende bedrijven met mislukte pogingen, is dit een duidelijke indicatie van een gecoördineerde aanval. Dergelijke adressen worden dan gemarkeerd in de Threat Feed en centraal geblokkeerd. Uw eigen firewall leert hiervan: zodra een van deze botnet-hosts het slechts één keer bij u probeert, wordt deze onmiddellijk geïdentificeerd en afgeweerd – dankzij feed-kennis – zonder dat deze enige noemenswaardige schade kan aanrichten.

Avanet Firewall Network - Premium Threat Intelligence Feed
Avanet Firewall Network - Premium Threat Intelligence Feed

Afbeelding: Het wereldwijde firewallnetwerk van Avanet dient als een zintuiglijk waarschuwingssysteem. Als een beheerde firewall een verdacht IP-adres detecteert en dit meldt aan de centrale clouddatabase, ontvangen alle aangesloten deelnemers deze informatie. Het kwaadaardige IP wordt gemarkeerd in de Threat Intelligence Feed en daardoor geblokkeerd op alle firewalls in het netwerk. Op deze manier profiteert iedereen van de ervaringen van anderen.

Door deze gedeelde Threat Intelligence kunnen ook gedistribueerde, sluipende aanvallen proactief worden gestopt. Elk nieuw gedetecteerd kwaadaardig IP-adres landt binnen korte tijd in de feed – en daarmee op de blokkeerlijst van alle deelnemende firewalls. Als gevolg hiervan wordt het aantal succesvolle aanvalspogingen drastisch verminderd. De firewall hoeft minder “ruis” te verwerken en echte aanvallen hebben het veel moeilijker om ongezien door te komen.

Eenvoudige integratie in Sophos, Fortinet, Palo Alto & Co.

Gelukkig is het eenvoudig om een Threat Feed te integreren in gangbare firewallplatforms. Hoewel we ons bij Avanet voornamelijk richten op Sophos Firewall, kan onze feed net zo goed worden geïntegreerd in oplossingen van andere fabrikanten. Of het nu Fortinet FortiGate, Palo Alto Networks, Check Point, OPNsense of anderen zijn – de meeste moderne firewalls ondersteunen externe blokkeerlijsten/Threat Feeds en kunnen zich abonneren op een lijst met IP’s/domeinen via URL.

Threat Intelligence Feeds toevoegen op Sophos Firewall
Threat Intelligence Feed toevoegen op Sophos Firewall

Met Sophos XGS als voorbeeld kunt u zien hoe eenvoudig het is: via de webinterface in het menu “Third-Party Threat Feeds” voegt u een nieuwe feed toe, geeft u een naam, de feed-URL en het type (IPv4, Domein of URL) op, selecteert u Blokkeren als actie – klaar. Het werkt vergelijkbaar met Fortinet of Palo Alto, alleen heten de functies daar iets anders (zoals External Block List bij FortiGate of External Dynamic List bij Palo Alto).

Over het algemeen zijn er slechts een paar stappen nodig om onze feed te integreren:

  1. Feed-URL verkrijgen: Eerst ontvangt u van ons de URL voor de gewenste Threat Feed (bijv. voor de Basic Feed of Premium).
  2. Invoeren in firewall: Open het gebied voor externe/aangepaste Threat Feeds of blokkeerlijsten in de firewall-interface en voeg daar een nieuwe feed/connector toe. Naam en beschrijving kunnen vrij worden gekozen. Als bron deponeert u de ontvangen feed-URL.
  3. Filterregels instellen: Specificeer welk type indicator wordt geïmporteerd (IPv4-adressen, domeinen, URL’s) en wat de firewall ermee moet doen – meestal blokkeren. Stel vervolgens het polling-interval in (bijv. elke 6 uur) en sla de configuratie op.

Na deze stappen maakt de firewall automatisch verbinding met de feed en laadt de huidige Indicators of Compromise. Vanaf dit moment draait de Threat Intel-voorziening op de achtergrond: de lijst met kwaadaardige IP’s en domeinen wordt regelmatig bijgewerkt en de firewall blokkeert alle adressen die erin staan volledig automatisch. De integratie duurt vaak maar een paar minuten – de winst in veiligheid is echter enorm.

Gecureerde Threat Intelligence Feeds van Avanet

Nu zijn er talrijke vrij beschikbare blokkeerlijsten en Threat Feeds op internet. Dus waarom een feed van Avanet gebruiken? De uitdaging ligt in de kwaliteit en actualiteit van de gegevens. We hebben onze eigen Threat Intelligence Feed gebouwd, die speciaal is geoptimaliseerd voor firewalls en voortdurend wordt verfijnd. Onze aanpak combineert veel bronnen en filtert ze intelligent om een uitgebreid en betrouwbaar resultaat te leveren. Hiervoor gebruiken we onder andere:

  • Openbare community- en OSINT-lijsten: bijv. bekende blokkeerlijsten uit de beveiligingscommunity die actuele bedreigingen verzamelen.
  • Commerciële Threat Intelligence: ingekochte datafeeds van gespecialiseerde beveiligingsaanbieders die exclusief materiaal leveren (bijv. over nieuwe malware-domeinen).
  • Eigen honeypots: We beheren honeypot-systemen die aanvallers op internet aantrekken en hun IP’s, domeinen en aanvalspatronen registreren.
  • Firewallnetwerk van onze klanten: Veel door ons beheerde firewalls sturen geanonimiseerde aanvals- en anomalielogs naar onze centrale database (uiteraard alleen met toestemming). Deze echte veldgegevens laten vroegtijdig zien welke IP’s momenteel actief aanvallen in het wild.

Door al deze informatie samen te voegen, ontstaat een voortdurend bijgewerkte gegevensstroom van kwaadaardige indicatoren die veel verder gaat dan individuele bronnen. Belangrijker nog: we cureren en verifiëren de gegevens om valse positieven grotendeels uit te sluiten. In plaats van gewoon alle mogelijke lijsten ongezien bij elkaar te gooien – wat gemakkelijk legitieme diensten onterecht zou kunnen blokkeren – richten we ons op kwaliteit boven kwantiteit. Elk IP of domein in de Avanet-feed heeft zich daadwerkelijk laten zien als een aanval of kwaadaardige infrastructuur, vaak op meerdere onafhankelijke systemen. Hierdoor kunt u onze feeds vertrouwen en ze met een gerust geweten op de firewall activeren, zonder bang te hoeven zijn om legitiem verkeer onnodig te blokkeren.

Onze Threat Intelligence Feed is sinds eind 2024 productief in gebruik en is getest in verschillende klantomgevingen onder echte omstandigheden. In gecontroleerde rollouts hebben we curatielogica, update-intervallen en kwaliteitscontroles voortdurend verfijnd. Het resultaat is een stabiele, praktische feed die zonder extra inspanning op de firewall werkt en voortdurend wordt verbeterd met operationele feedback. Zo profiteren nieuwe installaties direct van de bevindingen uit het veld.

Vier Threat Feed-pakketten voor elke behoefte

Niet elke omgeving heeft dezelfde diepte van Threat Intelligence nodig. Daarom bieden we onze feed aan in vier uitbreidingsfasen – van het gratis basispakket tot de high-end oplossing. Zo vindt iedereen het juiste beschermingsniveau:

Basic

  • 0 CHF per jaar
  • Update-interval: elke 24 u
  • IPv4 Feeds: ≈ 30.000 IP’s

Feed aanvragen

Standard

  • 179 CHF per jaar
  • Update-interval: elke 6 u
  • IPv4 Feeds: ≈ 45.000 IP’s
  • Ondersteuning
  • 100 % korting voor Sophos Firewall-abonnee*

Gratis aanvragen voor Firewall-abonnees Abonneren

Premium

  • 349 CHF per jaar
  • Update-interval: elke 1 u
  • IPv4 Feeds: ≈ 120.000 IP’s
  • Domein / URL Feeds
  • Ondersteuning
  • 14 % korting voor Sophos Firewall-abonnees*

Abonneren

Ultimate

1999 CHF per jaar

  • Update-interval: elke 15 min
  • IPv4 Feeds: ≈ 180.000 IP’s
  • Domein / URL Feeds
  • Ondersteuning
  • 10 % korting voor Sophos Firewall-abonnees*

Abonneren

*De korting geldt voor alle bestaande klanten van Avanet met een actief Sophos Firewall-abonnement.

  • Basic: Gratis basisbescherming met community-gebaseerde basislijsten. Bevat ongeveer 30.000 bekende kwaadaardige IP-adressen en wordt elke 24 uur bijgewerkt. Ideaal voor kleinere omgevingen die kosteneffectief een solide basisbeveiliging willen.
  • Standard: Gecureerde standaardfeed met bredere dekking (ca. 45.000 IP’s) en updates elke 6 uur. Integreert extra betrouwbare bronnen om nauwkeurigere detectie mogelijk te maken en het aantal valse positieven te verminderen. Geschikt voor bedrijven die hun beveiliging merkbaar willen verhogen en tegelijkertijd onnodig verkeer willen verminderen.
  • Premium: Premium-feed voor hoge eisen, elk uur bijgewerkt. Bevat ongeveer 120.000 bekende slechte IP’s evenals – vanaf Q4/2025 – aanvullend uitgebreide domein- en URL-feeds (meer dan 30 gecureerde lijsten). Bevat exclusieve gegevens van onze honeypots, partnerfeeds en real-time analyses. Voor organisaties die geen compromissen willen sluiten op het gebied van beveiliging.
  • Ultimate: Het zorgeloze totaalpakket met maximale dekking. Bevat alle beschikbare datapunten (momenteel ~190.000 IP’s) en wordt elke 15 minuten bijgewerkt – bijna in real-time. Biedt de hoogst mogelijke bescherming en is vooral interessant voor kritieke infrastructuren of grotere bedrijven die zich tegen elke bedreiging willen wapenen. (Dit pakket wordt individueel aangeboden en is gericht op zeer veeleisende omgevingen.)

Alle varianten van onze Threat Feed zijn volledig compatibel met de Sophos Firewall (vanaf v21 met bijbehorende Xstream Protection-licentiebundel) en de genoemde andere systemen. U kunt klein beginnen – bijvoorbeeld met de gratis Basic Feed – en indien nodig overstappen naar hogere niveaus als de beveiligingseisen groeien. Voor bestaande klanten die ons Sophos Firewall-abonnement al gebruiken, zijn er kortingen op de betaalde feedpakketten, dus een integratie is dubbel de moeite waard.

Conclusie – Probeer het uit en wees het gevaar een stap voor

Aanvallen worden elke dag geavanceerder en talrijker – maar u hoeft ze niet onbeschermd tegemoet te treden. Een Threat Intelligence Feed geeft de firewall de nodige voorsprong om bekende gevarenbronnen te blokkeren nog voordat ze aan de deur kloppen. De ervaring leert: Zodra zo’n feed is geactiveerd, is men vaak verrast hoeveel verbindingspogingen al in de eerste paar dagen automatisch worden voorkomen. Alle bot-verzoeken, scanners en dubieuze inlogpogingen, die voorheen moeizaam door interne systemen of door aparte regels moesten worden afgeweerd, ketsen nu direct af op de firewall.

Dus waarom ervaart u niet gewoon zelf welk verschil het maakt? Met onze Avanet Basic Feed kunt u gratis en vrijblijvend testen hoeveel ongewenst verkeer er in uw eigen omgeving optreedt – en hoeveel daarvan al in de kiem wordt gesmoord door de Threat Feed. De verkregen inzichten scheppen vertrouwen: u ziet zwart op wit welk deel van het dagelijkse verkeer daadwerkelijk kwaadaardig is en nu de beveiligingsinfrastructuur helemaal niet meer belast.

Uiteindelijk geldt: “Uw firewall verdient meer kennis.” Een Threat Feed is een effectief middel om deze kennis te verschaffen. Door gebruik te maken van zwermintelligentie uit duizenden bronnen, blijft u aanvallers altijd een stap voor. Probeer het uit – uw firewall (en uw gemoedsrust) zullen u dankbaar zijn.

FAQ

Wat is een Threat Feed of Threat Intelligence Feed?

Een continu bijgewerkte gegevensstroom met indicatoren voor aanvallen zoals IP’s, domeinen of URL’s die automatisch door de firewall kunnen worden geblokkeerd.

Waarin verschilt een Threat Feed van klassieke firewallregels of IPS?

Threat Feeds werken op basis van reputatie en proactief voordat een aanval zichtbaar wordt. Regels en IPS reageren meestal op patronen in het verkeer. Beide vullen elkaar aan.

Welke licentievereisten gelden bij Sophos?

Voor de comfortabele integratie van externe feeds is meestal Xstream Protection vereist.

Welke firewalls worden ondersteund?

Sophos, Fortinet, Palo Alto, Check Point, OPNsense en andere platforms met ondersteuning voor externe blokkeerlijsten of External Dynamic Lists.

Sinds wanneer is de Avanet Feed in gebruik?

Productief bij meerdere klanten sinds eind 2024, continu doorontwikkeld op basis van echte operationele gegevens.

Hoe groot is het Avanet Threat-Intel-netwerk?

Honderden productieve firewalls van onze klanten evenals meerdere wereldwijd verspreide honeypot-servers op vijf continenten leveren continu telemetriegegevens. Deze vloeien gecureerd in onze Threat Feed en worden voortdurend bijgewerkt.
Patrizio

Patrizio

Patrizio is een ervaren netwerkspecialist met focus op Sophos-firewalls, switches en access points. Hij ondersteunt klanten en IT-teams bij configuratie, migratie en een schone netwerksegmentatie.