Threat Intelligence Feeds voor de Firewall – Aanvallen blokkeren voordat ze aankloppen

Op sommige dagen voel je je als IT-beheerder alsof je onder constant vuur ligt: elke minuut proberen bots en cybercriminelen mazen in het netwerk te vinden. Een blik in de firewall-logs toont een vloed aan verdachte verbindingspogingen van over de hele wereld. Zou het niet geruststellend zijn als bekende aanvallers niet eens mochten aankloppen bij uw eigen netwerk? Precies hier komen Threat Feeds in het spel – vaak ook Threat Intelligence Feeds of kortweg Threat Intel Feeds genoemd. Maar wat zit erachter, en waarom zou je dergelijke feeds op de firewall gebruiken?

Waarom heb je Threat Feeds nodig op de firewall?

Threat Feeds zijn in feite voortdurend bijgewerkte lijsten met bekende Indicators of Compromise (IoC’s) – bijvoorbeeld kwaadaardige IP-adressen, domeinen of URL’s. Deze feeds worden geleverd door gespecialiseerde bronnen: beveiligingsorganisaties, industrie-initiatieven, open-source communities of commerciële threat intelligence-aanbieders. Een moderne firewall kan dergelijke externe feeds importeren en daardoor dataverkeer van bekende bedreigingen automatisch blokkeren, nog voordat een aanval daadwerkelijk plaatsvindt.

Er verschijnen voortdurend nieuwe bedreigingen, en geen enkele beheerder kan handmatig alle gevaarlijke IP’s en domeinen in de gaten houden. Hier levert een Threat Intelligence Feed de firewall als het ware extra kennis: het informeert deze continu over welke bronnen momenteel bekend staan als gevaarlijk. Zo kan de firewall verbindingen naar deze doelen voorkomen voordat malware of aanvallers enige schade aanrichten. In nieuwere firewallmodellen (bijv. Sophos vanaf versie 21 met Active Threat Response) is de ondersteuning voor dergelijke feeds van derden al stevig geïntegreerd. Maar ook veel andere fabrikanten hebben vergelijkbare functies – het principe blijft hetzelfde.

De voordelen van een Threat Feed op de firewall liggen voor de hand:

• Proactieve bescherming: Bekende bedreigingen worden geblokkeerd voordat ze uw netwerk bereiken en schade kunnen aanrichten.
• Flexibiliteit: U kunt feeds uit verschillende bronnen gebruiken en aanpassen aan uw eigen eisen – van gratis community-feeds tot hooggespecialiseerde premium-feeds.
• Automatisering: De firewall werkt de feed bij en gebruikt deze automatisch; voortdurend handmatig bijwerken van blokkeerlijsten is niet meer nodig, wat beheerders aanzienlijk ontlast.

Samenvattend werkt de firewall met Threat Feed als een waarschuwingssysteem dat bekende slechte afzenders al aan de netwerkgrens onderschept. Dit verhoogt de beveiliging van de infrastructuur aanzienlijk en vermindert tegelijkertijd merkbaar het ongewenste verkeer dat überhaupt doordringt in interne systemen.

Proactieve verdediging: Bots en aanvallen vooraf stoppen

Een praktisch voorbeeld van de meerwaarde van Threat Feeds is de verdediging tegen botnet-gebaseerde aanvallen. Veel beveiligingsmechanismen (zoals blokkeren na X mislukte pogingen) detecteren brute-force aanvallen relatief betrouwbaar als ze afkomstig zijn van één IP-adres. Moderne aanvallers verdelen hun pogingen echter over talloze bots: elke afzonderlijke geïnfecteerde host probeert bijvoorbeeld slechts één of twee inlogpogingen, en dat over een lange periode. Geen enkel IP-adres valt lokaal negatief op – de aanvallen blijven onder de radar en omzeilen conventionele beschermingsmechanismen zoals Fail2Ban of inloglimieten.

Hier speelt een breed gepositioneerde Threat Intelligence Feed zijn kracht uit. Als de logs van veel firewalls worden geëvalueerd, kan worden gezien dat bepaalde IP-adressen verdachte activiteiten vertonen die over meerdere systemen zijn verdeeld. Als hetzelfde IP-adres bijvoorbeeld verschijnt in de inloglogs van tientallen verschillende bedrijven met mislukte pogingen, is dit een duidelijke indicatie van een gecoördineerde aanval. Dergelijke adressen worden dan gemarkeerd in de Threat Feed en centraal geblokkeerd. Uw eigen firewall leert hiervan: zodra een van deze botnet-hosts het slechts één keer bij u probeert, wordt deze onmiddellijk geïdentificeerd en afgeweerd – dankzij feed-kennis – zonder dat deze enige noemenswaardige schade kan aanrichten.

Afbeelding: Het wereldwijde firewallnetwerk dient als een zintuiglijk waarschuwingssysteem. Als een beheerde firewall een verdacht IP-adres detecteert en dit meldt aan de centrale clouddatabase, ontvangen alle aangesloten deelnemers deze informatie. Het kwaadaardige IP wordt gemarkeerd in de Threat Intelligence Feed en daardoor geblokkeerd op alle firewalls in het netwerk. Op deze manier profiteert iedereen van de ervaringen van anderen. Cybora verwerkt dit vervolgens voor ons tot een uitstekende Threat Feed.

Door deze gedeelde Threat Intelligence kunnen ook gedistribueerde, sluipende aanvallen proactief worden gestopt. Elk nieuw gedetecteerd kwaadaardig IP-adres landt binnen korte tijd in de feed – en daarmee op de blokkeerlijst van alle deelnemende firewalls. Als gevolg hiervan wordt het aantal succesvolle aanvalspogingen drastisch verminderd. De firewall hoeft minder “ruis” te verwerken en echte aanvallen hebben het veel moeilijker om ongezien door te komen.

Eenvoudige integratie in Sophos, Fortinet, Palo Alto & Co.

Gelukkig is het eenvoudig om een Threat Feed te integreren in gangbare firewallplatforms. Hoewel we ons bij Avanet voornamelijk richten op Sophos Firewall, kan de feed net zo goed worden geïntegreerd in oplossingen van andere fabrikanten. Of het nu Fortinet FortiGate, Palo Alto Networks, Check Point, OPNsense of anderen zijn – de meeste moderne firewalls ondersteunen externe blokkeerlijsten/Threat Feeds en kunnen zich abonneren op een lijst met IP’s/domeinen via URL.

Met Sophos XGS als voorbeeld kunt u zien hoe eenvoudig het is: via de webinterface in het menu “Third-Party Threat Feeds” voegt u een nieuwe feed toe, geeft u een naam, de feed-URL en het type (IPv4, Domein of URL) op, selecteert u Blokkeren als actie – klaar. Het werkt vergelijkbaar met Fortinet of Palo Alto, alleen heten de functies daar iets anders (zoals External Block List bij FortiGate of External Dynamic List bij Palo Alto).

Over het algemeen zijn er slechts een paar stappen nodig om de Cybora Threat Feed te integreren:

1. Feed-URL verkrijgen: Eerst ontvangt u van ons de URL voor de gewenste Threat Feed (bijv. voor de Basic Feed of Premium).
2. Invoeren in firewall: Open het gebied voor externe/aangepaste Threat Feeds of blokkeerlijsten in de firewall-interface en voeg daar een nieuwe feed/connector toe. Naam en beschrijving kunnen vrij worden gekozen. Als bron deponeert u de ontvangen feed-URL.
3. Filterregels instellen: Specificeer welk type indicator wordt geïmporteerd (IPv4-adressen, domeinen, URL’s) en wat de firewall ermee moet doen – meestal blokkeren. Stel vervolgens het polling-interval in (bijv. elke 6 uur) en sla de configuratie op.

Na deze stappen maakt de firewall automatisch verbinding met de feed en laadt de huidige Indicators of Compromise. Vanaf dit moment draait de Threat Intel-voorziening op de achtergrond: de lijst met kwaadaardige IP’s en domeinen wordt regelmatig bijgewerkt en de firewall blokkeert alle adressen die erin staan volledig automatisch. De integratie duurt vaak maar een paar minuten – de winst in veiligheid is echter enorm.

Gecureerde Threat Intelligence Feeds van Cybora

Nu zijn er talrijke vrij beschikbare blokkeerlijsten en Threat Feeds op internet. Dus waarom een feed van Cybora gebruiken? De uitdaging ligt in de kwaliteit en actualiteit van de gegevens. Cybora heeft een gecureerde Threat Intelligence Feed opgebouwd die speciaal is geoptimaliseerd voor firewalls en voortdurend wordt verfijnd. De aanpak van Cybora combineert veel bronnen en filtert ze intelligent om een uitgebreid en betrouwbaar resultaat te leveren. Hiervoor gebruiken we onder andere:

• Openbare community- en OSINT-lijsten: bijv. bekende blokkeerlijsten uit de beveiligingscommunity die actuele bedreigingen verzamelen.
• Commerciële Threat Intelligence: ingekochte datafeeds van gespecialiseerde beveiligingsaanbieders die exclusief materiaal leveren (bijv. over nieuwe malware-domeinen).
• Honeypots en eigen sensoren: Cybora beheert honeypot-systemen en gebruikt aanvullende telemetriegegevens om aanvallers, IP’s, domeinen en aanvalspatronen te herkennen.
• Firewalltelemetrie uit klantomgevingen: Door Avanet beheerde firewalls kunnen geanonimiseerde aanvals- en anomalielogs leveren, die Cybora meeneemt in de analyse en curation van de feed.

Door al deze informatie samen te voegen, ontstaat een voortdurend bijgewerkte gegevensstroom van kwaadaardige indicatoren die veel verder gaat dan individuele bronnen. Belangrijker nog: Cybora cureert en verifieert de gegevens om valse positieven grotendeels uit te sluiten. In plaats van gewoon alle mogelijke lijsten ongezien bij elkaar te gooien – wat gemakkelijk legitieme diensten onterecht zou kunnen blokkeren – richten we ons op kwaliteit boven kwantiteit. Elk IP of domein in de Cybora Feed heeft zich daadwerkelijk laten zien als een aanval of kwaadaardige infrastructuur, vaak op meerdere onafhankelijke systemen. Hierdoor kunt u de Cybora Feed vertrouwen en deze met een gerust geweten op de firewall activeren, zonder bang te hoeven zijn om legitiem verkeer onnodig te blokkeren.

De Cybora Threat Intelligence Feed is al langere tijd in gebruik op meerdere firewalls die wij beheren en is in verschillende klantomgevingen onder echte omstandigheden getest. In gecontroleerde rollouts hebben we curatielogica, update-intervallen en kwaliteitscontroles voortdurend verfijnd. Het resultaat is een stabiele, praktische feed die zonder extra inspanning op de firewall werkt en voortdurend wordt verbeterd met operationele feedback. Zo profiteren nieuwe installaties direct van de bevindingen uit het veld.

Vier Threat Feed-pakketten voor elke behoefte

Niet elke omgeving heeft dezelfde diepte van Threat Intelligence nodig. Daarom bieden we de Cybora Threat Feed aan in vier uitbreidingsfasen – van het gratis basispakket tot de high-end oplossing. Zo vindt iedereen het juiste beschermingsniveau:

Basic

• 0 CHF per jaar
• Update-interval: elke 24 u
• IPv4 Feeds: ≈ 30.000 IP’s

Feed aanvragen

Standard

• 179 $ per jaar
• Update-interval: elke 6 u
• IPv4 Feeds: ≈ 45.000 IP’s
• Ondersteuning
• 100 % korting voor Sophos Firewall-abonnees*

Abonneren

Premium

• 349 $ per jaar
• Update-interval: elke 1 u
• IPv4 Feeds: ≈ 120.000 IP’s
• Domein / URL Feeds
• Ondersteuning Abonneren

Ultimate

1999 $ per jaar

• Update-interval: elke 15 min
• IPv4 Feeds: > 220.000 IP’s
• Domein / URL Feeds
• Ondersteuning

Abonneren

• Basic: Gratis basisbescherming met community-gebaseerde basislijsten. Bevat ongeveer 30.000 bekende kwaadaardige IP-adressen en wordt elke 24 uur bijgewerkt. Ideaal voor kleinere omgevingen die kosteneffectief een solide basisbeveiliging willen.
• Standard: Gecureerde standaardfeed met bredere dekking (ca. 45.000 IP’s) en updates elke 6 uur. Integreert extra betrouwbare bronnen om nauwkeurigere detectie mogelijk te maken en het aantal valse positieven te verminderen. Geschikt voor bedrijven die hun beveiliging merkbaar willen verhogen en tegelijkertijd onnodig verkeer willen verminderen.
• Premium: Premium-feed voor hoge eisen, elk uur bijgewerkt. Bevat ongeveer 120.000 bekende slechte IP’s evenals – vanaf Q4/2025 – aanvullend uitgebreide domein- en URL-feeds (meer dan 30 gecureerde lijsten). Bevat exclusieve gegevens van onze honeypots, partnerfeeds en real-time analyses. Voor organisaties die geen compromissen willen sluiten op het gebied van beveiliging.
• Ultimate: Het zorgeloze totaalpakket met maximale dekking. Bevat alle beschikbare datapunten (momenteel meer dan 220.000 IP’s) en wordt elke 15 minuten bijgewerkt – bijna in real-time. Biedt de hoogst mogelijke bescherming en is vooral interessant voor kritieke infrastructuren of grotere bedrijven die zich tegen elke bedreiging willen wapenen. (Dit pakket wordt individueel aangeboden en is gericht op zeer veeleisende omgevingen.)

Alle varianten van de Cybora Threat Feed zijn volledig compatibel met de Sophos Firewall (vanaf v21 met bijbehorende Xstream Protection-licentiebundel) en de genoemde andere systemen. U kunt klein beginnen – bijvoorbeeld met de gratis Basic Feed – en indien nodig overstappen naar hogere niveaus als de beveiligingseisen groeien. Voor bestaande klanten die ons Sophos Firewall-abonnement al gebruiken, zijn er kortingen op de betaalde feedpakketten, dus een integratie is dubbel de moeite waard.

Conclusie – Probeer het uit en wees het gevaar een stap voor

Aanvallen worden elke dag geavanceerder en talrijker – maar u hoeft ze niet onbeschermd tegemoet te treden. Een Threat Intelligence Feed geeft de firewall de nodige voorsprong om bekende gevarenbronnen te blokkeren nog voordat ze aan de deur kloppen. De ervaring leert: Zodra zo’n feed is geactiveerd, is men vaak verrast hoeveel verbindingspogingen al in de eerste paar dagen automatisch worden voorkomen. Alle bot-verzoeken, scanners en dubieuze inlogpogingen, die voorheen moeizaam door interne systemen of door aparte regels moesten worden afgeweerd, ketsen nu direct af op de firewall.

Dus waarom ervaart u niet gewoon zelf welk verschil het maakt? Met de Cybora Basic Feed kunt u gratis en vrijblijvend testen hoeveel ongewenst verkeer er in uw eigen omgeving optreedt – en hoeveel daarvan al in de kiem wordt gesmoord door de Threat Feed. De verkregen inzichten scheppen vertrouwen: u ziet zwart op wit welk deel van het dagelijkse verkeer daadwerkelijk kwaadaardig is en nu de beveiligingsinfrastructuur helemaal niet meer belast.

Uiteindelijk geldt: “Uw firewall verdient meer kennis.” Een Threat Feed is een effectief middel om deze kennis te verschaffen. Door gebruik te maken van zwermintelligentie uit duizenden bronnen, blijft u aanvallers altijd een stap voor. Probeer het uit – uw firewall (en uw gemoedsrust) zullen u dankbaar zijn.

FAQ