Przejdz do tresci
Avanet
Threat Intelligence Feeds dla firewalla – blokowanie ataków, zanim zapukają

Threat Intelligence Feeds dla firewalla – blokowanie ataków, zanim zapukają

W niektóre dni administrator IT może czuć się jak pod ciągłym ostrzałem: co minutę boty i cyberprzestępcy próbują znaleźć luki w sieci. Rzut oka na logi firewalla pokazuje zalew podejrzanych prób połączeń z całego świata. Czy nie byłoby spokojniej, gdyby znani atakujący w ogóle nie mogli zapukać do Twojej sieci? Właśnie tutaj wchodzą w grę Threat Feeds - często nazywane również Threat Intelligence Feeds lub w skrócie Threat Intel Feeds. Co jednak się za nimi kryje i dlaczego warto używać takich feedów na firewallu?

Dlaczego potrzebujesz Threat Feeds na firewallu?

Threat Feeds to w praktyce stale aktualizowane listy znanych Indicators of Compromise (IoC) - na przykład złośliwych adresów IP, domen lub adresów URL. Takie feedy są dostarczane przez wyspecjalizowane źródła: organizacje bezpieczeństwa, inicjatywy branżowe, społeczności open source lub komercyjnych dostawców Threat Intelligence. Nowoczesny firewall może importować zewnętrzne feedy i dzięki temu automatycznie blokować ruch od znanych zagrożeń, zanim atak faktycznie nastąpi.

Nowe zagrożenia pojawiają się stale i żaden administrator nie jest w stanie ręcznie śledzić wszystkich niebezpiecznych adresów IP oraz domen. Threat Intelligence Feed dostarcza firewallowi dodatkowej wiedzy: na bieżąco informuje go, które źródła są aktualnie uznawane za niebezpieczne. Dzięki temu firewall może blokować połączenia z tymi celami, zanim malware lub atakujący wyrządzą szkody. W nowszych modelach firewalli (np. Sophos od wersji 21 z Active Threat Response) obsługa takich feedów firm trzecich jest już zintegrowana. Wielu innych producentów ma podobne funkcje - zasada pozostaje ta sama.

Zalety Threat Feed na firewallu są oczywiste:

  • Proaktywna ochrona: Znane zagrożenia są blokowane, zanim dotrą do Twojej sieci i wyrządzą szkody.
  • Elastyczność: Można korzystać z feedów z różnych źródeł i dopasować je do własnych wymagań - od bezpłatnych feedów społecznościowych po wyspecjalizowane feedy premium.
  • Automatyzacja: Firewall automatycznie aktualizuje i wykorzystuje feed; odpada ciągłe ręczne utrzymywanie blocklist, co znacząco odciąża administratorów.

Podsumowując, firewall z Threat Feed działa jak system wczesnego ostrzegania, który zatrzymuje znanych złych nadawców już na granicy sieci. Wyraźnie zwiększa to bezpieczeństwo infrastruktury, a jednocześnie zauważalnie ogranicza niechciany ruch, który w ogóle dociera do systemów wewnętrznych.

Proaktywna obrona: Zatrzymuj boty i ataki z wyprzedzeniem

Praktycznym przykładem wartości Threat Feeds jest obrona przed atakami opartymi na botnetach. Wiele mechanizmów bezpieczeństwa (np. blokowanie po X nieudanych próbach) stosunkowo niezawodnie wykrywa ataki brute-force, jeśli pochodzą one z jednego adresu IP. Nowocześni atakujący rozpraszają jednak próby na liczne boty: każdy pojedynczy zainfekowany host wykonuje na przykład tylko jedną lub dwie próby logowania, rozciągnięte w długim czasie. Żaden pojedynczy adres IP lokalnie nie rzuca się w oczy - ataki pozostają pod radarem i omijają klasyczne mechanizmy ochrony, takie jak Fail2Ban czy limity logowania.

Tutaj szeroko zbudowany Threat Intelligence Feed pokazuje swoją siłę. Analiza logów wielu firewalli pozwala zauważyć, że określone adresy IP wykazują podejrzaną aktywność rozproszoną na wielu systemach. Jeśli ten sam adres IP pojawia się na przykład w logach logowania dziesiątek różnych firm z nieudanymi próbami, jest to wyraźny sygnał skoordynowanego ataku. Takie adresy są następnie oznaczane w Threat Feed i centralnie blokowane. Twój własny firewall korzysta z tej wiedzy: gdy tylko jeden z tych hostów botnetu spróbuje połączenia choć raz, zostaje natychmiast zidentyfikowany i odparty - dzięki wiedzy z feedu - zanim zdąży wyrządzić znaczącą szkodę.

Telemetria firewalli Avanet dla Cybora Threat Intelligence Feed
Telemetria firewalli Avanet dla Cybora Threat Intelligence Feed

Rysunek: globalna sieć firewalli działa jak sensoryczny system wczesnego ostrzegania. Jeśli zarządzany firewall wykryje podejrzany adres IP i zgłosi go do centralnej bazy danych w chmurze, wszyscy podłączeni uczestnicy otrzymują tę informację. Złośliwy adres IP jest oznaczany w Threat Intelligence Feed i dzięki temu blokowany na wszystkich firewallach w sieci. W ten sposób wszyscy korzystają z doświadczeń innych. Cybora kuratoruje te dane dla nas w doskonały Threat Feed.

Dzięki tej współdzielonej Threat Intelligence można proaktywnie zatrzymywać również rozproszone, powolne ataki. Każdy nowo wykryty złośliwy adres IP trafia w krótkim czasie do feedu - a tym samym na listę blokowania wszystkich uczestniczących firewalli. W rezultacie liczba przepuszczonych prób ataku drastycznie spada. Firewall musi przetwarzać mniej “szumu”, a realnym atakom znacznie trudniej przejść niezauważenie.

Prosta integracja z Sophos, Fortinet, Palo Alto & Co.

Na szczęście integracja Threat Feed z popularnymi platformami firewalli jest prosta. W Avanet koncentrujemy się głównie na Sophos Firewall, ale feed można równie dobrze zintegrować z rozwiązaniami innych producentów. Niezależnie od tego, czy chodzi o Fortinet FortiGate, Palo Alto Networks, Check Point, OPNsense czy inne systemy - większość nowoczesnych firewalli obsługuje zewnętrzne blocklisty/Threat Feeds i może subskrybować listę adresów IP lub domen przez URL.

Dodaj Threat Intelligence Feeds do Sophos Firewall
Dodaj Threat Intelligence Feed do Sophos Firewall

Na przykładzie Sophos XGS widać, jakie to proste: w interfejsie WWW, w menu “Third-Party Threat Feeds”, dodajesz nowy feed, podajesz nazwę, URL feedu i typ (IPv4, Domain lub URL), wybierasz jako akcję Block - i gotowe. W Fortinet lub Palo Alto wygląda to podobnie, tylko funkcje nazywają się tam nieco inaczej (np. External Block List w FortiGate lub External Dynamic List w Palo Alto).

Ogólnie do zintegrowania Cybora Threat Feed potrzeba tylko kilku kroków:

  1. Uzyskaj URL feedu: Najpierw otrzymujesz od nas URL do wybranego Threat Feed (np. dla Basic Feed lub Premium).
  2. Dodaj go w firewallu: W interfejsie firewalla otwórz obszar zewnętrznych/niestandardowych Threat Feeds lub blocklist i dodaj nowy feed/connector. Nazwę i opis można wybrać dowolnie. Jako źródło podajesz otrzymany URL feedu.
  3. Ustaw reguły filtrowania: Określ, jaki typ wskaźnika jest importowany (adresy IPv4, domeny, adresy URL) i co firewall ma z nim zrobić - zwykle blokować. Następnie ustaw interwał pobierania (np. co 6 godzin) i zapisz konfigurację.

Po tych krokach firewall automatycznie łączy się z feedem i pobiera aktualne Indicators of Compromise. Od tego momentu zasilanie Threat Intel działa w tle: lista złośliwych adresów IP i domen jest regularnie aktualizowana, a firewall blokuje wszystkie zawarte w niej adresy w pełni automatycznie. Integracja często zajmuje tylko kilka minut - zysk bezpieczeństwa jest jednak ogromny.

Kuratorowane Threat Intelligence Feeds od Cybora

W Internecie dostępnych jest wiele bezpłatnych blocklist i Threat Feeds. Dlaczego więc warto korzystać z feedu Cybora? Wyzwanie leży w jakości i aktualności danych. Cybora zbudowała kuratorowany Threat Intelligence Feed, specjalnie zoptymalizowany do użycia na firewallach i stale doskonalony. Podejście Cybora łączy wiele źródeł i inteligentnie je filtruje, aby dostarczyć kompleksowy i wiarygodny wynik. W tym celu wykorzystujemy między innymi:

  • Publiczne listy społecznościowe i OSINT: np. znane blocklisty ze społeczności security, które zbierają aktualne zagrożenia.
  • Komercyjna Threat Intelligence: kupowane feedy danych od wyspecjalizowanych dostawców bezpieczeństwa, którzy dostarczają ekskluzywne informacje (np. o nowych domenach malware).
  • Honeypoty i własna sensorystyka: Cybora prowadzi systemy honeypot i wykorzystuje dodatkowe dane telemetryczne do rozpoznawania atakujących, adresów IP, domen i wzorców ataków.
  • Telemetria firewalli ze środowisk klientów: Firewalle obsługiwane przez Avanet mogą dostarczać zanonimizowane logi ataków i anomalii, które Cybora uwzględnia w analizie i kuracji feedu.

Dzięki połączeniu tych informacji powstaje stale aktualizowany strumień złośliwych wskaźników, który wykracza daleko poza pojedyncze źródła. Co ważniejsze: Cybora kuratoruje i weryfikuje dane, aby w dużej mierze wykluczyć false positives. Zamiast po prostu zlewać wszystkie możliwe listy bez kontroli - co mogłoby łatwo zablokować legalne usługi - stawiamy na jakość przed ilością. Każdy adres IP lub domena w Cybora Feed faktycznie ujawniły się jako element ataku lub złośliwej infrastruktury, często na kilku niezależnych systemach. Dzięki temu można zaufać Cybora Feed i aktywować go na firewallu z czystym sumieniem, bez obawy o niepotrzebne blokowanie legalnego ruchu.

Cybora Threat Intelligence Feed od dłuższego czasu działa na kilku firewallach zarządzanych przez nas i został przetestowany w różnych środowiskach klientów w realnych warunkach. W kontrolowanych rolloutach stale dopracowywaliśmy logikę kuracji, interwały aktualizacji i kontrole jakości. Wynikiem jest stabilny, praktyczny feed, który działa na firewallu bez dodatkowego nakładu i jest stale ulepszany dzięki operacyjnemu feedbackowi. Dzięki temu nowe instalacje od razu korzystają z doświadczeń z pola.

Cztery pakiety Threat Feed na każdą potrzebę

Nie każde środowisko potrzebuje tej samej głębokości Threat Intelligence. Dlatego oferujemy Cybora Threat Feed w czterech poziomach - od bezpłatnego pakietu podstawowego po rozwiązanie high-end. Dzięki temu każdy znajdzie odpowiedni poziom ochrony:

Basic

  • 0 CHF rocznie
  • Interwał aktualizacji: co 24 h
  • Feedy IPv4: ≈ 30 000 adresów IP

Poproś o feed

Standard

  • 179 $ rocznie
  • Interwał aktualizacji: co 6 h
  • Feedy IPv4: ≈ 45 000 adresów IP
  • Wsparcie
  • 100 % rabatu dla klientów z subskrypcją Sophos Firewall*

Subskrybuj

Premium

  • 349 $ rocznie
  • Interwał aktualizacji: co 1 h
  • Feedy IPv4: ≈ 120 000 adresów IP
  • Feedy domen / URL
  • Wsparcie Subskrybuj

Ultimate

1999 $ rocznie

  • Interwał aktualizacji: co 15 min
  • Feedy IPv4: > 220 000 adresów IP
  • Feedy domen / URL
  • Wsparcie

Subskrybuj

  • Basic: Bezpłatna podstawowa ochrona z community-based listami bazowymi. Zawiera około 30 000 znanych złośliwych adresów IP i jest aktualizowana co 24 godziny. Idealna dla mniejszych środowisk, które chcą solidnego podstawowego zabezpieczenia w korzystnej cenie.
  • Standard: Kuratorowany feed standardowy o szerszym pokryciu (ok. 45 000 adresów IP) i aktualizacjach co 6 godzin. Uwzględnia dodatkowe wiarygodne źródła, aby umożliwić precyzyjniejsze wykrywanie i zmniejszyć liczbę false positives. Odpowiedni dla firm, które chcą zauważalnie podnieść bezpieczeństwo, a jednocześnie zmniejszyć niepotrzebny ruch.
  • Premium: Feed premium dla wysokich wymagań, aktualizowany co godzinę. Obejmuje około 120 000 znanych złośliwych adresów IP oraz - od IV kwartału 2025 r. - obszerne feedy domen i URL (ponad 30 kuratorowanych list). Zawiera ekskluzywne dane z naszych honeypotów, feedów partnerskich i analiz w czasie rzeczywistym. Dla organizacji, które nie chcą iść na kompromis w kwestii bezpieczeństwa.
  • Ultimate: Pakiet all-inclusive z maksymalnym pokryciem. Zawiera wszystkie dostępne punkty danych (obecnie ponad 220 000 adresów IP) i jest aktualizowany co 15 minut - niemal w czasie rzeczywistym. Oferuje najwyższy poziom ochrony i jest szczególnie interesujący dla infrastruktury krytycznej lub większych firm, które chcą zabezpieczyć się przed każdym typem zagrożenia. (Ten pakiet jest oferowany indywidualnie i skierowany do bardzo wymagających środowisk.)

Wszystkie warianty Cybora Threat Feed są w pełni kompatybilne z Sophos Firewall (od v21 z odpowiednim pakietem licencyjnym Xstream Protection) oraz z wymienionymi innymi systemami. Można zacząć małymi krokami - na przykład od bezpłatnego Basic Feed - i w razie potrzeby przejść na wyższy poziom, jeśli wymagania bezpieczeństwa wzrosną. Dla obecnych klientów, którzy korzystają już z naszego abonamentu Sophos Firewall, dostępne są rabaty na płatne pakiety feedów, więc integracja opłaca się podwójnie.

Wniosek - wypróbuj i bądź o krok przed zagrożeniem

Ataki stają się z każdym dniem coraz bardziej wyrafinowane i liczniejsze - ale nie trzeba stawiać im czoła bez ochrony. Threat Intelligence Feed daje firewallowi niezbędną przewagę, aby blokować znane źródła zagrożeń zanim zapukają do drzwi. Doświadczenie pokazuje: po aktywacji takiego feedu często zaskakuje, jak wiele prób połączeń zostaje automatycznie zablokowanych już w pierwszych dniach. Wszystkie zapytania botów, skanery i podejrzane próby logowania, które wcześniej trzeba było mozolnie odpierać w systemach wewnętrznych lub osobnymi regułami, teraz odbijają się bezpośrednio od firewalla.

Dlaczego więc po prostu nie sprawdzić samemu, jaką robi to różnicę? Dzięki Cybora Basic Feed można bezpłatnie i bez zobowiązań przetestować, ile niechcianego ruchu występuje we własnym środowisku - i jak duża jego część jest już zatrzymywana w zarodku przez Threat Feed. Uzyskane wyniki budują zaufanie: widać czarno na białym, jaka część codziennego ruchu jest faktycznie złośliwa i nie obciąża już infrastruktury bezpieczeństwa.

Na końcu obowiązuje prosta zasada: “Twój firewall zasługuje na więcej wiedzy.” Threat Feed jest skutecznym sposobem, aby tę wiedzę dostarczyć. Korzystając ze zbiorowej inteligencji tysięcy źródeł, pozostajesz o krok przed atakującymi. Warto spróbować - Twój firewall i spokojniejszy sen Ci podziękują.

FAQ

Co to jest Threat Feed lub Threat Intelligence Feed?

Stale aktualizowany strumień danych ze wskaźnikami ataków, takimi jak IP, domeny lub adresy URL, które mogą być automatycznie blokowane przez firewall.

Czym różni się Threat Feed od klasycznych reguł firewalla lub IPS?

Threat Feeds działają reputacyjnie i proaktywnie, zanim atak stanie się widoczny. Reguły i IPS reagują głównie na wzorce w ruchu. Oba podejścia się uzupełniają.

Jakie wymagania licencyjne obowiązują w Sophos?

Do wygodnej integracji zewnętrznych feedów zazwyczaj wymagana jest Xstream Protection.

Które firewalle są obsługiwane?

Sophos, Fortinet, Palo Alto, Check Point, OPNsense i inne platformy z obsługą zewnętrznych list blokowania lub External Dynamic Lists.

Od kiedy feed Cybora jest w użyciu?

Regularnie testujemy różne Threat Feeds. Feed Cybora sprawdził się dotąd najlepiej: oferuje znakomity stosunek ceny do możliwości i jest specjalnie zoptymalizowany do użycia na firewallach.

Jak duża jest sieć Threat Intel Cybora?

Setki produkcyjnych firewalli klientów oraz kilka serwerów honeypot rozmieszczonych na całym świecie na pięciu kontynentach stale dostarczają dane telemetryczne. Dane te trafiają w kuratorowanej formie do Cybora Threat Feed i są stale aktualizowane.

Przekazywanie danych telemetrycznych do Cybora odbywa się wyłącznie po wcześniejszym uzgodnieniu z danym klientem. Ponadto anonimizujemy dane przed ich dalszą analizą i kuracją.

Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.