Saltar para o conteudo
Avanet
Threat Intelligence Feeds para a firewall – Bloquear ataques antes que batam à porta

Threat Intelligence Feeds para a firewall – Bloquear ataques antes que batam à porta

Em alguns dias, como administrador de TI, sente-se sob fogo constante: a cada minuto, bots e cibercriminosos tentam encontrar brechas na rede. Um olhar para os logs da firewall mostra uma avalanche de tentativas de ligação suspeitas vindas de todo o mundo. Não seria tranquilizador impedir que atacantes conhecidos chegassem sequer a bater à porta da sua rede? É exatamente aqui que entram os Threat Feeds - muitas vezes também chamados Threat Intelligence Feeds ou, de forma abreviada, Threat Intel Feeds. Mas o que está por trás disso e porque deve usar estes feeds na firewall?

Porque precisa de Threat Feeds na firewall?

Threat Feeds são, em essência, listas constantemente atualizadas de Indicators of Compromise (IoCs) conhecidos - por exemplo, endereços IP, domínios ou URLs maliciosos. Estes feeds são fornecidos por fontes especializadas: organizações de segurança, iniciativas setoriais, comunidades open source ou fornecedores comerciais de Threat Intelligence. Uma firewall moderna pode importar estes feeds externos e, assim, bloquear automaticamente tráfego proveniente de ameaças conhecidas antes mesmo de um ataque ocorrer.

Novas ameaças surgem constantemente, e nenhum administrador consegue acompanhar manualmente todos os IPs e domínios perigosos. Aqui, um Threat Intelligence Feed fornece à firewall conhecimento adicional: informa-a continuamente sobre quais fontes são atualmente conhecidas como perigosas. Assim, a firewall pode impedir ligações a esses destinos antes que malware ou atacantes causem danos. Em modelos de firewall mais recentes (por exemplo, Sophos a partir da versão 21 com Active Threat Response), o suporte para feeds de terceiros já está firmemente integrado. Mas muitos outros fabricantes também têm funções semelhantes - o princípio mantém-se.

As vantagens de um Threat Feed na firewall são evidentes:

  • Proteção proativa: Ameaças conhecidas são bloqueadas antes que cheguem à sua rede e possam causar danos.
  • Flexibilidade: Pode usar feeds de várias fontes e adaptá-los aos seus próprios requisitos – desde feeds comunitários gratuitos até feeds premium altamente especializados.
  • Automação: A firewall atualiza e utiliza o feed automaticamente; deixa de ser necessário manter blocklists manualmente, o que alivia significativamente os administradores.

Em resumo, uma firewall com Threat Feed funciona como um sistema de alerta precoce que interceta remetentes conhecidos como maliciosos logo no perímetro da rede. Isto aumenta significativamente a segurança da infraestrutura e, ao mesmo tempo, reduz de forma percetível o tráfego indesejado que chega aos sistemas internos.

Defesa proativa: Parar bots e ataques antecipadamente

Um exemplo prático do valor acrescentado dos Threat Feeds é a defesa contra ataques baseados em botnets. Muitos mecanismos de segurança (como bloqueios após X tentativas falhadas) detetam ataques de força bruta de forma relativamente fiável quando estes partem de um único endereço IP. No entanto, atacantes modernos distribuem as suas tentativas por inúmeros bots: cada host infetado tenta, por exemplo, apenas uma ou duas tentativas de login, e isto ao longo de um período prolongado. Nenhum IP individual chama negativamente a atenção a nível local - os ataques permanecem abaixo do radar e contornam mecanismos de proteção convencionais, como Fail2Ban ou limites de login.

É aqui que um Threat Intelligence Feed abrangente mostra a sua força. Quando os logs de muitas firewalls são avaliados, torna-se visível que determinados endereços IP apresentam atividades suspeitas distribuídas por vários sistemas. Se o mesmo IP surgir, por exemplo, nos logs de login de dezenas de empresas diferentes com tentativas falhadas, isso é um indicador claro de um ataque coordenado. Esses endereços são então marcados no Threat Feed e bloqueados centralmente. A sua própria firewall aprende com isso: assim que um desses hosts de botnet tentar algo consigo, é imediatamente identificado e repelido - graças ao conhecimento do feed - antes de conseguir causar danos relevantes.

Telemetria de firewalls Avanet para o Cybora Threat Intelligence Feed
Telemetria de firewalls Avanet para o Cybora Threat Intelligence Feed

Figura: A rede mundial de firewalls serve como sistema sensorial de alerta precoce. Se uma firewall gerida detetar um IP suspeito e o comunicar à base de dados central na cloud, todos os participantes ligados recebem esta informação. O IP malicioso é marcado no Threat Intelligence Feed e, assim, bloqueado em todas as firewalls da rede. Desta forma, todos beneficiam da experiência dos outros. Cybora transforma depois estes dados num excelente Threat Feed para nós.

Através desta Threat Intelligence partilhada, também é possível travar proativamente ataques distribuídos e furtivos. Cada novo endereço IP malicioso detetado entra no feed em pouco tempo - e, portanto, na lista de bloqueio de todas as firewalls participantes. Como resultado, o número de tentativas de ataque que chegam ao destino é drasticamente reduzido. A firewall tem menos “ruído” para processar, e ataques reais têm muito mais dificuldade em passar despercebidos.

Integração simples no Sophos, Fortinet, Palo Alto & Co.

Felizmente, é simples integrar um Threat Feed nas plataformas de firewall comuns. Embora na Avanet nos concentremos principalmente no Sophos Firewall, o feed pode ser integrado igualmente bem em soluções de outros fabricantes. Seja Fortinet FortiGate, Palo Alto Networks, Check Point, OPNsense ou outros – a maioria dos firewalls modernos suporta listas de bloqueio/Threat Feeds externas e pode subscrever uma lista de IPs/domínios via URL.

Adicionar Threat Intelligence Feeds na Sophos Firewall
Adicionar Threat Intelligence Feed na Sophos Firewall

Usando o Sophos XGS como exemplo, vê-se como é simples: através da interface web, no menu “Third-Party Threat Feeds”, adiciona-se um novo feed, indica-se um nome, o URL do feed e o tipo (IPv4, domínio ou URL), seleciona-se Bloquear como ação - e está feito. Com Fortinet ou Palo Alto o processo é semelhante; apenas os nomes das funções mudam um pouco (por exemplo External Block List no FortiGate ou External Dynamic List na Palo Alto).

Geralmente, apenas alguns passos são necessários para integrar o Cybora Threat Feed:

  1. Obter URL do feed: Primeiro, recebe o URL do Threat Feed desejado de nós (por exemplo, para o Basic Feed ou Premium).
  2. Inserir na firewall: Na interface da firewall, abra a área de Threat Feeds externos/personalizados ou blocklists e adicione um novo feed/conector. O nome e a descrição podem ser escolhidos livremente. Como fonte, introduza o URL do feed recebido.
  3. Definir regras de filtro: Especifique que tipo de indicador é importado (endereços IPv4, domínios, URLs) e o que a firewall deve fazer com ele - normalmente bloquear. Em seguida, defina o intervalo de polling (por exemplo, a cada 6 horas) e guarde a configuração.

Após estes passos, a firewall liga-se automaticamente ao feed e carrega os Indicators of Compromise atuais. A partir deste momento, o fornecimento de Threat Intel corre em segundo plano: a lista de IPs e domínios maliciosos é atualizada regularmente, e a firewall bloqueia todos os endereços nela contidos de forma totalmente automática. A integração demora muitas vezes apenas alguns minutos - mas o ganho em segurança é enorme.

Threat Intelligence Feeds curados pela Cybora

Existem inúmeras blocklists e Threat Feeds gratuitos na Internet. Então, porquê usar um feed da Cybora? O desafio está na qualidade e atualidade dos dados. A Cybora construiu um Threat Intelligence Feed curado, especialmente otimizado para uso em firewalls e continuamente refinado. A abordagem da Cybora combina muitas fontes e filtra-as de forma inteligente para entregar um resultado abrangente e fiável. Para isso, utilizamos, entre outros:

  • Listas públicas da comunidade e OSINT: por exemplo, listas de bloqueio conhecidas da comunidade de segurança que recolhem ameaças atuais.
  • Threat Intelligence comercial: feeds de dados adquiridos a fornecedores de segurança especializados que disponibilizam material exclusivo (por exemplo, sobre novos domínios de malware).
  • Honeypots e sensores próprios: A Cybora opera sistemas honeypot e utiliza outros dados de telemetria para reconhecer atacantes, IPs, domínios e padrões de ataque.
  • Telemetria de firewalls de ambientes de clientes: Firewalls geridas pela Avanet podem fornecer logs anonimizados de ataques e anomalias, que a Cybora integra na análise e curadoria do feed.

Ao reunir todas estas informações, é criado um fluxo de dados constantemente atualizado de indicadores maliciosos que vai muito além de fontes individuais. Mais importante ainda: a Cybora cura e verifica os dados para reduzir ao mínimo os falsos positivos. Em vez de simplesmente juntar todas as listas possíveis sem validação - o que poderia facilmente bloquear serviços legítimos por engano - damos prioridade à qualidade sobre a quantidade. Cada IP ou domínio no Cybora Feed chamou realmente a atenção como ataque ou infraestrutura maliciosa, muitas vezes em vários sistemas independentes. Por isso, é possível confiar no Cybora Feed e ativá-lo na firewall com tranquilidade, sem receio de bloquear tráfego legítimo desnecessariamente.

O Cybora Threat Intelligence Feed está em uso há bastante tempo em várias firewalls geridas por nós e foi testado em diferentes ambientes de clientes sob condições reais. Em rollouts controlados, refinámos continuamente a lógica de curadoria, os intervalos de atualização e as verificações de qualidade. O resultado é um feed estável e prático, que atua na firewall sem esforço adicional e é melhorado continuamente com feedback operacional. Assim, novas instalações beneficiam imediatamente das experiências recolhidas no terreno.

Quatro pacotes de Threat Feed para cada necessidade

Nem todos os ambientes precisam da mesma profundidade de Threat Intelligence. Por isso, disponibilizamos o Cybora Threat Feed em quatro níveis - do pacote básico gratuito à solução high-end. Assim, cada organização encontra o nível de proteção adequado:

Basic

  • 0 CHF por ano
  • Intervalo de atualização: a cada 24 h
  • Feeds IPv4: ≈ 30 000 IPs

Solicitar Feed

Standard

  • 179 $ por ano
  • Intervalo de atualização: a cada 6 h
  • Feeds IPv4: ≈ 45 000 IPs
  • Suporte
  • 100 % de desconto para clientes com subscrição Sophos Firewall*

Subscrever

Premium

  • 349 $ por ano
  • Intervalo de atualização: a cada 1 h
  • Feeds IPv4: ≈ 120 000 IPs
  • Feeds de Domínio / URL
  • Suporte Subscrever

Ultimate

1999 $ por ano

  • Intervalo de atualização: a cada 15 min
  • Feeds IPv4: > 220 000 IPs
  • Feeds de Domínio / URL
  • Suporte

Subscrever

  • Basic: Proteção básica gratuita com listas base mantidas pela comunidade. Contém cerca de 30 000 endereços IP maliciosos conhecidos e é atualizado a cada 24 horas. Ideal para ambientes mais pequenos que querem uma proteção de base sólida e económica.
  • Standard: Feed standard curado com cobertura mais ampla (aprox. 45 000 IPs) e atualizações a cada 6 horas. Inclui fontes fiáveis adicionais para permitir deteção mais precisa e reduzir o número de falsos positivos. Adequado para empresas que pretendem aumentar de forma percetível a segurança e, ao mesmo tempo, reduzir tráfego desnecessário.
  • Premium: Feed premium para exigências elevadas, atualizado a cada hora. Inclui cerca de 120 000 IPs maliciosos conhecidos e - a partir do Q4/2025 - feeds adicionais abrangentes de domínios e URLs (mais de 30 listas curadas). Contém dados exclusivos dos nossos honeypots, partner feeds e análises em tempo real. Para organizações que não querem fazer compromissos na segurança.
  • Ultimate: O pacote completo com cobertura máxima. Contém todos os datapoints disponíveis (atualmente mais de 220 000 IPs) e é atualizado a cada 15 minutos - quase em tempo real. Oferece o maior nível de proteção possível e é particularmente interessante para infraestruturas críticas ou empresas maiores que se querem preparar contra qualquer ameaça. (Este pacote é oferecido individualmente e destina-se a ambientes muito exigentes.)

Todas as variantes do Cybora Threat Feed são totalmente compatíveis com Sophos Firewall (a partir da v21 com o respetivo bundle de licença Xstream Protection) e com os outros sistemas mencionados. Pode começar pequeno - por exemplo, com o Basic Feed gratuito - e mudar para níveis superiores se os requisitos de segurança aumentarem. Para clientes existentes que já usam a nossa subscrição Sophos Firewall, existem descontos nos pacotes pagos de feed, pelo que a integração compensa duas vezes.

Conclusão – Experimente e esteja um passo à frente do perigo

Os ataques tornam-se todos os dias mais sofisticados e numerosos - mas não é preciso enfrentá-los sem proteção. Um Threat Intelligence Feed dá à firewall a vantagem necessária para bloquear fontes de perigo conhecidas antes mesmo de baterem à porta. A experiência mostra: depois de ativar um feed destes, é comum surpreender-se com a quantidade de tentativas de ligação automaticamente bloqueadas logo nos primeiros dias. Todos os pedidos de bots, scanners e tentativas de login duvidosas, que antes tinham de ser repelidos laboriosamente por sistemas internos ou regras separadas, passam agora a ser travados diretamente na firewall.

Então, porque não experimentar por si mesmo a diferença? Com o Cybora Basic Feed, pode testar gratuitamente e sem compromisso quanto tráfego indesejado existe no seu próprio ambiente - e quanto dele já é travado pela raiz pelo Threat Feed. Os resultados criam confiança: vê preto no branco que parte do tráfego diário é realmente maliciosa e deixou de sobrecarregar a infraestrutura de segurança.

No fim, aplica-se o seguinte: “A sua firewall merece mais conhecimento.” Um Threat Feed é um meio eficaz de fornecer esse conhecimento. Ao usar a inteligência coletiva de milhares de fontes, mantém-se sempre um passo à frente dos atacantes. Experimente - a sua firewall (e a sua paz de espírito) agradecerão.

FAQ

O que é um Threat Feed ou Threat Intelligence Feed?

Um fluxo de dados atualizado continuamente com indicadores de ataques, como IPs, domínios ou URLs, que podem ser bloqueados automaticamente pela firewall.

Em que difere um Threat Feed das regras de firewall clássicas ou IPS?

Os Threat Feeds funcionam com base na reputação e proativamente antes que um ataque se torne aparente. As regras e o IPS reagem principalmente a padrões no tráfego. Ambos complementam-se.

Que requisitos de licença se aplicam à Sophos?

Para a integração conveniente de feeds externos, geralmente é necessária a Xstream Protection.

Quais firewalls são suportadas?

Sophos, Fortinet, Palo Alto, Check Point, OPNsense e outras plataformas com suporte para listas de bloqueio externas ou External Dynamic Lists.

Desde quando o feed da Cybora está em uso?

Testamos regularmente diferentes Threat Feeds. O feed da Cybora foi até agora o que melhor se comprovou: oferece uma excelente relação preço-desempenho e é especialmente otimizado para utilização em firewalls.

Qual é o tamanho da rede Threat Intel da Cybora?

Centenas de firewalls produtivas de clientes, bem como vários servidores honeypot distribuídos mundialmente por cinco continentes, fornecem continuamente dados de telemetria. Estes dados fluem de forma curada para o Cybora Threat Feed e são atualizados continuamente.

A transmissão de dados de telemetria para a Cybora ocorre exclusivamente após acordo prévio com o respetivo cliente. Além disso, anonimizamos previamente os dados antes de estes entrarem na análise e curadoria.

Patrizio

Patrizio

Patrizio e um especialista de redes experiente, focado em firewalls Sophos, switches e pontos de acesso. Apoia clientes e equipas de TI na configuracao, na migracao e numa segmentacao de rede limpa.