Saltar para o conteudo
Avanet
Threat Intelligence Feeds para o Firewall – Bloquear ataques antes que batam à porta

Threat Intelligence Feeds para o Firewall – Bloquear ataques antes que batam à porta

25. AGOSTO 2025

Em alguns dias, como administrador de TI, sente-se sob fogo constante: a cada minuto, bots e cibercriminosos tentam encontrar brechas na rede. Um olhar para os registos do firewall mostra uma inundação de tentativas de conexão suspeitas de todo o mundo. Não seria reconfortante se os atacantes conhecidos nem sequer pudessem bater à porta da sua própria rede? É exatamente aqui que entram os Threat Feeds – muitas vezes também chamados de Threat Intelligence Feeds ou Threat Intel Feeds para abreviar. Mas o que está por trás disso e por que deve usar tais feeds no firewall?

Por que precisa de Threat Feeds no firewall?

Threat Feeds são basicamente listas constantemente atualizadas de Indicators of Compromise (IoCs) conhecidos – por exemplo, endereços IP, domínios ou URLs maliciosos. Esses feeds são fornecidos por fontes especializadas: organizações de segurança, iniciativas da indústria, comunidades de código aberto ou fornecedores comerciais de inteligência de ameaças. Um firewall moderno pode importar tais feeds externos e, assim, bloquear automaticamente o tráfego de dados de ameaças conhecidas antes mesmo que um ataque ocorra.

Novas ameaças aparecem constantemente, e nenhum administrador pode monitorizar manualmente todos os IPs e domínios perigosos. Aqui, um Threat Intelligence Feed fornece ao firewall praticamente conhecimento adicional: informa-o continuamente sobre quais fontes são atualmente conhecidas como perigosas. Assim, o firewall pode impedir conexões a esses alvos antes que malware ou atacantes causem danos. Em modelos de firewall mais recentes (por exemplo, Sophos a partir da versão 21 com Active Threat Response), o suporte para tais feeds de terceiros já está firmemente integrado. Mas muitos outros fabricantes também têm funções semelhantes – o princípio permanece o mesmo.

As vantagens de um Threat Feed no firewall são óbvias:

  • Proteção proativa: Ameaças conhecidas são bloqueadas antes que cheguem à sua rede e possam causar danos.
  • Flexibilidade: Pode usar feeds de várias fontes e adaptá-los aos seus próprios requisitos – desde feeds comunitários gratuitos até feeds premium altamente especializados.
  • Automação: O firewall atualiza e usa o feed automaticamente; a atualização manual constante das listas de bloqueio não é mais necessária, o que alivia significativamente os administradores.

Em resumo, o firewall com Threat Feed funciona como um sistema de alerta precoce que interceta remetentes conhecidos como maus logo na fronteira da rede. Isso aumenta significativamente a segurança da infraestrutura e, ao mesmo tempo, reduz notavelmente o tráfego indesejado que penetra nos sistemas internos.

Defesa proativa: Parar bots e ataques antecipadamente

Um exemplo prático do valor acrescentado dos Threat Feeds é a defesa contra ataques baseados em botnets. Muitos mecanismos de segurança (como bloqueio após X tentativas falhadas) detetam ataques de força bruta de forma relativamente fiável se tiverem origem num único endereço IP. No entanto, os atacantes modernos distribuem as suas tentativas por inúmeros bots: cada host infetado individual tenta, por exemplo, apenas uma ou duas tentativas de login, e isso durante um longo período de tempo. Nenhum IP individual atrai a atenção negativamente localmente – os ataques permanecem sob o radar e contornam os mecanismos de proteção convencionais, como Fail2Ban ou limites de login.

Aqui, um Threat Intelligence Feed amplamente posicionado joga a sua força. Se os registos de muitos firewalls forem avaliados, pode-se ver que certos endereços IP mostram atividades suspeitas distribuídas por vários sistemas. Se o mesmo IP aparecer, por exemplo, nos registos de login de dezenas de empresas diferentes com tentativas falhadas, isso é uma indicação clara de um ataque coordenado. Tais endereços são então marcados no Threat Feed e bloqueados centralmente. O seu próprio firewall aprende com isso: assim que um desses hosts de botnet tentar apenas uma vez consigo, é imediatamente identificado e repelido – graças ao conhecimento do feed – sem que possa causar danos significativos.

Avanet Firewall Network - Premium Threat Intelligence Feed
Avanet Firewall Network - Premium Threat Intelligence Feed

Figura: A rede mundial de firewalls da Avanet serve como um sistema de alerta precoce sensorial. Se um firewall gerido detetar um IP suspeito e o reportar à base de dados central na nuvem, todos os participantes conectados recebem esta informação. O IP malicioso é marcado no Threat Intelligence Feed e, assim, bloqueado em todos os firewalls da rede. Desta forma, todos beneficiam das experiências dos outros.

Através desta Threat Intelligence partilhada, ataques distribuídos e insidiosos também podem ser parados proativamente. Cada novo endereço IP malicioso detetado aterra no feed em pouco tempo – e, portanto, na lista de bloqueio de todos os firewalls participantes. Como resultado, o número de tentativas de ataque bem-sucedidas é drasticamente reduzido. O firewall tem menos “ruído” para processar, e os ataques reais têm muito mais dificuldade em passar despercebidos.

Integração simples no Sophos, Fortinet, Palo Alto & Co.

Felizmente, é simples integrar um Threat Feed nas plataformas de firewall comuns. Embora na Avanet nos concentremos principalmente no Sophos Firewall, o nosso feed pode ser integrado igualmente bem em soluções de outros fabricantes. Seja Fortinet FortiGate, Palo Alto Networks, Check Point, OPNsense ou outros – a maioria dos firewalls modernos suporta listas de bloqueio/Threat Feeds externas e pode subscrever uma lista de IPs/domínios via URL.

Adicionar Threat Intelligence Feeds no Sophos Firewall
Adicionar Threat Intelligence Feed no Sophos Firewall

Usando o Sophos XGS como exemplo, pode ver como é fácil: através da interface web no menu “Third-Party Threat Feeds”, adiciona um novo feed, especifica um nome, o URL do feed e o tipo (IPv4, Domínio ou URL), seleciona Bloquear como ação – feito. Funciona de forma semelhante com Fortinet ou Palo Alto, apenas as funções são nomeadas de forma ligeiramente diferente lá (como External Block List com FortiGate ou External Dynamic List com Palo Alto).

Geralmente, apenas alguns passos são necessários para integrar o nosso feed:

  1. Obter URL do feed: Primeiro, recebe o URL do Threat Feed desejado de nós (por exemplo, para o Basic Feed ou Premium).
  2. Inserir no firewall: Abra a área para Threat Feeds ou listas de bloqueio externas/personalizadas na interface do firewall e adicione um novo feed/conector lá. O nome e a descrição podem ser escolhidos livremente. Como fonte, deposita o URL do feed recebido.
  3. Definir regras de filtro: Especifique que tipo de indicador é importado (endereços IPv4, domínios, URLs) e o que o firewall deve fazer com ele – geralmente bloquear. Em seguida, defina o intervalo de polling (por exemplo, a cada 6 horas) e guarde a configuração.

Após estes passos, o firewall conecta-se automaticamente ao feed e carrega os Indicators of Compromise atuais. A partir deste momento, o fornecimento de Threat Intel é executado em segundo plano: a lista de IPs e domínios maliciosos é atualizada regularmente, e o firewall bloqueia todos os endereços nela contidos de forma totalmente automática. A integração leva muitas vezes apenas alguns minutos – no entanto, o ganho em segurança é enorme.

Threat Intelligence Feeds curados da Avanet

Agora existem inúmeras listas de bloqueio e Threat Feeds disponíveis gratuitamente na Internet. Então, porquê usar um feed da Avanet? O desafio reside na qualidade e atualidade dos dados. Construímos o nosso próprio Threat Intelligence Feed, que é especialmente otimizado para firewalls e constantemente refinado. A nossa abordagem combina muitas fontes e filtra-as de forma inteligente para fornecer um resultado abrangente e fiável. Para isso, utilizamos entre outros:

  • Listas públicas da comunidade e OSINT: por exemplo, listas de bloqueio conhecidas da comunidade de segurança que recolhem ameaças atuais.
  • Threat Intelligence comercial: feeds de dados comprados de fornecedores de segurança especializados que fornecem material exclusivo (por exemplo, sobre novos domínios de malware).
  • Honeypots próprios: Operamos sistemas honeypot que atraem atacantes na Internet e registam os seus IPs, domínios e padrões de ataque.
  • Rede de firewalls dos nossos clientes: Muitos firewalls geridos por nós enviam registos de ataques e anomalias anonimizados para a nossa base de dados central (naturalmente apenas com consentimento). Estes dados reais de campo mostram cedo quais IPs estão atualmente a atacar ativamente na natureza.

Ao fundir todas essas informações, é criado um fluxo de dados constantemente atualizado de indicadores maliciosos que vai muito além das fontes individuais. Mais importante ainda: curamos e verificamos os dados para excluir em grande parte falsos positivos. Em vez de simplesmente despejar todas as listas possíveis sem exame – o que poderia facilmente bloquear falsamente serviços legítimos – focamo-nos na qualidade sobre a quantidade. Cada IP ou domínio no feed da Avanet realmente se fez notar como um ataque ou infraestrutura maliciosa, muitas vezes em vários sistemas independentes. Isso permite que confie nos nossos feeds e os ative no firewall com a consciência tranquila, sem ter que temer bloquear tráfego legítimo desnecessariamente.

O nosso Threat Intelligence Feed está em uso produtivo desde o final de 2024 e foi testado em vários ambientes de clientes em condições reais. Em implementações controladas, refinámos continuamente a lógica de curadoria, intervalos de atualização e verificações de qualidade. O resultado é um feed estável e prático que funciona no firewall sem esforço adicional e é continuamente melhorado com feedback operacional. Assim, novas instalações beneficiam imediatamente das descobertas do campo.

Quatro pacotes de Threat Feed para cada necessidade

Nem todos os ambientes precisam da mesma profundidade de Threat Intelligence. Portanto, oferecemos o nosso feed em quatro estágios de expansão – do pacote básico gratuito à solução high-end. Assim, todos encontram o nível de proteção certo:

Basic

  • 0 CHF por ano
  • Intervalo de atualização: a cada 24 h
  • Feeds IPv4: ≈ 30.000 IPs

Solicitar Feed

Standard

  • 179 CHF por ano
  • Intervalo de atualização: a cada 6 h
  • Feeds IPv4: ≈ 45.000 IPs
  • Suporte
  • 100 % de desconto para cliente de subscrição Sophos Firewall*

Solicitar gratuitamente para clientes de subscrição de Firewall Subscrever

Premium

  • 349 CHF por ano
  • Intervalo de atualização: a cada 1 h
  • Feeds IPv4: ≈ 120.000 IPs
  • Feeds de Domínio / URL
  • Suporte
  • 14 % de desconto para clientes de subscrição Sophos Firewall*

Subscrever

Ultimate

1999 CHF por ano

  • Intervalo de atualização: a cada 15 min
  • Feeds IPv4: ≈ 180.000 IPs
  • Feeds de Domínio / URL
  • Suporte
  • 10 % de desconto para clientes de subscrição Sophos Firewall*

Subscrever

*O desconto aplica-se a todos os clientes existentes da Avanet com uma subscrição ativa do Sophos Firewall.

  • Basic: Proteção básica gratuita com listas básicas baseadas na comunidade. Contém cerca de 30.000 endereços IP maliciosos conhecidos e é atualizado a cada 24 horas. Ideal para ambientes menores que desejam uma proteção básica sólida de forma económica.
  • Standard: Feed padrão curado com cobertura mais ampla (aprox. 45.000 IPs) e atualizações a cada 6 horas. Incorpora fontes fiáveis adicionais para permitir uma deteção mais precisa e reduzir o número de falsos positivos. Adequado para empresas que desejam aumentar notavelmente a sua segurança e, ao mesmo tempo, reduzir o tráfego desnecessário.
  • Premium: Feed premium para altas exigências, atualizado a cada hora. Inclui cerca de 120.000 IPs maus conhecidos, bem como – a partir do Q4/2025 – feeds extensos de domínio e URL adicionais (mais de 30 listas curadas). Contém dados exclusivos dos nossos honeypots, feeds de parceiros e análises em tempo real. Para organizações que não querem comprometer a segurança.
  • Ultimate: O pacote completo sem preocupações com cobertura máxima. Contém todos os pontos de dados disponíveis (atualmente ~190.000 IPs) e é atualizado a cada 15 minutos – quase em tempo real. Oferece a maior proteção possível e é particularmente interessante para infraestruturas críticas ou empresas maiores que desejam armar-se contra qualquer ameaça. (Este pacote é oferecido individualmente e destina-se a ambientes muito exigentes.)

Todas as variantes do nosso Threat Feed são totalmente compatíveis com o Sophos Firewall (a partir da v21 com o pacote de licença Xstream Protection correspondente) e os outros sistemas mencionados. Pode começar pequeno – por exemplo, com o Basic Feed gratuito – e mudar para níveis mais altos, se necessário, se os requisitos de segurança aumentarem. Para clientes existentes que já usam a nossa subscrição do Sophos Firewall, existem descontos nos pacotes de feed pagos, portanto, uma integração vale a pena duplamente.

Conclusão – Experimente e esteja um passo à frente do perigo

Os ataques tornam-se mais sofisticados e numerosos a cada dia – mas não precisa de enfrentá-los desprotegido. Um Threat Intelligence Feed dá ao firewall a vantagem necessária para bloquear fontes de perigo conhecidas antes mesmo que batam à porta. A experiência mostra: Uma vez que tal feed é ativado, fica-se frequentemente surpreendido com quantas tentativas de conexão são automaticamente impedidas logo nos primeiros dias. Todas as solicitações de bots, scanners e tentativas de login duvidosas, que anteriormente tinham de ser laboriosamente repelidas por sistemas internos ou por regras separadas, agora ricocheteiam diretamente no firewall.

Então, por que não experimentar por si mesmo a diferença que faz? Com o nosso Avanet Basic Feed, pode testar gratuitamente e sem compromisso quanto tráfego indesejado ocorre no seu próprio ambiente – e quanto dele já é cortado pela raiz pelo Threat Feed. As descobertas obtidas criam confiança: vê preto no branco qual parte do tráfego diário é realmente maliciosa e agora não sobrecarrega mais a infraestrutura de segurança.

No final, aplica-se o seguinte: “O seu firewall merece mais conhecimento.” Um Threat Feed é um meio eficaz para fornecer esse conhecimento. Ao usar a inteligência de enxame de milhares de fontes, permanece sempre um passo à frente dos atacantes. Experimente – o seu firewall (e a sua paz de espírito) agradecer-lhe-ão.

FAQ

O que é um Threat Feed ou Threat Intelligence Feed?

Um fluxo de dados atualizado continuamente com indicadores de ataques como IPs, domínios ou URLs que podem ser bloqueados automaticamente pelo firewall.

Em que difere um Threat Feed das regras de firewall clássicas ou IPS?

Os Threat Feeds funcionam com base na reputação e proativamente antes que um ataque se torne aparente. As regras e o IPS reagem principalmente a padrões no tráfego. Ambos complementam-se.

Que requisitos de licença se aplicam à Sophos?

Para a integração conveniente de feeds externos, geralmente é necessária a Xstream Protection.

Quais firewalls são suportados?

Sophos, Fortinet, Palo Alto, Check Point, OPNsense e outras plataformas com suporte para listas de bloqueio externas ou External Dynamic Lists.

Desde quando o feed da Avanet está em uso?

Produtivo com vários clientes desde o final de 2024, desenvolvido continuamente com base em dados operacionais reais.

Qual é o tamanho da rede Threat Intel da Avanet?

Centenas de firewalls produtivos dos nossos clientes, bem como vários servidores honeypot distribuídos mundialmente em cinco continentes, fornecem continuamente dados de telemetria. Estes fluem curados para o nosso Threat Feed e são atualizados continuamente.
Patrizio

Patrizio

Patrizio e um especialista de redes experiente, focado em firewalls Sophos, switches e pontos de acesso. Apoia clientes e equipas de TI na configuracao, na migracao e numa segmentacao de rede limpa.