Sophos Firewall Threat Feeds
Os Sophos Firewall Threat Feeds da Cybora fornecem continuamente Threat Intelligence Feeds que importam automaticamente Indicators of Compromise (IoCs), como endereços IP, domínios ou URLs maliciosos, para a sua Sophos Firewall e os bloqueiam de imediato. Isto elimina grande parte da manutenção manual para administradores: os feeds incluem não só dados atuais de community e OSINT, mas também informação comercial adquirida, resultados dos nossos honeypots e logs anonimizados de ataques, erros e anomalias de várias Sophos Firewalls geridas por nós. Assim, domínios de malware, servidores Botnet C&C e sites de phishing são filtrados de forma proativa. Isto aumenta a segurança da infraestrutura e reduz de forma percetível o tráfego indesejado na firewall.
O que são Threat Feeds?
Threat Feeds, ou feeds de ameaças, são listas de indicadores de compromisso (IoCs), como endereços IP, domínios e URLs maliciosos. Estes feeds vêm de fontes externas, como organizações de segurança, consórcios da indústria ou comunidades open-source, e permitem à Sophos Firewall bloquear automaticamente tráfego de ameaças conhecidas. A integração destes feeds na firewall cria uma defesa proativa que bloqueia ataques antes de chegarem à rede. No Sophos Firewall v21, esta função foi ampliada com suporte para feeds de terceiros, implementados através do Active Threat Response Framework.
As vantagens são claras:
- Proteção proativa: bloquear ameaças antes de causarem danos.
- Flexibilidade: usar feeds de vários fornecedores, ajustados aos requisitos individuais.
- Automatização: a firewall bloqueia automaticamente; deixam de ser necessárias intervenções manuais.
Requisitos para Threat Feeds
Para poder usar a função Sophos Firewall Threat Feeds, é necessária a licença bundle Xstream Protection para a Sophos Firewall. Este bundle inclui funções de segurança avançadas que permitem à firewall processar informação de ameaças e reagir de forma eficiente. Sem este bundle, não é possível usar feeds de terceiros, porque faltam os módulos necessários para processar os IoCs.
Do Free ao Ultimate Threat Feed - by Cybora
Sabemos como é importante dispor de informação de ameaças fiável e atual para a segurança da rede. Por isso oferecemos vários planos de Threat Feed cuidadosamente curados e otimizados especificamente para Sophos Firewalls. Isto é possível através da colaboração com a Cybora.
Os feeds são compostos por várias fontes reconhecidas, para garantir uma deteção de ameaças abrangente e fiável. O Free (Basic) é indicado para utilizadores domésticos, PoC e testes de compatibilidade. O Standard complementa o feed IPv4 com domínios importantes de malware e phishing. O Premium amplia a cobertura com domínios e URLs e atualizações horárias. O Ultimate destina-se a infraestrutura crítica e perímetros de alto risco, com atualizações a cada 15 minutos.
Com os Sophos Firewall Threat Feeds, a segurança da rede pode passar para outro nível. Os nossos feeds curados eliminam a complexidade da gestão de feeds. Consoante o ambiente, o plano Basic gratuito é suficiente para testes, enquanto Standard, Premium e Ultimate se destinam a requisitos produtivos com maior cobertura e atualidade.
Comparar Threat Feeds - segurança para as suas necessidades
Free / Basic
Free (Basic)
$0/por ano
- Intervalo de atualização: a cada 24 h
- IPv4: 20,000 IPv4
- Suporte: Sem suporte
Proteção básica
Standard
$179/por ano
- Intervalo de atualização: a cada 6 h
- IPv4: 85,000 IPv4
- Domínios: Top 5,000 domínios
- Suporte: Standard
Proteção avançada
Premium
$349/por ano
- Intervalo de atualização: a cada 1 h
- IPv4: 220,000 IPv4
- Domínios: 45,000 Domínios
- URLs: 25,000 URLs
- Suporte: Prioridade
Proteção crítica
Ultimate
$1,999/por ano
- Intervalo de atualização: a cada 15 min
- IPv4: 300,000+ IPv4
- Domínios: 100,000+ Domínios
- URLs: 100,000 URLs
- Suporte: Muito alto
Avanet Firewall Network
Parte do Premium Feed é constituída por dados da nossa rede de firewalls, distribuída globalmente.
Muitas ferramentas detetam facilmente ataques brute-force de endereços IP individuais, mas falham em ataques distribuídos por botnets. Nesses casos, cada host controlado pelo atacante faz apenas poucas tentativas de login falhadas, com baixa frequência, escapando assim à deteção e ao bloqueio.
Algumas botnets incluem centenas de milhares de hosts infetados, permitindo que cibercriminosos executem ataques brute-force massivos sem serem bloqueados.
Graças à nossa rede, recolhemos logs centralmente, detetamos atividades suspeitas cedo e conseguimos bloquear rapidamente endereços IP atacantes. Assim surge um Threat Intelligence Feed constantemente atualizado com IPs que se tornaram suspeitos em vários sistemas. Ao agregar e alimentar continuamente estes dados no nosso Threat Intelligence Feed, identificamos endereços IP que atacam especificamente a infraestrutura e bloqueamo-los automaticamente.
Sophos Firewall Threat Feed Setup?
A integração dos nossos Sophos Firewall Threat Feeds é simples e fica concluída em poucos minutos. Todos os feeds são totalmente compatíveis com a função Third-Party Threat Feed da Sophos Firewall e podem ser adicionados pela interface web da firewall da seguinte forma:
- Abrir menu Protect → Active threat response → Third-party threat feeds → Add
- Introduzir dados base
- Name: cybora-premium-ipv4
- Description: Cybora Feed – Premium
- Definir Indicator type e regras
- Indicator type: IPv4 address, Domain ou URL
- Action: Block
- Inserir Feed-URL
- No campo External URL, inserir o endereço adequado da lista de feeds Avanet.
- Definir intervalo de consulta
- Polling interval: 24 h (para a versão Free) / 1 h (para a versão Premium) Um intervalo mais curto não ajuda; atualizamos o Standard Feed apenas a cada 24h.
- Configurar autenticação (opcional)
- Authorization: Nenhuma
- Testar ligação e guardar
- Executar Test connection → Save.
Para uma configuração passo a passo, recomendamos a documentação da Sophos.