Hoppa till innehållet
Avanet
Threat Intelligence Feeds för brandväggen – Blockera attacker innan de knackar på

Threat Intelligence Feeds för brandväggen – Blockera attacker innan de knackar på

Vissa dagar känner man sig som IT-administratör som om man stod under konstant beskjutning: varje minut försöker bots och cyberkriminella hitta kryphål i nätverket. En titt i brandväggsloggarna visar en flod av misstänkta anslutningsförsök från hela världen. Skulle det inte kännas tryggare om kända angripare inte ens fick knacka på dörren till det egna nätverket? Det är precis här Threat Feeds kommer in i bilden – ofta även kallade Threat Intelligence Feeds eller kort Threat Intel Feeds. Men vad ligger bakom, och varför ska man använda sådana feeds på brandväggen?

Varför behöver man Threat Feeds på brandväggen?

Threat Feeds är i grunden ständigt uppdaterade listor över kända Indicators of Compromise (IoCs) – till exempel skadliga IP-adresser, domäner eller URL:er. Dessa feeds tillhandahålls av specialiserade källor: säkerhetsorganisationer, branschinitiativ, open source-communities eller kommersiella Threat Intelligence-leverantörer. En modern brandvägg kan importera sådana externa feeds och därmed automatiskt blockera trafik från kända hot redan innan en attack faktiskt äger rum.

Nya hot dyker ständigt upp, och ingen administratör kan manuellt hålla koll på alla farliga IP:er och domäner. Här ger en Threat Intelligence Feed brandväggen extra kunskap: den informerar löpande om vilka källor som för närvarande är kända som farliga. På så sätt kan brandväggen stoppa anslutningar till dessa mål innan skadlig kod eller angripare hinner orsaka skada. I nyare brandväggsmodeller (t.ex. Sophos från version 21 med Active Threat Response) är stödet för sådana tredjepartsfeeds redan fast integrerat. Men många andra tillverkare har liknande funktioner – principen är densamma.

Fördelarna med en Threat Feed på brandväggen är uppenbara:

  • Proaktivt skydd: Kända hot blockeras innan de når ditt nätverk och kan orsaka skada.
  • Flexibilitet: Man kan använda feeds från olika källor och anpassa dem till sina egna krav – från kostnadsfria community-feeds till högspecialiserade premium-feeds.
  • Automatisering: Brandväggen uppdaterar och använder feeden automatiskt; ständig manuell uppdatering av blocklistor behövs inte längre, vilket avlastar administratörer avsevärt.

Sammanfattningsvis fungerar brandväggen med en Threat Feed som ett tidigt varningssystem som fångar upp kända skadliga avsändare redan vid nätverksgränsen. Det höjer infrastruktursäkerheten tydligt och minskar samtidigt den oönskade trafik som överhuvudtaget når interna system.

Proaktivt försvar: Stoppa bots och attacker i förväg

Ett praktiskt exempel på mervärdet av Threat Feeds är försvaret mot botnet-baserade attacker. Många säkerhetsmekanismer (som blockering efter X misslyckade försök) upptäcker brute-force-attacker relativt tillförlitligt när de kommer från en enda IP-adress. Moderna angripare sprider däremot sina försök över många bots: varje enskild infekterad host gör kanske bara ett eller två inloggningsförsök, utspritt över lång tid. Ingen enskild IP sticker ut lokalt – attackerna förblir under radarn och kringgår traditionella skyddsmekanismer som Fail2Ban eller login limits.

Här visar en brett uppbyggd Threat Intelligence Feed sin styrka. När loggar från många brandväggar analyseras går det att se att vissa IP-adresser visar misstänkt aktivitet fördelat över flera system. Om samma IP till exempel dyker upp i inloggningsloggarna hos dussintals olika företag med misslyckade försök är det en tydlig indikation på en samordnad attack. Sådana adresser markeras sedan i Threat Feed och blockeras centralt. Den egna brandväggen lär sig av detta: så snart en av dessa botnet-hostar försöker hos dig, identifieras och stoppas den direkt tack vare feedens kunskap, utan att den hinner orsaka nämnvärd skada.

Avanet-brandväggstelemetri för Cybora Threat Intelligence Feed
Avanet-brandväggstelemetri för Cybora Threat Intelligence Feed

Bild: Det globala brandväggsnätverket fungerar som ett sensoriskt tidigt varningssystem. När en hanterad brandvägg upptäcker en misstänkt IP och rapporterar den till den centrala molndatabasen får alla anslutna deltagare denna information. Den skadliga IP:n markeras i Threat Intelligence Feed och blockeras därmed på alla brandväggar i nätverket. På så sätt drar alla nytta av varandras erfarenheter. Cybora kurerar sedan detta till en utmärkt Threat Feed åt oss.

Genom denna delade Threat Intelligence kan även distribuerade, smygande attacker stoppas proaktivt. Varje nyupptäckt skadlig IP-adress hamnar snabbt i feeden – och därmed på blocklistan för alla deltagande brandväggar. Resultatet är att antalet attackförsök som når fram minskar drastiskt. Brandväggen behöver bearbeta mindre “brus”, och verkliga attacker får betydligt svårare att ta sig igenom obemärkt.

Enkel integration i Sophos, Fortinet, Palo Alto & Co.

Lyckligtvis är det okomplicerat att integrera en Threat Feed i vanliga brandväggsplattformar. Även om vi på Avanet främst fokuserar på Sophos Firewall, kan feeden integreras lika bra i lösningar från andra tillverkare. Oavsett om det gäller Fortinet FortiGate, Palo Alto Networks, Check Point, OPNsense eller andra – de flesta moderna brandväggar stöder externa blocklistor/Threat Feeds och kan prenumerera på en lista över IP:er/domäner via URL.

Lägg till Threat Intelligence Feeds på Sophos Firewall
Lägg till Threat Intelligence Feed på Sophos Firewall

Med Sophos XGS som exempel ser man hur enkelt det är: via webbgränssnittet i menyn “Third-Party Threat Feeds” lägger man till en ny feed, anger namn, feed-URL och typ (IPv4, Domain eller URL), väljer Blockera som åtgärd – klart. Hos Fortinet eller Palo Alto fungerar det på liknande sätt, men funktionerna heter något annat där, till exempel External Block List i FortiGate eller External Dynamic List i Palo Alto.

Generellt behövs bara några steg för att integrera Cybora Threat Feed:

  1. Skaffa feed-URL: Först får du URL:en till önskad Threat Feed från oss (t.ex. för Basic Feed eller Premium).
  2. Lägg in den i brandväggen: Öppna området för externa/anpassade Threat Feeds eller blocklistor i brandväggsgränssnittet och lägg till en ny feed eller connector. Namn och beskrivning kan väljas fritt. Som källa anger du den mottagna feed-URL:en.
  3. Ställ in filterregler: Ange vilken typ av indikator som importeras (IPv4-adresser, domäner, URL:er) och vad brandväggen ska göra med den – vanligtvis blockera. Ställ sedan in hämtningsintervallet (t.ex. var 6:e timme) och spara konfigurationen.

Efter dessa steg ansluter brandväggen automatiskt till feeden och laddar aktuella Indicators of Compromise. Från den tidpunkten körs Threat Intel-försörjningen i bakgrunden: listan över skadliga IP:er och domäner uppdateras regelbundet, och brandväggen blockerar alla adresser som finns i den helt automatiskt. Integrationen tar ofta bara några minuter – men säkerhetsvinsten är stor.

Kurerade Threat Intelligence Feeds från Cybora

Det finns många fritt tillgängliga blocklistor och Threat Feeds på internet. Så varför använda en feed från Cybora? Utmaningen ligger i datans kvalitet och aktualitet. Cybora har byggt upp en kurerad Threat Intelligence Feed som är särskilt optimerad för användning på brandväggar och förfinas löpande. Cyboras metod kombinerar många källor och filtrerar dem intelligent för att ge ett omfattande och tillförlitligt resultat. För detta använder vi bland annat:

  • Offentliga community- och OSINT-listor: t.ex. kända blocklistor från säkerhetsgemenskapen som samlar aktuella hot.
  • Kommersiell Threat Intelligence: inköpta datafeeds från specialiserade säkerhetsleverantörer som levererar exklusivt material (t.ex. om nya malware-domäner).
  • Honeypots och egna sensorer: Cybora driver honeypot-system och använder ytterligare telemetridata för att identifiera angripare, IP:er, domäner och attackmönster.
  • Brandväggstelemetri från kundmiljöer: Brandväggar som hanteras av Avanet kan leverera anonymiserade attack- och avvikelseloggar, som Cybora använder i analysen och kureringen av feeden.

Genom att slå samman all denna information skapas en ständigt uppdaterad dataström av skadliga indikatorer som går långt utöver enskilda källor. Ännu viktigare: Cybora kurerar och verifierar data för att i möjligaste mån utesluta false positives. I stället för att okritiskt hälla ihop alla tänkbara listor – vilket lätt kan blockera legitima tjänster av misstag – prioriterar vi kvalitet framför kvantitet. Varje IP eller domän i Cybora Feed har faktiskt synts som attack- eller skadinfrastruktur, ofta på flera oberoende system. Därför kan man lita på Cybora Feed och aktivera den skarpt i brandväggen utan rädsla för att blockera legitim trafik i onödan.

Cybora Threat Intelligence Feed har under längre tid använts på flera brandväggar som vi hanterar och har testats i olika kundmiljöer under verkliga förhållanden. I kontrollerade utrullningar har vi löpande förfinat kurationslogik, uppdateringsintervall och kvalitetskontroller. Resultatet är en stabil, praktiskt användbar feed som verkar på brandväggen utan extra arbete och kontinuerligt förbättras med operativ feedback. Nya installationer drar därmed direkt nytta av erfarenheterna från fältet.

Fyra Threat Feed-paket för varje behov

Alla miljöer behöver inte samma djup av Threat Intelligence. Därför erbjuder vi Cybora Threat Feed i fyra utbyggnadsnivåer – från det kostnadsfria grundpaketet till high-end-lösningen. På så sätt hittar alla rätt skyddsnivå:

Basic

  • 0 CHF per år
  • Uppdateringsintervall: var 24:e timme
  • IPv4-feeds: ≈ 30 000 IP:er

Begär feed

Standard

  • 179 $ per år
  • Uppdateringsintervall: var 6:e timme
  • IPv4-feeds: ≈ 45 000 IP:er
  • Support
  • 100 % rabatt för Sophos Firewall-prenumerationskunder*

Prenumerera

Premium

  • 349 $ per år
  • Uppdateringsintervall: var 1:a timme
  • IPv4-feeds: ≈ 120 000 IP:er
  • Domän- / URL-feeds
  • Support
  • 14 % rabatt för Sophos Firewall-prenumerationskunder*

Prenumerera

Ultimate

1999 $ per år

  • Uppdateringsintervall: var 15:e min
  • IPv4-feeds: > 220 000 IP:er
  • Domän- / URL-feeds
  • Support

Prenumerera

  • Basic: Kostnadsfritt grundskydd med community-baserade baslistor. Innehåller cirka 30 000 kända skadliga IP-adresser och uppdateras var 24:e timme. Perfekt för mindre miljöer som vill ha ett stabilt grundskydd till låg kostnad.
  • Standard: Kurerad standardfeed med bredare täckning (ca 45 000 IP:er) och uppdateringar var 6:e timme. Tar med ytterligare tillförlitliga källor för mer precis detektering och färre false positives. Lämplig för företag som vill höja säkerheten märkbart och samtidigt minska onödig trafik.
  • Premium: Premium-feed för höga krav, uppdaterad varje timme. Omfattar cirka 120 000 kända skadliga IP:er samt – från Q4/2025 – dessutom omfattande domän- och URL-feeds (över 30 kurerade listor). Innehåller exklusiva data från våra honeypots, partnerfeeds och realtidsanalyser. För organisationer som inte vill kompromissa med säkerheten.
  • Ultimate: Helhetspaketet med maximal täckning. Innehåller alla tillgängliga datapunkter (för närvarande fler än 220 000 IP:er) och uppdateras var 15:e minut – nästan i realtid. Erbjuder högsta möjliga skydd och är särskilt intressant för kritisk infrastruktur eller större företag som vill rusta sig mot alla typer av hot. (Detta paket erbjuds individuellt och riktar sig till mycket krävande miljöer.)

Alla varianter av Cybora Threat Feed är fullt kompatibla med Sophos Firewall (från v21 med motsvarande Xstream Protection-licensbundle) och de andra nämnda systemen. Man kan börja smått – till exempel med den kostnadsfria Basic Feed – och vid behov byta till högre nivåer när säkerhetskraven växer. För befintliga kunder som redan använder vårt Sophos Firewall-abonnemang finns dessutom rabatter på de betalda feed-paketen, så integrationen lönar sig dubbelt.

Slutsats – Prova det och ligg steget före faran

Attacker blir mer sofistikerade och fler för varje dag – men du behöver inte stå oskyddad. En Threat Intelligence Feed ger brandväggen det nödvändiga försprånget för att blockera kända riskkällor redan innan de knackar på dörren. Erfarenheten visar att man ofta blir förvånad över hur många anslutningsförsök som stoppas automatiskt redan under de första dagarna efter aktivering. Alla bot-förfrågningar, scanners och tvivelaktiga inloggningsförsök som tidigare behövde avvärjas mödosamt av interna system eller separata regler studsar nu direkt mot brandväggen.

Så varför inte uppleva skillnaden själv? Med Cybora Basic Feed kan du testa gratis och utan bindning hur mycket oönskad trafik som uppstår i den egna miljön – och hur mycket av den som redan stoppas vid källan av Threat Feed. Insikterna skapar förtroende: du ser svart på vitt vilken del av den dagliga trafiken som faktiskt är skadlig och nu inte längre belastar säkerhetsinfrastrukturen.

I slutändan gäller följande: “Din brandvägg förtjänar mer kunskap.” En Threat Feed är ett effektivt sätt att tillföra denna kunskap. Genom att använda svärmintelligens från tusentals källor ligger du alltid steget före angriparna. Prova det – din brandvägg (och din nattsömn) kommer att tacka dig.

FAQ

Vad är en Threat Feed eller Threat Intelligence Feed?

En kontinuerligt uppdaterad dataström med indikatorer för attacker som IP:er, domäner eller URL:er som automatiskt kan blockeras av brandväggen.

Hur skiljer sig en Threat Feed från klassiska brandväggsregler eller IPS?

Threat Feeds arbetar reputationsbaserat och proaktivt innan en attack blir synlig. Regler och IPS reagerar oftast på mönster i trafiken. Båda kompletterar varandra.

Vilka licenskrav gäller för Sophos?

För bekväm integration av externa feeds krävs vanligtvis Xstream Protection.

Vilka brandväggar stöds?

Sophos, Fortinet, Palo Alto, Check Point, OPNsense och andra plattformar med stöd för externa blocklistor eller External Dynamic Lists.

Sedan när används Cybora Feed?

Vi testar regelbundet olika Threat Feeds. Cybora Feed har hittills visat sig fungera bäst: den erbjuder ett utmärkt pris-/prestandaförhållande och är särskilt optimerad för användning på brandväggar.

Hur stort är Cyboras Threat Intel-nätverk?

Hundratals produktiva kundbrandväggar samt flera globalt distribuerade honeypot-servrar på fem kontinenter levererar kontinuerligt telemetridata. Dessa data kureras in i Cybora Threat Feed och uppdateras löpande.

Överföring av telemetridata till Cybora sker uteslutande efter föregående överenskommelse med respektive kund. Dessutom anonymiserar vi uppgifterna i förväg innan de används i vidare analys och kurering.

Patrizio

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.