3rd Party Threat Feeds in der Sophos Firewall: Automatische Erkennung und Isolation von Bedrohungen

Was sind 3rd Party Threat Feeds?

Threat Feeds sind Listen mit IP-Adressen, Domains oder URLs, die nachweislich in Bedrohungsaktivitäten wie Phishing, Malware oder Command-and-Control involviert sind. Diese Indikatoren werden als IoCs (Indicators of Compromise) bezeichnet.

In der Sophos Firewall lassen sich drei Feed-Typen nutzen:

• MDR Threat Feeds – kuratiert durch Sophos MDR-Analysten.
  
• Sophos X-Ops Threat Feeds – globale Datenbank von SophosLabs.
  
• Third-Party Threat Feeds – externe Quellen wie AbuseIPDB oder eigene Feeds.

Hinweis: Über die zentrale Konfiguration entscheidet der Administrator, ob IoCs geblockt oder nur geloggt        werden. Empfohlen ist Block, um sofortige Sicherheit zu gewährleisten.

Voraussetzungen: Xstream Protection Bundle

Um die Funktion 3rd Party Threat Feeds in der Sophos Firewall nutzen zu können, wird das Xstream Protection Bundle benötigt. Dieses Lizenzpaket umfasst fortschrittliche Sicherheitsfunktionen, die es der Firewall ermöglichen, Bedrohungsinformationen effizient zu verarbeiten und automatisch darauf zu reagieren.

Hinweis: Ohne das Xstream Protection Bundle ist die Nutzung von Drittanbieter-Feeds nicht möglich, da die notwendigen Module zur Verarbeitung der IoCs fehlen.

Wie schützt Active Threat Response?

Die Active Threat Response (ATR) koordiniert alle Threat Feeds und setzt automatisiert Richtlinien um:

• Forwarded Traffic (Durchgeleitet): blockiert bei verdächtigen Destination-IP-, Domain- und URL-Aufrufen.
  
• System-destined Traffic (Zur Firewall): blockiert verdächtige Source-IPs, die auf Admin-Services wie WebAdmin, VPN-Portale oder SSL VPN zugreifen.

Einschränkungen: Bei DNAT- oder WAF-Traffic greift ATR aktuell nicht. In der Praxis bedeutet das: Angriffe auf interne Server über DNAT/WAF können nicht durch 3rd Party Feeds gestoppt werden – hier sind WAF-Regeln, IPS und Geo-Blocking notwendig.

Automatische Isolation mit Security Heartbeat

Das Zusammenspiel von Threat Feed + ATR + Security Heartbeat macht den Unterschied:

1. Erkennung: Ein Endgerät kontaktiert eine verdächtige IP oder Domain aus dem Threat Feed.
   
2. RED-Status: Der Security Heartbeat stuft das Gerät sofort als kritisch (rot) ein.
   
3. Netzwerkverbindungen ablehnen: Alle anderen Geräte im Subnetz blockieren Verbindungen zu/von diesem Gerät.
   
4. Selbst-Isolation: Das betroffene Gerät kappt zusätzlich seine eigenen Netzwerkverbindungen – vollständige Quarantäne ohne Admin-Eingriff.

Erst nach Analyse, Bereinigung oder gezielten Ausnahmen kann das Gerät wieder ins Netzwerk integriert werden.

Best Practices für den Einsatz von 3rd Party Threat Feeds

• Feeds gezielt einsetzen: Stärken liegen beim ausgehenden Traffic (z. B. C2-Server) und beim Schutz der Appliance.
  
• Zusätzliche Schutzebenen nutzen: Für WAN → LAN via DNAT/WAF unbedingt IPS, TLS-Inspection und WAF-Härtung einsetzen.
  
• Kuratierten Feeds Vorrang geben: Kommerzielle Feeds liefern höhere Qualität, weniger False Positives und sparen Administrationsaufwand.
  
• Ausnahmen pflegen: Kritische Systeme wie Update-Caches oder Relay-Server sollten in den Einstellungen als Exclusions hinterlegt werden.
  
• Monitoring aktiv halten: Logs in Sophos Firewall und Sophos Central regelmäßig prüfen, um Trends und wiederkehrende Auffälligkeiten zu erkennen.

Fazit: Mehrstufiger Schutz in Echtzeit

Die Kombination aus 3rd Party Threat Feeds, Active Threat Response, Security Heartbeat und Netzwerkverbindungen ablehnen bietet Unternehmen ein starkes Abwehrsystem gegen moderne Cyberangriffe.

• IoCs werden sofort erkannt und blockiert.
  
• Infizierte Geräte werden automatisch isoliert.
  
• Admins erhalten detaillierte Logs zur Ursachenanalyse und Nachverfolgung.

Damit reduziert die Sophos Firewall die Angriffsfläche drastisch und ermöglicht es, Bedrohungen in Echtzeit und ohne manuelles Eingreifen einzudämmen.