Docs durchsuchen

Features

Aktive Angreifer stoppen, bevor sie interne Systeme erreichen

Warum Cybora aktive Scanner, Botnet-Ziele, Command-and-Control-Infrastruktur und andere bekannte Bedrohungsziele direkt für Firewall-Policies nutzbar macht.

Zuletzt aktualisiert: 26. Juni 2026

Auf dieser Seite

Cybora ist darauf ausgelegt, bekannte aktive Bedrohungsinfrastruktur früh am Perimeter zu reduzieren. Das können IPv4-Adressen, Domains oder URLs sein, die mit Mass-Scanning, Botnet-Kommunikation, Phishing, Malware-Auslieferung, Exploit-Versuchen oder anderer bösartiger Aktivität in Verbindung stehen.

Der entscheidende Punkt ist die operative Durchsetzung. Ein Indikator ist für Cybora nicht nur interessant, weil er in einer Analyse auftaucht. Er muss auch sinnvoll in einer Firewall-, DNS-, Web- oder Security-Policy verwendet werden können.

Warum der Perimeter zählt

Viele Angriffe beginnen nicht mit einem ausgefeilten Exploit, sondern mit wiederholtem Scanning, Credential-Angriffen, Probe-Requests, Botnet-Verbindungen oder Zugriffen auf bekannte bösartige Infrastruktur. Diese Aktivität belastet Logs, erzeugt wiederkehrende Reviews und trifft dieselben exponierten Dienste oft über längere Zeit.

Wenn eine Firewall solche bekannten Quellen oder Ziele bereits an der Kante reduziert, müssen interne Systeme und nachgelagerte Kontrollen weniger unerwünschten Traffic verarbeiten. Das ersetzt keine IPS-, EDR-, DNS-Security- oder SIEM-Architektur, ergänzt sie aber um eine vorgelagerte Schicht.

Empfohlene Einordnung in der Policy

In vielen Umgebungen eignet sich ein Threat Feed als vorgelagerte Reputation-Schicht: bekannte aktive Infrastruktur wird früh verworfen oder markiert, bevor teurere Prüfungen wie IPS, WAF, Proxy-Analyse oder SIEM-Korrelation greifen. Die genaue Platzierung hängt von der Firewall-Plattform, dem Regelwerk und dem gewünschten Logging ab.

Für den Einstieg ist ein kontrollierter Rollout sinnvoll: Feed abrufen, Listenfüllung prüfen, Policy referenzieren, Logging beobachten und erst dann breit produktiv einsetzen. Cybora ist dabei kein Ersatz für Signatur-, Verhaltens- oder Endpoint-Schutz, sondern ein zusätzlicher Filter für bekannte Infrastruktur.

Welche Signale relevant sind

Cybora betrachtet vor allem Signale, die für eine Firewall-Policy praktisch nutzbar sind:

  • wiederholtes Scanning gegen exponierte Dienste
  • Infrastruktur, die mit Botnets oder Command-and-Control in Verbindung steht
  • Phishing- und Malware-Auslieferungsziele
  • auffällige Quellen für automatisierte Angriffsversuche
  • wiederkehrende Muster über mehrere unabhängige Beobachtungspunkte

Nicht jeder Hinweis landet automatisch im Feed. Eine einzelne Beobachtung kann ein Startpunkt sein, aber für produktive Durchsetzung braucht es zusätzliche Evidenz, Frische und eine Bewertung des möglichen Kollateralschadens.

Was bewusst nicht versprochen wird

Kein Threat Feed kann alle Angriffe erkennen oder garantieren, dass jede bösartige Verbindung blockiert wird. Cybora soll bekannte aktive Infrastruktur reduzieren und wiederkehrendes Rauschen am Edge verringern. Neue, zielgerichtete oder noch nicht beobachtete Angriffe müssen weiterhin durch Defense-in-Depth, Logging und saubere Firewall-Policies abgedeckt werden.

Für den Rollout empfiehlt sich ein kontrollierter Einstieg: Feed abrufen, Import prüfen, Logging aktivieren und die Policy-Wirkung beobachten. Die technische Validierung ist im Artikel Validierung und Fehlersuche beschrieben.