Docs durchsuchen

Features

Kuratierte Threat Feeds statt riskanter Rohlisten

Wie Cybora aus OSINT, kommerziellen Feeds, Sensorik und realen Signalen einen firewall-tauglichen Threat Feed ableitet.

Zuletzt aktualisiert: 26. Juni 2026

Auf dieser Seite

Ein guter Firewall-Feed ist nicht einfach eine möglichst große Liste. Rohdaten enthalten Dubletten, alte Einträge, widersprüchliche Quellen, unklare Kategorien und Signale, die für produktives Blocking zu riskant sind. Cybora kuratiert diese Signale, bevor sie als Feed ausgeliefert werden.

Die Kuration ist der eigentliche Wert des Dienstes. Sie reduziert den Aufwand, den ein Admin sonst selbst leisten müsste: Quellen vergleichen, Einträge normalisieren, veraltete Daten entfernen, riskante Ziele prüfen und die Liste in ein Format bringen, das die Firewall wirklich konsumieren kann.

Die Kurationskette

Cybora orientiert sich an einer einfachen technischen Kette:

Quelle -> beobachtetes Verhalten -> unabhängige Evidenz -> Confidence -> Kollateralschaden -> Aging -> Feed-Auslieferung

Diese Kette ist bewusst stärker als ein einzelner Reputation-Treffer. Ein Indikator wird wertvoller, wenn er frisch ist, mehrfach beobachtet wurde, zu einem klaren Verhalten passt und keine offensichtlichen Risiken für legitime Business-Infrastruktur erzeugt.

Der Verhaltensbezug ist entscheidend. Eine IP ist nicht nur “schlecht”, weil sie in einer Liste steht. Relevant ist, ob sie zum Beispiel durch Scanning, Exploit-Versuche, Botnet-Kommunikation, Phishing, Malware-Auslieferung oder wiederholte Credential-Angriffe auffällt. Mehr dazu steht im Artikel Behavior-based Signals.

Warum Rohlisten problematisch sind

Öffentliche Listen können sehr nützlich sein, sind aber selten direkt für produktive Firewall-Policies optimiert. Typische Probleme sind:

  • veraltete IPs oder Domains, die heute legitim genutzt werden
  • gemischte Indikator-Typen in einer Datei
  • fehlende Aussage zur Frische des Signals
  • zu wenig Kontext für Shared Hosting, CDNs oder Cloud-Provider
  • Listen, die größer sind als die Kapazität bestimmter Firewall-Modelle

Cybora übernimmt solche Quellen deshalb nicht blind. Sie werden als Eingangssignale behandelt, nicht als fertige Blockliste.

Welche Quellen einfließen

Cybora nutzt öffentliche OSINT-Listen und kommerzielle Threat-Intel-Feeds weiterhin als wichtige Eingangssignale. Dazu kommen eigene Honeypot- und Sensor-Daten, reale Firewall-Signale aus teilnehmenden produktiven Umgebungen und vorsichtig bewertete Identity-Signale wie wiederholte fehlgeschlagene Cloud-Logins aus mehreren unabhängigen Umgebungen.

Jede dieser Quellen hat Stärken und Grenzen. OSINT kann breit und schnell sein, aber alt oder kontextarm. Kommerzielle Feeds liefern zusätzliche Abdeckung, sind aber ebenfalls nicht automatisch firewall-tauglich. Honeypots sehen frühes Internet-Rauschen, reale Firewalls zeigen produktive Perimeter-Realität und Identity-Signale können Hinweise auf Passwortspraying oder Credential Stuffing geben.

Cybora behandelt diese Quellen deshalb als Signale, nicht als fertige Entscheidungen. Wertvoll werden sie durch Normalisierung, Deduplizierung, Korrelation, Frischebewertung und die Prüfung, ob ein Indikator mit vertretbarem Risiko in einer produktiven Firewall-Policy genutzt werden kann.

Was öffentlich bleibt und was intern bleibt

Öffentlich wichtig ist das Prinzip: Cybora kombiniert mehrere Signalarten, prüft sie auf Relevanz und liefert nur firewall-taugliche Indikatoren aus. Intern bleiben konkrete Gewichtungen, Schwellenwerte, Quellprioritäten und einzelne Partnerdetails. So bleibt der Prozess nachvollziehbar, ohne die eigentliche Kurationslogik offenzulegen.

Das technische Ausgabeformat ist im Artikel Feed-URL-Format und Lizenzschlüssel dokumentiert.