Docs durchsuchen

Features

Policy Confidence für produktive Firewall-Policies

Warum Cybora Indikatoren nicht nur nach Risiko, sondern auch nach Policy Confidence, Durchsetzbarkeit und möglichem Kollateralschaden bewertet.

Zuletzt aktualisiert: 26. Juni 2026

Auf dieser Seite

Firewall-Policies unterscheiden sich von reiner Analyse. Ein Eintrag in einem Report kann interessant sein, aber ein Eintrag in einer produktiven Blockliste kann echte Auswirkungen auf Anwendungen, Benutzer und Kunden haben. Cybora bewertet Indikatoren deshalb mit Blick auf produktive Durchsetzbarkeit.

Das Ziel ist ein Feed, den Admins in realen Policies vertreten können. Dafür reicht es nicht, dass ein Indikator auffällig wirkt. Er muss genügend Evidenz haben und darf kein unverhältnismäßiges Risiko für legitimen Traffic erzeugen.

Risiko ist nicht gleich Blockierbarkeit

Ein Ziel kann riskant erscheinen, aber für hartes Blocking ungeeignet sein. Beispiele sind:

  • große Cloud-Provider mit vielen legitimen Kunden
  • CDNs und Shared-Hosting-Plattformen
  • Mail-, Identity- oder Collaboration-Dienste
  • dynamische Provider-Netze und VPN-Ausgänge
  • IPs, deren Nutzung schnell zwischen Kunden wechselt

Solche Umgebungen benötigen stärkere Evidenz als eindeutig missbrauchte Infrastruktur. Cybora unterscheidet deshalb zwischen auffälligen Signalen und Signalen, die mit vertretbarem Risiko in einen produktiven Feed gehören.

Confidence als internes Entscheidungsmodell

Confidence entsteht nicht aus einem einzelnen Feld. Sie ergibt sich aus mehreren Faktoren: beobachtetes Verhalten, Aktualität, Wiederholung, unabhängige Quellen, Indikator-Typ, mögliche legitime Nutzung und bisherige Review-Erfahrung.

Die genauen Schwellenwerte bleiben intern. Öffentlich relevant ist, dass Cybora nicht nur die Bedrohungswahrscheinlichkeit bewertet, sondern auch die Folgen einer Blockierung.

Rollout in produktiven Umgebungen

Auch ein gut kuratierter Feed sollte kontrolliert eingeführt werden. Wo die Plattform es unterstützt, ist ein Start mit Monitoring, Logging oder begrenztem Scope sinnvoll. Danach kann Blocking schrittweise dort aktiviert werden, wo Nutzen und Risiko zusammenpassen.

Die praktische Prüfung von Abruf, Import und Policy-Wirkung ist im Artikel Validierung und Fehlersuche beschrieben.