Introduzione della nuova copertura della piattaforma Vectra AI per Copilot e Microsoft Azure

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
Tecnica di attacco

Scansione della porta

Le scansioni delle porte sono una parte essenziale della manutenzione della rete, ma possono essere utilizzate dagli aggressori per trovare porte aperte. Ecco cosa occorre sapere per rilevare e bloccare le scansioni delle porte.

Definizione
Come funziona
Perché gli aggressori lo usano
Rilevamento
DOMANDE FREQUENTI
Definizione

Che cos'è una scansione della porta?

La scansione delle porte è una tecnica utilizzata dagli aggressori per identificare le vulnerabilità della rete. Sebbene i port scanner abbiano applicazioni preziose per la sicurezza della rete - per rivelare porte aperte, vulnerabilità o dispositivi non necessari connessi alla rete - gli attori malintenzionati possono usarli per trovare punti deboli per entrare. Gli aggressori possono anche usarli per vedere se sono in funzione firewall, VPN, server proxy e altri dispositivi di sicurezza.

Come funziona

Come funziona la tecnica di scansione delle porte

Le scansioni delle porte funzionano inviando pacchetti a una serie di porte di rete e analizzando le risposte per determinare quali porte sono aperte, chiuse o filtrate. Queste porte corrispondono a diversi servizi (come HTTP, FTP o SSH) che gli aggressori potrebbero sfruttare se non sono adeguatamente protetti.

Processo di scansione della porta
Perché gli aggressori lo usano

Perché gli aggressori utilizzano le tecniche di port scan

Gli aggressori utilizzano spesso le scansioni delle porte nella fase di ricognizione per identificare servizi vulnerabili o sistemi mal configurati. Ad esempio, la scansione di porte aperte come la 22 (SSH) o la 3389 (RDP) può rivelare servizi di gestione che potrebbero essere accessibili da remoto e diventare obiettivi di sfruttamento.

Una volta che un aggressore sa quali porte sono aperte, può concentrarsi sulla ricerca di vulnerabilità nei servizi in esecuzione su tali porte. Ad esempio, se gli strumenti di scansione rivelano che un server Web è in esecuzione sulla porta 80, gli aggressori potrebbero sondare le configurazioni errate, il software non aggiornato o le credenziali deboli.

Tipi di attacchi port scan

Gli aggressori utilizzano diversi tipi di tecniche di scansione delle porte, a seconda del livello di furtività richiesto:

  • Scansione di connessione TCP: Questa scansione tenta di completare un handshake completo a tre vie per determinare se una porta è aperta. È l'attacco di scansione della porta più facile da rilevare, poiché lascia dei log nei record di connessione del sistema. Questa tecnica viene utilizzata quando la scansione SYNC non è un'opzione.
  • Scansioni SYN: La scansione SYN, o scansione semiaperta, è più furtiva di una scansione di connessione TCP. Lo strumento di scansione delle porte invia un pacchetto per avviare la connessione, ma non completa l'handshake, riducendo così le possibilità di rilevamento. Questo metodo rivela le porte aperte senza stabilire una connessione TCP completa o segnalare allarmi.
  • FIN, Xmas e NULL Scans: Sono tecniche utilizzate per eludere i firewall o i sistemi di rilevamento delle intrusioni (IDS). Consistono nell'inviare pacchetti con combinazioni di flag insolite per sondare una porta specifica. A seconda del sistema operativo, una porta aperta o chiusa può reagire in modo diverso, consentendo agli aggressori di mappare sottilmente la rete.
  • Scansione UDP: Poiché il protocollo UDP (User Datagram Protocol) è privo di connessioni, la scansione comporta l'invio di un pacchetto UDP a una porta e l'analisi della risposta o della sua mancanza. Questo tipo di scansione è più lenta e difficile da condurre rispetto alle scansioni TCP, perché le risposte UDP sono meno prevedibili e molti servizi non rispondono se la richiesta non è formata correttamente.
  • Scansioni di rimbalzo FTP: Questa tattica utilizza un server FTP per far rimbalzare un pacchetto e mascherare la posizione del mittente, consentendo all'attaccante di non essere individuato.
  • Scansioni ping: In questo tipo, gli aggressori utilizzano un ping per verificare la facilità con cui un pacchetto di dati di rete può raggiungere un indirizzo IP.

Ecco una tabella che riassume le varie tecniche di scansione delle porte e il loro livello di furtività:

Tecnica di scansione Scopo Livello di furtività
Scansione TCP Connect Tenta di stabilire una connessione TCP completa con la porta di destinazione per verificare se è aperta. Basso (facilmente rilevabile)
Scansione TCP SYN (scansione semiaperta) Invia pacchetti SYN per determinare le porte aperte senza completare l'handshake TCP. Medio (meno rilevabile)
Scansione UDP Invia pacchetti UDP per trovare porte UDP aperte sul sistema di destinazione. Basso (può essere inaffidabile e rilevabile)
FIN, Natale e scansioni nulle Invia pacchetti con combinazioni di flag insolite per aggirare i firewall e rilevare le porte aperte. Alto (furtivo)
Ping Sweep Invia richieste ICMP Echo per scoprire gli host attivi su una rete. Basso (facilmente rilevabile)
Scansione della versione Sonda i servizi per determinare le versioni del software e identificare le vulnerabilità. Da basso a medio
Scansione inattiva Utilizza un host "zombie" per eseguire le scansioni, nascondendo l'indirizzo IP dell'attaccante. Molto alto (estremamente furtivo)

Perché la scansione delle porte è interessante per gli aggressori

  • Non invasivo e furtivo: Alcune tecniche di scansione sono progettate per evitare il rilevamento da parte di firewall e IDS.
  • Bassa barriera all'ingresso: Sono disponibili numerosi strumenti e script gratuiti che rendono la scansione delle porte accessibile agli aggressori con diversi livelli di abilità.
  • Essenziale per la pianificazione degli attacchi: Fornisce le informazioni critiche necessarie per elaborare strategie di attacco efficaci.
  • Anonimato: Tecniche come la scansione inattiva aiutano gli aggressori a rimanere anonimi.
Rilevamenti della piattaforma

Come rilevare le scansioni delle porte

Un modo per i team di sicurezza informatica di prevenire gli attacchi port scan è quello di eseguire regolarmente le scansioni delle porte stesse. Questo aiuta a identificare i potenziali sistemi bersaglio che sono attualmente esposti, consentendo di chiudere le porte non necessarie e di applicare le patch alle vulnerabilità. Anche un firewall forte è essenziale per prevenire gli accessi non autorizzati.

Tuttavia, è importante non fermarsi qui. Sebbene la riduzione dell'esposizione sia fondamentale, è necessario un modo per rilevare quando i servizi interni sono sotto attacco. Ad esempio, il rilevamento della scansione delle porte sospette di Vectra AIè stato progettato specificamente per avvisare i difensori quando un attaccante tenta attivamente di effettuare connessioni alle porte su uno o più indirizzi IP.

Rilevamento
Scansione delle porte sospette
Per saperne di più
Rilevamento
Sweep delle porte in uscita
Per saperne di più
Rilevamento
Controllo a tappeto delle porte sospette
Per saperne di più
Rilevamento
Scansione account SMB
Per saperne di più
Rilevamento
Scansione Darknet interna
Per saperne di più
Rilevamento
Scansione dell'account Kerberos
Per saperne di più
Esplora tutti i rilevamenti

Proteggete la vostra rete con rilevamenti avanzati

Vectra AI utilizza potenti rilevamenti basati sull'intelligenza artificiale, compresi quelli per la scansione delle porte, per monitorare continuamente il traffico di rete e identificare gli attacchi nelle prime fasi della loro progressione. Insieme, questi rilevamenti coprono il 90% delle tecniche rilevanti di MITRE ATT&CK .

Esplora la piattaforma
Per saperne di più

DOMANDE FREQUENTI