Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Tecnica di attacco

Rispecchiamento del traffico

Il mirroring del traffico è una parte importante della diagnostica di rete, ma apre anche la porta all'esfiltrazione dei dati. Ecco cosa è necessario sapere su questa tecnica di attacco.

Definizione
Come funziona
Perché gli aggressori lo utilizzano
Rilevamento
Domande frequenti
Definizione

Che cos'è il mirroring del traffico?

Il mirroring del traffico è una funzionalità di Amazon Virtual Private Cloud VPC) che consente di copiare il traffico di rete e inviarlo a un'altra destinazione, ad esempio uno strumento di ispezione o di risoluzione dei problemi. Secondo AWS, questa tecnica funziona copiando il traffico in entrata e in uscita dalle interfacce di rete collegate alle istanze EC2. È possibile inviare questo traffico mirrorato a un bilanciatore di carico di rete o gateway con un listener UDP, oppure all'interfaccia di rete di un'altra istanza. I componenti includono:

  • La fonte dello specchio di traffico, in genere un'interfaccia di rete elastica (ENI)
  • Obiettivi di mirroring del traffico o dispositivi di sicurezza e monitoraggio
  • La sessione mirror del traffico, ovvero la connessione tra la sorgente e la destinazione

Il filtro dello specchio di traffico, ovvero le regole in entrata e in uscita che determinano quale traffico copiare e inviare

Come funziona

Come funziona il mirroring del traffico?

Il mirroring del traffico può essere implementato in vari punti di una rete, ad esempio su switch, router o tap di rete dedicati. Il traffico sottoposto a mirroring viene in genere indirizzato verso dispositivi di sicurezza, sistemi di rilevamento delle intrusioni (IDS), sistemi di prevenzione delle intrusioni (IPS) o un sistema di gestione delle informazioni e degli eventi di sicurezza (SIEM). L'obiettivo è fornire a questi strumenti dati in tempo reale senza interrompere il flusso del traffico originale. I vantaggi includono:

  • Maggiore visibilità: il monitoraggio del traffico in tempo reale aiuta i team di sicurezza informatica ad acquisire una visione completa dell'attività di rete. Questa visibilità è fondamentale per identificare comportamenti sospetti e potenziali incidenti di sicurezza.
  • Monitoraggio non intrusivo: il mirroring del traffico consente di osservare passivamente i dati di rete, garantendo che le misure di sicurezza non interferiscano con le normali operazioni di rete.
  • Rilevamento avanzato delle minacce: il traffico mirrorato può essere inserito nella soluzione di rilevamento e risposta della rete, dove l'apprendimento automatico e l'intelligenza artificiale rilevano anomalie, attività dannose e movimenti laterali.
  • Monitoraggio delle prestazioni: oltre alla sicurezza, il mirroring del traffico aiuta gli amministratori di rete a diagnosticare e risolvere i problemi in modo più efficiente.
  • Conformità: il mirroring del traffico consente di mantenere la conformità ai requisiti normativi garantendo il monitoraggio e la registrazione continui delle attività di rete. 

È importante notare che, sebbene il mirroring del traffico sia una parte fondamentale della diagnostica di rete, è anche un modo per gli aggressori di sottrarre i tuoi dati.

Processo di mirroring del traffico
Perché gli aggressori lo utilizzano

Perché gli hacker utilizzano il mirroring del traffico?

Gli aggressori utilizzano il mirroring del traffico per intercettare, acquisire e analizzare le comunicazioni di rete senza autorizzazione. Duplicando il traffico di rete e indirizzandolo verso una posizione da loro controllata, gli aggressori possono ottenere l'accesso a informazioni sensibili, monitorare le comunicazioni e sfruttare le vulnerabilità all'interno di una rete.

Motivi principali per cui gli aggressori utilizzano il mirroring del traffico

Intercettazione di dati sensibili

  • Raccolta delle credenziali: gli aggressori possono intercettare nomi utente, password e token di autenticazione trasmessi sulla rete. Ciò consente l'accesso non autorizzato a sistemi, applicazioni e servizi.
  • Furto di dati: informazioni sensibili quali dati personali, documenti finanziari, proprietà intellettuale e comunicazioni aziendali riservate possono essere intercettate e sottratte.
  • Dirottamento della sessione: acquisendo i cookie o i token di sessione, gli aggressori possono dirottare le sessioni attive degli utenti, impersonando utenti legittimi per ottenere ulteriore accesso.

Ricognizione e sorveglianza della rete

  • Mappatura della rete: l'analisi del traffico mirrorato aiuta gli aggressori a comprendere la topologia della rete, identificare dispositivi, servizi e modelli di comunicazione.
  • Identificazione delle vulnerabilità: l'analisi del traffico può rivelare software obsoleti, protocolli non sicuri, configurazioni errate o metodi di crittografia deboli che possono essere sfruttati.
  • Intercettazioni: gli aggressori possono monitorare le comunicazioni per raccogliere informazioni, spiare conversazioni sensibili o raccogliere informazioni per attacchi futuri.

Elusione delle misure di crittografia e sicurezza

  • Intercettazione SSL/TLS: se gli aggressori riescono a intercettare il traffico crittografato prima che venga crittografato o dopo che è stato decrittografato, possono accedere ai dati in chiaro.
  • Evitare il rilevamento: replicando il traffico internamente, gli aggressori possono aggirare le misure di sicurezza perimetrali come firewall e sistemi di rilevamento delle intrusioni che monitorano le minacce esterne.

Facilitare attacchi avanzati

  • Attacchi Man-in-the-Middle (MitM): il mirroring del traffico consente agli aggressori di posizionarsi tra le parti in comunicazione, permettendo loro di intercettare, modificare o inserire dati dannosi nel flusso di comunicazione.
  • ComunicazioneCommand and Control C2): gli aggressori possono stabilire canali segreti all'interno del traffico mirrorato per controllare i sistemi compromessi senza destare sospetti.
  • Iniezione di malware: manipolando il traffico, gli aggressori possono inviare malware ai sistemi presi di mira.

Esfiltrazione dei dati

  • Trasferimento dati invisibile: il traffico mirrorato può essere utilizzato per esfiltrare grandi quantità di dati nel tempo, riducendo la probabilità di essere rilevati.
  • Codifica dei dati e steganografia: gli aggressori possono nascondere i dati all'interno di modelli di traffico o file legittimi, rendendo meno evidente l'esfiltrazione.

Metodi utilizzati dagli aggressori per implementare il mirroring del traffico

Compromissione dei dispositivi di rete

  • Router e switch: Ottenere accesso non autorizzato ai dispositivi dell'infrastruttura di rete per configurare il mirroring delle porte o le sessioni SPAN (Switch Port Analyzer).
  • Network tap: installazione fisica di dispositivi che intercettano i cavi di rete per acquisire il traffico senza interrompere le operazioni di rete.

Installazione di software dannoso

  • Sniffer di pacchetti: implementazione di software come Wireshark, tcpdump o sniffer personalizzati su sistemi compromessi per catturare i pacchetti di rete.
  • Rootkit e malware: utilizzo malware avanzato malware opera a livello di kernel per intercettare le comunicazioni di rete in modo invisibile.

Sfruttamento delle vulnerabilità dei protocolli

  • ARP Spoofing/Poisoning: Manipolazione delle tabelle del protocollo ARP (Address Resolution Protocol) per reindirizzare il traffico attraverso il sistema dell'autore dell'attacco.
  • Spoofing DNS: reindirizzamento del traffico tramite la corruzione delle risposte DNS per indirizzare gli utenti verso siti dannosi.

Compromissione delle reti wireless

  • Punti di accesso non autorizzati: configurazione di punti di accesso wireless non autorizzati per intercettare il traffico wireless.
  • Attacchi Evil Twin: imitazione di reti Wi-Fi legittime per indurre gli utenti a connettersi, consentendo agli aggressori di intercettare il loro traffico.
Rilevamenti della piattaforma

Come rilevare il mirroring del traffico dannoso

L'unico modo comprovato per intercettare il traffico dannoso prima che abbia inizio è l'utilizzo di tecnologie avanzate di intelligenza artificiale e machine learning. Ecco perché gli ingegneri della sicurezza Vectra AIhanno sviluppato un modello di rilevamento avanzato basato sull'intelligenza artificiale specifico per il monitoraggio del traffico. Gli analisti della sicurezza lo utilizzano per individuare quando viene richiamata un'API del piano di controllo AWS, il primo segnale di un tentativo dannoso di sfruttare il traffico mirroring, in modo da poter bloccare l'autore dell'attacco prima che abbia la possibilità di creare una sessione di traffico di rete.

Rilevamento
Creazione di mirror del traffico sospetto AWS
Per saperne di più
Esplora tutti i rilevamenti

Proteggi la tua rete con rilevamenti avanzati

Il mirroring del traffico è una delle decine di rilevamenti avanzati basati sull'intelligenza artificiale disponibili nella Vectra AI , che copre il 90% delle MITRE ATT&CK rilevanti.

Esplora la piattaforma
Per saperne di più

Domande frequenti