Scoprite le lacune della vostra Microsoft Identity Security.
Prenotate oggi stesso un'analisi del gap di esposizione all'identità.
Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
Tecnica di attacco

Mirroring del traffico

Il mirroring del traffico è una parte importante della diagnostica di rete, ma apre anche la porta all'esfiltrazione dei dati. Ecco cosa c'è da sapere su questa tecnica di attacco.

Definizione
Come funziona
Perché gli aggressori lo usano
Rilevamento
DOMANDE FREQUENTI
Definizione

Che cos'è il mirroring del traffico?

Il mirroring del traffico è una funzione di Amazon Virtual Private Cloud (VPC) che consente di copiare il traffico di rete e di inviarlo a un'altra destinazione, come uno strumento di ispezione o di risoluzione dei problemi. Secondo AWS, questa tecnica funziona copiando il traffico in entrata e in uscita dalle interfacce di rete collegate alle istanze EC2. È possibile inviare questo traffico specchiato a un bilanciatore di carico di rete o gateway con un ascoltatore UDP o all'interfaccia di rete di un'altra istanza. I componenti includono:

  • La sorgente del traffico mirror, in genere un'interfaccia di rete elastica (ENI)
  • Obiettivi di mirroring del traffico o dispositivi di sicurezza e monitoraggio
  • La sessione di mirroring del traffico, ovvero la connessione tra la sorgente e la destinazione

Il filtro di mirroring del traffico, ovvero le regole in entrata e in uscita che determinano quale traffico copiare e inviare

Come funziona

Come funziona il mirroring del traffico?

Il mirroring del traffico può essere implementato in vari punti di una rete, ad esempio su switch, router o tap di rete dedicati. Il traffico specchiato viene in genere indirizzato alle apparecchiature di sicurezza, ai sistemi di rilevamento delle intrusioni (IDS), ai sistemi di prevenzione delle intrusioni (IPS) o a un sistema di gestione delle informazioni e degli eventi di sicurezza (SIEM). L'obiettivo è fornire a questi strumenti dati in tempo reale senza interrompere il flusso del traffico originale. I vantaggi includono:

  • Maggiore visibilità: Il monitoraggio del traffico in tempo reale aiuta i team di cybersecurity a ottenere una visione completa dell'attività di rete. Questa visibilità è fondamentale per identificare comportamenti sospetti e potenziali incidenti di sicurezza.
  • Monitoraggio non intrusivo: Il mirroring del traffico consente di osservare passivamente i dati di rete, garantendo che le misure di sicurezza non interferiscano con le normali operazioni di rete.
  • Miglioramento del rilevamento delle minacce: Il traffico speculare può essere inserito nella soluzione di rilevamento e risposta della rete, dove l'apprendimento automatico e l'intelligenza artificiale rilevano anomalie, attività dannose e movimenti laterali.
  • Monitoraggio delle prestazioni: Oltre alla sicurezza, il mirroring del traffico aiuta gli amministratori di rete a diagnosticare e risolvere i problemi in modo più efficiente.
  • Conformità: Il mirroring del traffico aiuta a mantenere la conformità con i requisiti normativi, garantendo il monitoraggio continuo e la registrazione delle attività di rete. 

È importante notare che il mirroring del traffico è una parte fondamentale della diagnostica di rete, ma è anche un modo per gli aggressori di esfiltrare i vostri dati.

Processo di mirroring del traffico
Perché gli aggressori lo usano

Perché gli aggressori utilizzano il mirroring del traffico?

Gli aggressori utilizzano il mirroring del traffico per intercettare, catturare e analizzare le comunicazioni di rete senza autorizzazione. Duplicando il traffico di rete e indirizzandolo verso una posizione da loro controllata, gli aggressori possono accedere a informazioni sensibili, monitorare le comunicazioni e sfruttare le vulnerabilità di una rete.

I motivi principali per cui gli aggressori utilizzano il mirroring del traffico

Intercettazione di dati sensibili

  • Raccolta di credenziali: Gli aggressori possono catturare nomi utente, password e token di autenticazione trasmessi in rete. Ciò consente l'accesso non autorizzato a sistemi, applicazioni e servizi.
  • Furto di dati: Le informazioni sensibili, come i dati personali, i registri finanziari, la proprietà intellettuale e le comunicazioni aziendali riservate, possono essere intercettate ed esfiltrate.
  • Dirottamento di sessione: Catturando i cookie o i token di sessione, gli aggressori possono dirottare le sessioni attive degli utenti, impersonando gli utenti legittimi per ottenere ulteriore accesso.

Ricognizione e sorveglianza della rete

  • Mappatura della rete: L'analisi del traffico in mirroring aiuta gli aggressori a comprendere la topologia della rete, a identificare i dispositivi, i servizi e i modelli di comunicazione.
  • Identificazione delle vulnerabilità: L'analisi del traffico può rivelare software obsoleto, protocolli insicuri, configurazioni errate o metodi di crittografia deboli che possono essere sfruttati.
  • Intercettazioni: Gli aggressori possono monitorare le comunicazioni per raccogliere informazioni, spiare conversazioni sensibili o raccogliere informazioni per attacchi futuri.

Bypassare la crittografia e le misure di sicurezza

  • Intercettazione SSL/TLS: Se gli aggressori riescono a intercettare il traffico crittografato prima o dopo la decodifica, possono accedere ai dati in chiaro.
  • Evitare il rilevamento: Con il mirroring del traffico interno, gli aggressori possono aggirare le misure di sicurezza perimetrali come i firewall e i sistemi di rilevamento delle intrusioni che monitorano le minacce esterne.

Facilitare gli attacchi avanzati

  • Attacchi Man-in-the-Middle (MitM): Il mirroring del traffico consente agli aggressori di posizionarsi tra le parti comunicanti, permettendo loro di intercettare, modificare o iniettare dati dannosi nel flusso di comunicazione.
  • Command and Control (C2): Gli aggressori possono stabilire canali nascosti all'interno del traffico speculare per controllare i sistemi compromessi senza destare sospetti.
  • Iniezione di malware: Manipolando il traffico, gli aggressori possono consegnare payload di malware ai sistemi bersaglio.

Estrazione di dati

  • Trasferimento furtivo dei dati: Il traffico speculare può essere utilizzato per esfiltrare grandi quantità di dati nel tempo, riducendo le probabilità di rilevamento.
  • Codifica e steganografia dei dati: Gli aggressori possono nascondere i dati all'interno di modelli di traffico o file legittimi, rendendo l'esfiltrazione meno evidente.

Metodi utilizzati dagli aggressori per implementare il mirroring del traffico

Compromissione dei dispositivi di rete

  • Router e switch: Accesso non autorizzato ai dispositivi dell'infrastruttura di rete per configurare sessioni di port mirroring o SPAN (Switch Port Analyzer).
  • Intercettazioni di rete: Installazione fisica di dispositivi che intercettano i cavi di rete per catturare il traffico senza interrompere le operazioni di rete.

Installazione di software dannoso

  • Sniffer di pacchetti: Distribuzione di software come Wireshark, tcpdump o sniffer personalizzati sui sistemi compromessi per catturare i pacchetti di rete.
  • Rootkit e malware: utilizzo di malware avanzato che opera a livello di kernel per intercettare le comunicazioni di rete in modo invisibile.

Sfruttare le vulnerabilità del protocollo

  • Spoofing/avvelenamento ARP: Manipolazione delle tabelle dell'Address Resolution Protocol per reindirizzare il traffico attraverso il sistema dell'attaccante.
  • Spoofing DNS: Reindirizzamento del traffico mediante la corruzione delle risposte DNS per inviare gli utenti a siti dannosi.

Compromissione delle reti wireless

  • Punti di accesso non autorizzati: Impostazione di punti di accesso wireless non autorizzati per intercettare il traffico wireless.
  • Attacchi Evil Twin: Imitare reti Wi-Fi legittime per indurre gli utenti a connettersi, consentendo agli aggressori di intercettare il loro traffico.
Rilevamenti della piattaforma

Come rilevare il mirroring del traffico dannoso

L'unico modo comprovato per individuare il mirroring del traffico dannoso prima che inizi è l'intelligenza artificiale avanzata e l'apprendimento automatico. Ecco perché gli ingegneri della sicurezza di Vectra AIhanno creato un modello di rilevamento avanzato basato sull'intelligenza artificiale , specifico per il monitoraggio del traffico. Gli analisti della sicurezza lo usano per vedere quando viene invocata un'API del piano di controllo AWS, il primo segno di un tentativo dannoso di sfruttare il mirroring del traffico, in modo da poter fermare l'aggressore prima che abbia la possibilità di creare una sessione di traffico di rete.

Rilevamento
Creazione di un mirror del traffico sospetto AWS
Per saperne di più
Esplora tutti i rilevamenti

Proteggete la vostra rete con rilevamenti avanzati

Il mirroring del traffico è una delle decine di rilevamenti avanzati guidati dall'intelligenza artificiale disponibili nella piattaforma Vectra AI , che copre il 90% delle tecniche rilevanti di MITRE ATT&CK .

Esplora la piattaforma
Per saperne di più

DOMANDE FREQUENTI