Rilevamento e risposta alle minacce di rete basati sull'intelligenza artificiale: approfondimenti da un leader del Magic Quadrant™ 2026 di Gartner®
Leggi il blog
Vectra AI、2026年ガートナーのNDRのマジック・クアドラントにおいてリーダーの1社に
レポートを読む
Riga superiore con icona dell'hamburger
Icona dell'hamburger sulla riga centrale
Icona dell'hamburger in basso a destra
Tecnica di attacco

Duplicazione del traffico

Il mirroring del traffico è una componente fondamentale della diagnostica di rete, ma apre anche la strada all'esfiltrazione dei dati. Ecco cosa c'è da sapere su questa tecnica di attacco.

Definizione
Come funziona
Perché gli hacker lo utilizzano
Rilevamento
Domande frequenti
Definizione

Che cos'è il mirroring del traffico?

Il mirroring del traffico è una funzionalità di Amazon Virtual Private Cloud VPC) che consente di copiare il traffico di rete e di inviarlo a un'altra destinazione, ad esempio uno strumento di ispezione o di risoluzione dei problemi. Secondo AWS, questa tecnica funziona copiando il traffico in entrata e in uscita dalle interfacce di rete collegate alle istanze EC2. È possibile inviare questo traffico replicato a un bilanciatore di carico di rete o gateway dotato di un listener UDP, oppure all'interfaccia di rete di un'altra istanza. I componenti includono:

  • La sorgente dello specchio di traffico, solitamente un'interfaccia di rete elastica (ENI)
  • Dispositivi di mirroring del traffico o apparecchiature di sicurezza e monitoraggio
  • La sessione dello specchio di traffico, ovvero la connessione tra la sorgente e la destinazione

Il filtro degli specchi di traffico, ovvero le regole in entrata e in uscita che determinano quale traffico copiare e inviare

Come funziona

Come funziona il mirroring del traffico?

Il mirroring del traffico può essere implementato in vari punti di una rete, ad esempio su switch, router o tap di rete dedicati. Il traffico sottoposto a mirroring viene solitamente indirizzato verso dispositivi di sicurezza, sistemi di rilevamento delle intrusioni (IDS), sistemi di prevenzione delle intrusioni (IPS) o un sistema di gestione delle informazioni e degli eventi di sicurezza (SIEM). L'obiettivo è fornire a questi strumenti dati in tempo reale senza interrompere il flusso del traffico originale. I vantaggi includono:

  • Maggiore visibilità: il monitoraggio del traffico in tempo reale aiuta i team di sicurezza informatica ad acquisire una visione completa dell'attività di rete. Questa visibilità è fondamentale per individuare comportamenti sospetti e potenziali incidenti di sicurezza.
  • Monitoraggio non intrusivo: il mirroring del traffico consente di osservare in modo passivo i dati di rete, garantendo che le misure di sicurezza non interferiscano con il normale funzionamento della rete.
  • Rilevamento avanzato delle minacce: il traffico replicato può essere convogliato nella soluzione di rilevamento e risposta della rete, dove il machine learning e l'intelligenza artificiale individuano anomalie, attività dannose e movimenti laterali.
  • Monitoraggio delle prestazioni: oltre alla sicurezza, il mirroring del traffico aiuta gli amministratori di rete a diagnosticare e risolvere i problemi in modo più efficiente.
  • Conformità: il mirroring del traffico consente di garantire la conformità ai requisiti normativi assicurando il monitoraggio e la registrazione continui delle attività di rete. 

È importante sottolineare che, sebbene il mirroring del traffico sia una componente fondamentale della diagnostica di rete, rappresenta anche un mezzo utilizzato dagli hacker per sottrarre i vostri dati.

Processo di mirroring del traffico
Perché gli hacker lo utilizzano

Perché gli hacker ricorrono al mirroring del traffico?

Gli hacker utilizzano il mirroring del traffico per intercettare, acquisire e analizzare le comunicazioni di rete senza autorizzazione. Duplicando il traffico di rete e reindirizzandolo verso una postazione da loro controllata, gli hacker possono accedere a informazioni riservate, monitorare le comunicazioni e sfruttare le vulnerabilità presenti all'interno di una rete.

Motivi principali per cui gli hacker ricorrono al mirroring del traffico

Intercettazione di dati sensibili

  • Raccolta di credenziali: gli hacker possono intercettare nomi utente, password e token di autenticazione trasmessi in rete. Ciò consente l'accesso non autorizzato a sistemi, applicazioni e servizi.
  • Furto di dati: informazioni sensibili quali dati personali, documenti finanziari, proprietà intellettuale e comunicazioni aziendali riservate possono essere intercettate e sottratte.
  • Dirottamento di sessione: intercettando i cookie o i token di sessione, gli hacker possono dirottare le sessioni attive degli utenti, spacciandosi per utenti legittimi per ottenere ulteriori privilegi di accesso.

Ricognizione e sorveglianza di rete

  • Mappatura della rete: l'analisi del traffico replicato aiuta gli aggressori a comprendere la topologia della rete, a identificare i dispositivi, i servizi e i modelli di comunicazione.
  • Individuazione delle vulnerabilità: l'analisi del traffico può mettere in luce software obsoleto, protocolli non sicuri, configurazioni errate o metodi di crittografia poco efficaci che potrebbero essere sfruttati.
  • Intercettazioni: gli hacker possono monitorare le comunicazioni per raccogliere informazioni, spiare conversazioni riservate o raccogliere dati in vista di attacchi futuri.

Eludere la crittografia e le misure di sicurezza

  • Intercettazione SSL/TLS: se gli hacker riescono a intercettare il traffico crittografato prima che venga crittografato o dopo che è stato decrittografato, possono accedere ai dati in chiaro.
  • Eludere il rilevamento: deviando il traffico all'interno della rete, gli aggressori possono aggirare le misure di sicurezza perimetrali, come i firewall e i sistemi di rilevamento delle intrusioni, che monitorano le minacce esterne.

Facilitare attacchi sofisticati

  • Attacchi Man-in-the-Middle (MitM): il mirroring del traffico consente agli aggressori di interponersi tra le parti in comunicazione, permettendo loro di intercettare, modificare o inserire dati dannosi nel flusso di comunicazione.
  • ComunicazioniCommand and Control C2): gli aggressori possono creare canali nascosti all'interno del traffico duplicato per controllare i sistemi compromessi senza destare sospetti.
  • Iniezione di malware: manipolando il traffico, gli hacker possono introdurre malware nei sistemi presi di mira.

Fuga di dati

  • Trasferimento di dati invisibile: il traffico duplicato può essere utilizzato per sottrarre grandi quantità di dati nel corso del tempo, riducendo così il rischio di essere scoperti.
  • Codifica dei dati e steganografia: gli hacker possono nascondere i dati all'interno di flussi di traffico o file legittimi, rendendo l'esfiltrazione meno evidente.

Metodi utilizzati dagli hacker per attuare il mirroring del traffico

Dispositivi di rete compromessi

  • Router e switch: ottenere accesso non autorizzato ai dispositivi dell'infrastruttura di rete per configurare il mirroring delle porte o sessioni SPAN (Switch Port Analyzer).
  • Derivatori di rete: installazione fisica di dispositivi che si collegano ai cavi di rete per intercettare il traffico senza compromettere il funzionamento della rete.

Installazione di software dannoso

  • Sniffer di pacchetti: installazione di software come Wireshark, tcpdump o sniffer personalizzati su sistemi compromessi per intercettare i pacchetti di rete.
  • Rootkit e malware: utilizzo malware avanzato malware opera a livello di kernel per intercettare le comunicazioni di rete in modo invisibile.

Sfruttamento delle vulnerabilità dei protocolli

  • Spoofing/poisoning ARP: manipolazione delle tabelle del protocollo ARP (Address Resolution Protocol) per reindirizzare il traffico attraverso il sistema dell'autore dell'attacco.
  • Spoofing DNS: reindirizzamento del traffico tramite la manomissione delle risposte DNS per indirizzare gli utenti verso siti dannosi.

Compromissione delle reti wireless

  • Access point non autorizzati: installazione di access point wireless non autorizzati per intercettare il traffico wireless.
  • Attacchi "Evil Twin": imitano reti Wi-Fi legittime per indurre gli utenti a connettersi, consentendo agli hacker di intercettare il loro traffico.
Rilevamenti della piattaforma

Come individuare il mirroring di traffico dannoso

L'unico metodo collaudato per individuare il mirroring di traffico dannoso prima che abbia inizio è l'uso di tecnologie avanzate di intelligenza artificiale e machine learning. Ecco perché i tecnici della sicurezza Vectra AIhanno sviluppato un modello di rilevamento avanzato basato sull'intelligenza artificiale, pensato specificamente per il monitoraggio del traffico. Gli analisti della sicurezza lo utilizzano per individuare quando viene richiamata un'API del piano di controllo AWS — il primo segnale di un tentativo dannoso di sfruttare il mirroring di traffico — in modo da poter bloccare l'autore dell'attacco prima che abbia la possibilità di creare una sessione di traffico di rete.

Rilevamento
Creazione di un mirror per il traffico sospetto su AWS
Per saperne di più
Esplora tutti i rilevamenti

Proteggi la tua rete con sistemi di rilevamento avanzati

Il "traffic mirroring" è una delle numerose funzionalità avanzate di rilevamento basate sull'intelligenza artificiale disponibili nella Vectra AI , che copre il 90% delle MITRE ATT&CK rilevanti MITRE ATT&CK .

Esplora la piattaforma
Per saperne di più

Domande frequenti