Gli aggressori sono sempre più bravi a mimetizzarsi. Anche le aziende dotate di risorse elevate, con strati di firewall, SIEM e agenti endpoint , continuano a subire gravi violazioni. Gruppi come Scattered Spider, Volt Typhoon, Mango Sandstorm e UNC3886 hanno dimostrato che la prevenzione e il monitoraggio basato sui log da soli non sono sufficienti. Ognuno di questi aggressori ha eluso le difese progettate per tenerli fuori. Ciò che li ha traditi non è stata una firma o una tempesta di allarmi, ma il loro comportamento sulla rete.
È qui che il Network Detection and Response (NDR) si rivela essenziale. Ogni attaccante lascia una traccia nel traffico di rete, che si tratti di un tunnel nascosto, di uno schema di login insolito o di uno spostamento laterale sospetto. L'NDR fornisce ai team SOC la verità di base monitorando le comunicazioni in tempo reale attraverso i sistemi gestiti, non gestiti, on-premises e cloud .
Di recente ho tenuto una conferenza al Black Hat USA 2025 proprio su questo argomento. Se preferite guardare piuttosto che leggere, la registrazione della sessione è ora disponibile.
Vediamo quattro esempi reali che mostrano come la NDR avrebbe potuto fermare gli avversari avanzati prima che causassero danni.
1. Scattered Spider: Dal Phishing via SMS all'Azure Cloud Pivot
Scattered Spider (UNC3944) è un gruppo a sfondo finanziario noto per l'utilizzo dell'ingegneria sociale per aggirare i controlli preventivi. Nelle campagne più recenti, gli aggressori hanno usato il phishing via SMS e lo scambio di SIM per rubare le credenziali, che poi hanno utilizzato per accedere a Microsoft Entra ID (Azure AD). Una volta entrati, hanno modificato silenziosamente le caselle di posta elettronica di Exchange Online, hanno stabilito relazioni di fiducia backdoor e sono entrati nei carichi di lavoro cloud di Azure.
Gli strumenti tradizionali hanno faticato a individuarli perché gli aggressori utilizzavano credenziali legittime. Le piattaforme SIEM, CASB e IAM non generavano avvisi una volta che le credenziali erano valide, il che significava che l'attività appariva come un normale comportamento degli utenti. Il SOC ha notato i segni della violazione solo dopo che i sistemi critici erano già esposti.
Con NDR queste attività non si sarebbero potute confondere. L'NDR è in grado di rilevare accessi rischiosi, manipolazioni di caselle di posta e anomalie nei privilegi dell'identità in tempo reale. Invece di indagare settimane dopo, i team SOC avrebbero potuto individuare il movimento dell'aggressore attraverso Microsoft 365 e Azure nel momento stesso in cui avveniva, bloccando il passaggio prima che venissero acceduti dati sensibili.
2. Volt Typhoon: Persistenza attraverso i tunnel DNS
Volt Typhoon è un gruppo sponsorizzato dallo Stato che ha compromesso le organizzazioni partendo da un punto di appoggio in casa. Si sono affidati a Earthworm, un veloce reverse proxy, e hanno utilizzato il tunneling DNS per i callback di comando e controllo. Da lì, hanno sfruttato la forza bruta e l'abuso di PowerShell per espandere l'accesso e mantenere la persistenza all'interno degli ambienti Windows.
Queste attività si confondevano con il rumore del traffico normale. Il tunneling DNS era nascosto all'interno di protocolli consentiti, l'uso di credenziali valide sembrava legittimo e gli script PowerShell apparivano simili a operazioni IT standard. Gli strumenti EDR e IAM tradizionali non hanno colto i segnali o non li hanno segnalati come dannosi.
Una piattaforma NDR avrebbe fatto emergere l'attacco in diversi modi. Può rilevare tunnel DNS nascosti, identificare tentativi di brute force ed evidenziare attività PowerShell sospette che non rientrano nel comportamento normale. Correlando questi segnali tra i livelli di rete e di identità, l'NDR offre agli analisti SOC la visibilità necessaria per individuare un aggressore prima che i sistemi critici vengano compromessi.
3. Mango Sandstorm: Dallo sfruttamento del server alla distruzione di Azure
Mango Sandstorm ha sfruttato un server rivolto a Internet per ottenere l'accesso iniziale. Dopo aver stabilito il controllo, si sono spostati lateralmente tramite RDP e RPC utilizzando account compromessi. Gli aggressori hanno poi fatto perno su Azure AD e hanno preso di mira direttamente l'ambiente Azure, portando infine alla cancellazione di massa di server, dischi e database.
L'attacco è stato mancato perché gli strumenti tradizionali non erano in grado di correlare le attività tra gli ambienti. Gli agenti EDR si concentravano sugli endpoint, mentre gli strumenti di log erano isolati e non avevano visibilità sugli spostamenti laterali tra i sistemi on-premise e il cloud.
Con NDR, la sequenza sarebbe stata molto diversa. I rilevamenti comportamentali per la ricognizione RPC, l'escalation di privilegi sospetti e l'attività anomala di Azure si sarebbero attivati nelle prime fasi della catena. Invece di una violazione su larga scala e della distruzione delle risorse, i team SOC sarebbero stati in grado di contenere la minaccia durante la fase di spostamento laterale.
4. UNC3886: Exploit Zero-Day nelle zone affidabili
UNC3886 è un gruppo di minacce sofisticato che ha sfruttato le vulnerabilità zero-day di Fortinet e VMware vCenter per ottenere l'accesso. Hanno installato malware personalizzato sugli hypervisor ESXi e poi hanno utilizzato il tunneling DNS e altre tecniche stealth per esfiltrare i dati.
Questi ambienti erano difficili da monitorare con gli strumenti tradizionali. Gli agenti EDR non potevano essere distribuiti su ESXi, il SIEM non aveva visibilità sul traffico est-ovest e i controlli di prevenzione non avevano indicatori noti con cui confrontarsi. Di conseguenza, l'aggressore è rimasto inosservato per lunghi periodi.
NDR fornisce la visibilità mancante in questo tipo di scenario. Analizzando direttamente i flussi di pacchetti e i metadati, l'NDR rileva tunnel HTTPS nascosti, anomalie amministrative sospette e ricognizioni laterali all'interno di zone ad alta affidabilità. Ciò consente ai team SOC di scoprire e bloccare gli attacchi che eludono la prevenzione e le difese endpoint.
Punti di forza
In tutti e quattro gli esempi, il filo conduttore è chiaro:
- Gliavversari avanzatinon avevano bisogno di malware o di exploit evidenti per avere successo.
- Si sonoaffidati a credenziali rubate, tunnel nascosti e strumenti legittimi per operare sottotraccia.
- Icontrolli tradizionalinon li hanno notati perché quei comportamenti sembravano normali a prima vista.
L'NDR cambia il risultato. Concentrandosi sui comportamenti nel traffico di rete, rileva ciò che gli altri strumenti non riescono a vedere. Che si tratti di un tunnel DNS, di una modifica sospetta della casella di posta elettronica o di uno spostamento laterale verso il cloud, l'NDR smaschera gli aggressori prima che raggiungano i loro obiettivi.
Per i team SOC, questo significa la differenza tra indagare su una violazione settimane dopo e bloccare un'intrusione in tempo reale.
Non siete ancora convinti?
- Guardate la sessione completa del Black Hat per vedere come si svolgono questi attacchi e perché NDR è l'unico livello che li espone in tempo reale.
- Oppure, scoprite come Vectra AI sia in testa al Magic Quadrant™ Gartner® 2025 per il rilevamento e la risposta di rete.