Rilevamento e risposta alle minacce di rete basati sull'intelligenza artificiale: approfondimenti da un leader del Magic Quadrant™ 2026 di Gartner®
Leggi il blog
Vectra AIè stata inserita tra i leader nel Magic Quadrant di Gartner per la gestione delle minacce alla rete (NDR) del 2026
Leggi il rapporto
Riga superiore con icona dell'hamburger
Icona dell'hamburger sulla riga centrale
Icona dell'hamburger in basso a destra
Tecnica di attacco

Tunneling

Il tunneling è ampiamente utilizzato per scopi legittimi in rete, come l'instaurazione di comunicazioni sicure o l'aggiramento delle restrizioni geografiche. Tuttavia, è anche una tecnica che gli hacker utilizzano per eludere i controlli di sicurezza.

Definizione
Come funziona
Perché gli hacker lo utilizzano
Rilevamento
Domande frequenti
Definizione

Che cos'è il tunneling?

Nel mondo reale, i tunnel sono passaggi nascosti che consentono di superare ostacoli quali montagne ed edifici. Il tunneling di rete funziona in modo simile: si tratta di una tecnica che permette di trasportare dati utilizzando protocolli non supportati. Più precisamente, consiste nell'incapsulare pacchetti di dati all'interno di altri pacchetti per aggirare le restrizioni di rete. Questo metodo fa sì che il traffico di rete appaia come parte di un protocollo di rete legittimo, consentendo la comunicazione tra sistemi in modi che altrimenti potrebbero essere bloccati o limitati.

Sebbene all'interno delle reti esistano molti tunnel legittimi, utilizzati dalle aziende per condividere dati in modo sicuro tra applicazioni o sistemi, i tunnel nascosti vengono utilizzati per scopi dannosi. Gli hacker li utilizzano per aggirare i controlli di sicurezza e mimetizzarsi nel traffico normale mentre svolgono attività di comando e controllo e rubano dati.

Come funziona

Come funziona il tunneling

In uno scenario tipico di tunneling, i dati di un protocollo vengono racchiusi nella sezione del payload di un altro protocollo. Il livello esterno, o "wrapper", appare come traffico normale e nasconde il contenuto interno non autorizzato. Ciò può essere realizzato con protocolli quali:

  • Le VPN (reti private virtuali) garantiscono la sicurezza delle comunicazioni su Internet incapsulando il traffico della rete privata all'interno di pacchetti IP crittografati.
  • Secure Shell (tunneling SSH) per stabilire connessioni crittografate tra client e server, solitamente per aggirare le restrizioni del firewall.
  • DNS, HTTPS e tunneling HTTP, che utilizzano il traffico per comunicare in modo occulto con server di comando e controllo esterni incapsulando un altro protocollo all'interno di sessioni legittime.
Perché gli hacker lo utilizzano

Perché gli hacker ricorrono al tunneling

Gli hacker utilizzano il tunneling come metodo per incapsulare un protocollo di rete all'interno di un altro, consentendo loro di aggirare i controlli di sicurezza, eludere il rilevamento e mantenere una comunicazione persistente con i sistemi compromessi. Il tunneling permette agli hacker di trasmettere in modo invisibile dati, comandi o malware i confini di rete che altrimenti limiterebbero o monitorerebbero tale traffico.

Ecco i motivi specifici per cui gli hacker ricorrono alle tecniche di tunneling:

Come aggirare i firewall e le restrizioni di rete

  • Eludere le politiche di sicurezza: i firewall e i filtri di rete spesso consentono determinati tipi di traffico, bloccandone altri. Gli hacker utilizzano il tunneling per incapsulare i protocolli vietati all'interno di quelli consentiti (ad esempio, racchiudendo il traffico dannoso nei protocolli HTTP o DNS) al fine di aggirare tali restrizioni.
  • Accesso a servizi con restrizioni: il tunneling consente agli aggressori di raggiungere servizi interni non esposti alla rete esterna, instradando il traffico attraverso canali autorizzati.

Furtività ed evasione

  • Nascondere attività dannose: incorporando comunicazioni dannose all'interno di protocolli legittimi, gli aggressori possono eludere il rilevamento da parte dei sistemi di rilevamento delle intrusioni (IDS) e dei sistemi di prevenzione delle intrusioni (IPS).
  • Crittografia e offuscamento: il tunneling consente di crittografare il payload, rendendo difficile per gli strumenti di sicurezza ispezionare il contenuto del traffico.

Esfiltrazione dei dati

  • Furto di dati in modo invisibile: gli hacker utilizzano il tunneling per sottrarre dati sensibili da una rete compromessa senza far scattare gli allarmi di sicurezza.
  • Evitare di essere scoperti: mescolando i dati sottratti con i normali flussi di traffico, gli hacker riducono la probabilità di essere individuati.

Gestione delle connessioni persistenti

  • ComunicazioniCommand and Control C2): il tunneling consente di mantenere canali di comunicazione persistenti tra i sistemi compromessi e i server degli aggressori, anche in presenza di misure di sicurezza.
  • Resilienza ai cambiamenti di rete: i tunnel sono in grado di adattarsi ai cambiamenti di rete, garantendo che la comunicazione rimanga intatta.

Anonimato ed elusione dell'attribuzione

  • Nascondere gli indirizzi IP di origine: il tunneling può occultare l'origine dell'autore dell'attacco, rendendo più difficile per i difensori risalire alla fonte dell'attacco.
  • Utilizzo di host intermedi: gli autori degli attacchi instradano il proprio traffico attraverso più livelli o host compromessi per rendere ancora più difficile l'attribuzione.

Abuso del protocollo

  • Sfruttamento dei protocolli consentiti: gli autori degli attacchi sfruttano i protocolli comunemente consentiti dai firewall (ad esempio HTTP, HTTPS, DNS) per compiere attività dannose.
  • Sfruttamento delle vulnerabilità: alcuni protocolli presentano vulnerabilità intrinseche o sono meno controllati, offrendo così un'opportunità agli hacker.

Tecniche di tunneling comunemente utilizzate dagli hacker

Tunneling DNS

Il tunneling DNS consiste nell'incapsulare i dati all'interno delle query e delle risposte DNS. Poiché il traffico DNS è essenziale per la risoluzione dei nomi di dominio e spesso viene consentito dai firewall senza controlli rigorosi, gli aggressori sfruttano questo protocollo per inserire dati o comandi dannosi all'interno dei pacchetti DNS. Questa tecnica consente loro di effettuare l'esfiltrazione dei dati e di mantenere comunicazioni di comando e controllo con i sistemi compromessi, sfruttando il traffico DNS autorizzato per aggirare le misure di sicurezza senza essere individuati.

Come funziona il tunneling DNS

Tunneling HTTP/HTTPS

Il tunneling HTTP/HTTPS consiste nell'incorporare traffico dannoso all'interno di richieste e risposte HTTP o HTTPS standard. Gli autori degli attacchi sfruttano la diffusione e l'accettazione generalizzata del traffico web per nascondere le proprie comunicazioni. Incapsulando i propri dati all'interno dei protocolli HTTP, riescono a superare i firewall che solitamente consentono il passaggio del traffico web senza controlli rigorosi. L'utilizzo di HTTPS aggiunge un ulteriore livello di crittografia, impedendo l'ispezione dei contenuti da parte degli strumenti di sicurezza e nascondendo le attività dannose all'interno del normale traffico web crittografato.

Come funziona il tunneling HTTP/HTTPS

Tunneling SSH

Il tunneling SSH utilizza connessioni Secure Shell (SSH) per inoltrare in modo sicuro il traffico di rete. Gli aggressori creano tunnel SSH per trasmettere dati e comandi crittografati end-to-end, impedendo così l'analisi dei contenuti e l'intercettazione da parte degli strumenti di monitoraggio della rete. Questo metodo consente loro di aggirare le restrizioni di rete e di mantenere canali di comunicazione persistenti e crittografati con host compromessi, spesso sfruttando servizi SSH legittimi per non destare sospetti.

Come funziona il tunneling SSH

Tunneling ICMP

Il tunneling ICMP consiste nell'incapsulare i dati all'interno di pacchetti ICMP (Internet Control Message Protocol), quali le richieste e le risposte di eco comunemente utilizzate per la diagnostica di rete, come i comandi ping. Gli hacker sfruttano questa tecnica inserendo i propri dati nei pacchetti ICMP, approfittando del fatto che il traffico ICMP è spesso consentito dai firewall per facilitare la risoluzione dei problemi di rete. Ciò consente loro di aggirare le regole del firewall e trasferire dati in modo occulto, poiché il traffico ICMP è meno soggetto a controlli approfonditi.

Come funziona il tunneling ICMP

VPN e tunnel crittografati

Gli aggressori creano reti private virtuali (VPN) o tunnel crittografati personalizzati per incapsulare il proprio traffico all'interno di canali sicuri. Stabilendo connessioni VPN tramite protocolli standard o metodi di crittografia personalizzati, possono trasmettere dati, comandi o malware i confini della rete, garantendo al contempo la riservatezza e l'integrità. Questo approccio rende difficile per gli strumenti di monitoraggio della rete ispezionare o analizzare il traffico, consentendo agli aggressori di mantenere l'anonimato, eludere il rilevamento e comunicare in modo persistente con i sistemi compromessi sotto le spoglie di connessioni crittografate legittime.

Come funzionano le VPN e i tunnel crittografati
Rilevamenti della piattaforma

Come individuare i tunnel nascosti

Nonostante gli sforzi degli hacker di mimetizzarsi utilizzando tunnel nascosti, le loro comunicazioni introducono inevitabilmente sottili variazioni nel flusso delle comunicazioni di rete. È possibile individuarle grazie a sistemi di rilevamento avanzati basati sull'intelligenza artificiale. 

Vectra AI funzionalità di rilevamento specifiche per tunnel DNS, HTTPS e HTTP nascosti. Ciascuna di esse si avvale di analisi altamente sofisticate dei metadati del traffico di rete per identificare sottili anomalie che indicano la presenza di tunnel nascosti. Esaminando meticolosamente il comportamento dei protocolli, Vectra AI lievi irregolarità che tradiscono la presenza di questi percorsi occulti. Ciò consente di agire rapidamente, prima che i dati della rete vengano compromessi.

Rilevamento
Tunnel DNS nascosto
Per saperne di più
Rilevamento
Tunnel ICMP
Per saperne di più
Rilevamento
Tunnel HTTP nascosto
Per saperne di più
Rilevamento
Tunnel HTTPS nascosto
Per saperne di più
Rilevamento
Tunnel con più ingressi
Per saperne di più
Rilevamento
Tunnel ICMP: Client
Per saperne di più
Rilevamento
Tunnel ICMP: Server
Per saperne di più
Esplora tutti i rilevamenti

Proteggi la tua rete con sistemi di rilevamento avanzati

I tunnel nascosti sono solo uno dei metodi utilizzati dagli hacker per infiltrarsi nella tua rete. Scopri come i rilevamenti Vectra AIcoprono il 90% delle MITRE ATT&CK rilevanti.

Esplora la piattaforma
Per saperne di più

Domande frequenti