Einführung der neuen Vectra AI Plattformabdeckung für Copilot und Microsoft Azure

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
Technik des Angriffs

Verkehrsspiegelung

Die Spiegelung des Datenverkehrs ist ein wichtiger Bestandteil der Netzwerkdiagnose - aber sie öffnet auch die Tür zur Datenexfiltration. Hier erfahren Sie, was Sie über diese Angriffstechnik wissen müssen.

Definition
Wie es funktioniert
Warum Angreifer sie benutzen
Erkennung
Häufig gestellte Fragen
Definition

Was ist Verkehrsspiegelung?

Die Verkehrsspiegelung ist eine Funktion von Amazon Virtual Private Cloud (VPC), mit der Sie den Netzwerkverkehr kopieren und an ein anderes Ziel senden können, z. B. an ein Prüf- oder Fehlerbehebungswerkzeug. Laut AWS funktioniert diese Technik durch Kopieren des ein- und ausgehenden Datenverkehrs von den Netzwerkschnittstellen, die mit Ihren EC2-Instances verbunden sind. Sie können diesen gespiegelten Verkehr an einen Netzwerk- oder Gateway-Loadbalancer mit einem UDP-Listener oder an die Netzwerkschnittstelle einer anderen Instanz senden. Die Komponenten umfassen:

  • Die Quelle der Verkehrsspiegelung, in der Regel eine elastische Netzschnittstelle (ENI)
  • Verkehrsspiegelungsziele oder Sicherheits- und Überwachungsanwendungen
  • Die Traffic Mirror Session, also die Verbindung zwischen Quelle und Ziel

Der Verkehrsspiegelungsfilter oder die Regeln für eingehenden und ausgehenden Verkehr, die bestimmen, welcher Verkehr kopiert und gesendet werden soll

Wie es funktioniert

Wie funktioniert die Verkehrsspiegelung?

Die Verkehrsspiegelung kann an verschiedenen Punkten in einem Netzwerk implementiert werden, z. B. an Switches, Routern oder dedizierten Netzwerkanschlüssen. Der gespiegelte Datenverkehr wird in der Regel an Sicherheitsanwendungen, Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) oder ein Security Information and Event Management (SIEM) System weitergeleitet. Ziel ist es, diese Tools mit Echtzeitdaten zu versorgen, ohne den Fluss des ursprünglichen Datenverkehrs zu unterbrechen. Die Vorteile umfassen:

  • Mehr Transparenz: Durch die Überwachung des Datenverkehrs in Echtzeit erhalten Cybersicherheitsteams einen umfassenden Überblick über die Netzwerkaktivitäten. Diese Transparenz ist entscheidend für die Erkennung verdächtigen Verhaltens und potenzieller Sicherheitsvorfälle.
  • Nicht-intrusive Überwachung: Durch die Spiegelung des Datenverkehrs können Sie die Netzwerkdaten passiv beobachten und sicherstellen, dass die Sicherheitsmaßnahmen den normalen Netzwerkbetrieb nicht beeinträchtigen.
  • Verbesserte Erkennung von Bedrohungen: Gespiegelter Datenverkehr kann in Ihre Netzwerkerkennungs- und Reaktionslösung eingespeist werden, wo maschinelles Lernen und KI Anomalien, böswillige Aktivitäten und Seitwärtsbewegungen erkennen.
  • Leistungsüberwachung: Neben der Sicherheit hilft die Verkehrsspiegelung den Netzwerkadministratoren, Probleme effizienter zu diagnostizieren und zu beheben.
  • Einhaltung von Vorschriften: Die Verkehrsspiegelung unterstützt Sie bei der Einhaltung gesetzlicher Vorschriften, indem sie eine kontinuierliche Überwachung und Protokollierung der Netzwerkaktivitäten gewährleistet. 

Es ist wichtig zu wissen, dass die Verkehrsspiegelung zwar ein grundlegender Bestandteil der Netzwerkdiagnose ist, aber auch eine Möglichkeit für Angreifer darstellt, Ihre Daten zu exfiltrieren.

Prozess der Verkehrsspiegelung
Warum Angreifer sie benutzen

Warum nutzen Angreifer die Verkehrsspiegelung?

Angreifer nutzen die Verkehrsspiegelung, um die Netzwerkkommunikation unbefugt abzufangen, zu erfassen und zu analysieren. Indem sie den Netzwerkverkehr duplizieren und an einen von ihnen kontrollierten Ort leiten, können sich Angreifer Zugang zu vertraulichen Informationen verschaffen, die Kommunikation überwachen und Schwachstellen in einem Netzwerk ausnutzen.

Hauptgründe, warum Angreifer Verkehrsspiegelung einsetzen

Abfangen von sensiblen Daten

  • Abfangen von Anmeldeinformationen: Angreifer können Benutzernamen, Kennwörter und Authentifizierungs-Tokens abfangen, die über das Netzwerk übertragen werden. Dies ermöglicht den unbefugten Zugriff auf Systeme, Anwendungen und Dienste.
  • Datendiebstahl: Sensible Informationen wie persönliche Daten, Finanzunterlagen, geistiges Eigentum und vertrauliche Geschäftskommunikation können abgefangen und exfiltriert werden.
  • Session Hijacking: Durch das Abfangen von Sitzungscookies oder -tokens können Angreifer aktive Benutzersitzungen entführen und sich als legitime Benutzer ausgeben, um weiteren Zugriff zu erhalten.

Netzaufklärung und -überwachung

  • Netzwerkabbildung: Die Analyse des gespiegelten Datenverkehrs hilft Angreifern, die Netzwerktopologie zu verstehen und Geräte, Dienste und Kommunikationsmuster zu identifizieren.
  • Identifizierung von Schwachstellen: Die Verkehrsanalyse kann veraltete Software, unsichere Protokolle, Fehlkonfigurationen oder schwache Verschlüsselungsmethoden aufdecken, die ausgenutzt werden können.
  • Lauschangriff: Angreifer können die Kommunikation überwachen, um Informationen zu sammeln, sensible Gespräche auszuspionieren oder Informationen für künftige Angriffe zu sammeln.

Umgehung von Verschlüsselung und Sicherheitsmaßnahmen

  • Abfangen von SSL/TLS: Wenn Angreifer den verschlüsselten Datenverkehr abfangen können, bevor er verschlüsselt wird oder nachdem er entschlüsselt wurde, können sie auf die Klartextdaten zugreifen.
  • Umgehung der Erkennung: Indem sie den Datenverkehr intern spiegeln, können Angreifer Sicherheitsmaßnahmen wie Firewalls und Intrusion Detection Systeme, die externe Bedrohungen überwachen, umgehen.

Erleichterung fortgeschrittener Angriffe

  • Man-in-the-Middle-Angriffe (MitM): Die Verkehrsspiegelung ermöglicht es Angreifern, sich zwischen die kommunizierenden Parteien zu stellen und so bösartige Daten abzufangen, zu verändern oder in den Kommunikationsstrom einzuschleusen.
  • Command and Control (C2) Kommunikation: Angreifer können verdeckte Kanäle im gespiegelten Datenverkehr einrichten, um kompromittierte Systeme zu kontrollieren, ohne Verdacht zu erregen.
  • Einschleusung von malware: Durch die Manipulation des Datenverkehrs können Angreifer malware Nutzdaten auf die Zielsysteme übertragen.

Exfiltration von Daten

  • Unauffällige Datenübertragung: Gespiegelter Datenverkehr kann dazu verwendet werden, große Datenmengen im Laufe der Zeit zu exfiltrieren, wodurch die Wahrscheinlichkeit einer Entdeckung verringert wird.
  • Datenverschlüsselung und Steganografie: Angreifer können Daten in legitimen Datenverkehrsmustern oder Dateien verstecken, so dass die Exfiltration weniger auffällt.

Methoden, die Angreifer verwenden, um Verkehrsspiegelung zu implementieren

Gefährdung von Netzwerkgeräten

  • Router und Switches: Unbefugter Zugriff auf Netzwerkinfrastrukturgeräte zur Konfiguration von Port Mirroring- oder SPAN-Sitzungen (Switch Port Analyzer).
  • Anzapfen von Netzwerken: Physisch installierte Geräte, die Netzwerkkabel abfangen, um den Datenverkehr ohne Unterbrechung des Netzwerkbetriebs zu erfassen.

Installation von Schadsoftware

  • Paket-Sniffer: Einsatz von Software wie Wireshark, tcpdump oder benutzerdefinierten Sniffern auf kompromittierten Systemen, um Netzwerkpakete zu erfassen.
  • Rootkits und malware: Verwendung fortschrittlicher malware , die auf der Kernel-Ebene arbeiten, um die Netzwerkkommunikation unsichtbar abzufangen.

Ausnutzung von Protokollschwachstellen

  • ARP-Spoofing/Poisoning: Manipulation von Address Resolution Protocol-Tabellen, um den Datenverkehr über das System des Angreifers umzuleiten.
  • DNS-Spoofing: Umleitung des Datenverkehrs durch Verfälschung von DNS-Antworten, um Benutzer auf bösartige Websites zu leiten.

Kompromittierung drahtloser Netzwerke

  • Unerlaubte Zugangspunkte: Einrichten nicht autorisierter drahtloser Zugangspunkte, um den drahtlosen Datenverkehr abzufangen.
  • Böse Zwillingsangriffe: Nachahmung legitimer Wi-Fi-Netzwerke, um Nutzer zum Herstellen einer Verbindung zu verleiten und es Angreifern zu ermöglichen, ihren Datenverkehr abzufangen.
Plattform-Detektionen

Wie man böswillige Verkehrsspiegelung erkennt

Die einzige bewährte Methode, böswillige Traffic-Spiegelung zu erkennen, bevor sie beginnt, ist fortschrittliche KI und maschinelles Lernen. Aus diesem Grund haben die Sicherheitsingenieure von Vectra AIein fortschrittliches KI-gesteuertes Erkennungsmodell speziell für die Überwachung des Datenverkehrs entwickelt. Sicherheitsanalysten verwenden es, um zu erkennen, wann eine AWS Control-Plane-API aufgerufen wird - das früheste Anzeichen eines böswilligen Versuchs, die Verkehrsspiegelung zu nutzen -, sodass Sie den Angreifer stoppen können, bevor er die Möglichkeit hat, eine Netzwerkverkehrssitzung zu erstellen.

Erkennung
AWS Suspect Traffic Mirror Erstellung
Mehr erfahren
Alle Entdeckungen erforschen

Schützen Sie Ihr Netzwerk mit erweiterten Erkennungsfunktionen

Die Verkehrsspiegelung ist eine von Dutzenden fortschrittlicher KI-gestützter Erkennungsmethoden, die in der Vectra AI Plattform verfügbar sind, die 90 % der relevanten MITRE ATT&CK Techniken abdeckt.

Erkunden Sie die Plattform
Mehr erfahren

Häufig gestellte Fragen