Découvrez les lacunes de votre sécurité d'identité Microsoft.
Demandez une analyse personnalisée.
Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
Technique d'attaque

Mise en miroir du trafic

La mise en miroir du trafic est un élément important du diagnostic réseau, mais elle ouvre également la porte à l'exfiltration de données. Voici ce qu'il faut savoir sur cette technique d'attaque.

Définition
Comment cela fonctionne-t-il ?
Pourquoi les attaquants l'utilisent-ils ?
Détection
Foire aux questions
Définition

Qu'est-ce que la mise en miroir du trafic ?

La mise en miroir du trafic est une fonctionnalité d'Amazon Virtual Private Cloud (VPC) qui vous permet de copier le trafic réseau et de l'envoyer à une autre destination, telle qu'un outil d'inspection ou de dépannage. Selon AWS, cette technique consiste à copier le trafic entrant et sortant des interfaces réseau reliées à vos instances EC2. Vous pouvez envoyer ce trafic en miroir à un équilibreur de charge de réseau ou de passerelle avec un auditeur UDP, ou à l'interface réseau d'une autre instance. Les composants comprennent :

  • La source du miroir de trafic, généralement une interface de réseau élastique (ENI)
  • Cibles de mise en miroir du trafic ou appareils de sécurité et de surveillance
  • La session du miroir de trafic, ou la connexion entre la source et la cible

Le filtre miroir du trafic, ou les règles d'entrée et de sortie qui déterminent le trafic à copier et à envoyer.

Comment cela fonctionne-t-il ?

Comment fonctionne la mise en miroir du trafic ?

La mise en miroir du trafic peut être mise en œuvre en divers points d'un réseau, par exemple sur des commutateurs, des routeurs ou des prises de réseau dédiées. Le trafic mis en miroir est généralement dirigé vers des dispositifs de sécurité, des systèmes de détection d'intrusion (IDS), des systèmes de prévention d'intrusion (IPS) ou un système de gestion des informations et des événements de sécurité (SIEM). L'objectif est de fournir à ces outils des données en temps réel sans interrompre le flux du trafic original. Les avantages sont les suivants

  • Plus de visibilité : La surveillance du trafic en temps réel permet aux équipes de cybersécurité d'avoir une vue d'ensemble de l'activité du réseau. Cette visibilité est essentielle pour identifier les comportements suspects et les incidents de sécurité potentiels.
  • Surveillance non intrusive : La mise en miroir du trafic vous permet d'observer passivement les données du réseau, ce qui garantit que les mesures de sécurité n'interfèrent pas avec les opérations normales du réseau.
  • Détection améliorée des menaces : Le trafic en miroir peut être injecté dans votre solutiondétection et réponse aux incidents , où l'apprentissage automatique et l'IA détectent les anomalies, les activités malveillantes et les mouvements latéraux.
  • Surveillance des performances : Au-delà de la sécurité, la mise en miroir du trafic aide les administrateurs de réseau à diagnostiquer et à résoudre les problèmes plus efficacement.
  • Conformité : La mise en miroir du trafic vous aide à respecter les exigences réglementaires en assurant une surveillance et un enregistrement continus des activités du réseau. 

Il est important de noter que si la mise en miroir du trafic est un élément fondamental du diagnostic du réseau, c'est aussi un moyen pour les pirates d'exfiltrer vos données.

Processus de mise en miroir du trafic
Pourquoi les attaquants l'utilisent-ils ?

Pourquoi les attaquants utilisent-ils la mise en miroir du trafic ?

Les attaquants utilisent la mise en miroir du trafic pour intercepter, capturer et analyser les communications réseau sans autorisation. En dupliquant le trafic réseau et en le dirigeant vers un endroit qu'ils contrôlent, les attaquants peuvent accéder à des informations sensibles, surveiller les communications et exploiter les vulnérabilités d'un réseau.

Principales raisons pour lesquelles les attaquants utilisent la mise en miroir du trafic

Interception de données sensibles

  • Récolte de données d'identification: Les attaquants peuvent capturer les noms d'utilisateur, les mots de passe et les jetons d'authentification transmis sur le réseau. Cela permet un accès non autorisé aux systèmes, aux applications et aux services.
  • Vol de données: Les informations sensibles telles que les données personnelles, les dossiers financiers, la propriété intellectuelle et les communications commerciales confidentielles peuvent être interceptées et exfiltrées.
  • Détournement de session: En capturant les cookies ou les jetons de session, les attaquants peuvent détourner les sessions actives des utilisateurs, en se faisant passer pour des utilisateurs légitimes afin d'obtenir d'autres accès.

Reconnaissance et surveillance des réseaux

  • Cartographie du réseau: L'analyse du trafic en miroir aide les attaquants à comprendre la topologie du réseau, à identifier les appareils, les services et les schémas de communication.
  • Identifier les vulnérabilités: L'analyse du trafic peut révéler des logiciels obsolètes, des protocoles non sécurisés, des configurations erronées ou des méthodes de cryptage faibles qui peuvent être exploitées.
  • L'écoute: Les attaquants peuvent surveiller les communications afin de recueillir des renseignements, d'espionner des conversations sensibles ou de collecter des informations en vue d'attaques futures.

Contournement des mesures de cryptage et de sécurité

  • Interception SSL/TLS: Si les attaquants peuvent intercepter le trafic crypté avant qu'il ne soit crypté ou après qu'il ait été décrypté, ils peuvent accéder aux données en clair.
  • Éviter la détection: En dupliquant le trafic en interne, les attaquants peuvent contourner les mesures de sécurité périmétrique telles que les pare-feu et les systèmes de détection d'intrusion qui surveillent les menaces externes.

Faciliter les attaques avancées

  • Attaques de type "Man-in-the-Middle" (MitM): La mise en miroir du trafic permet aux attaquants de se positionner entre les parties communicantes, ce qui leur permet d'intercepter, de modifier ou d'injecter des données malveillantes dans le flux de communication.
  • Command and Control (C2): Les attaquants peuvent établir des canaux secrets au sein du trafic en miroir pour contrôler les systèmes compromis sans éveiller les soupçons.
  • Injection de malware: En manipulant le trafic, les attaquants peuvent envoyer des charges utiles malware aux systèmes ciblés.

Exfiltration de données

  • Transfert furtif de données: Le trafic en miroir peut être utilisé pour exfiltrer de grandes quantités de données au fil du temps, réduisant ainsi la probabilité d'être détecté.
  • Codage des données et stéganographie: Les attaquants peuvent dissimuler des données dans des modèles de trafic ou des fichiers légitimes, rendant ainsi l'exfiltration moins visible.

Méthodes utilisées par les attaquants pour mettre en œuvre la mise en miroir du trafic

Compromettre les dispositifs du réseau

  • Routeurs et commutateurs: Accès non autorisé à des dispositifs d'infrastructure réseau pour configurer des sessions de mise en miroir des ports ou de SPAN (Switch Port Analyzer).
  • Les écoutes de réseau: Installation physique de dispositifs qui interceptent les câbles du réseau pour capturer le trafic sans perturber les opérations du réseau.

Installation de logiciels malveillants

  • Renifleurs de paquets: Déploiement de logiciels tels que Wireshark, tcpdump ou de renifleurs personnalisés sur des systèmes compromis afin de capturer les paquets du réseau.
  • Rootkits et malware: Utilisation de malware avancé qui opère au niveau du noyau pour intercepter les communications réseau de manière invisible.

Exploiter les vulnérabilités des protocoles

  • Empoisonnement ARP (ARP Spoofing/Poisoning) : Manipulation des tables du protocole de résolution d'adresses pour rediriger le trafic vers le système de l'attaquant.
  • DNS Spoofing (usurpation de nom): Redirection du trafic en corrompant les réponses DNS pour envoyer les utilisateurs vers des sites malveillants.

Compromettre les réseaux sans fil

  • Points d'accès malhonnêtes: Mise en place de points d'accès sans fil non autorisés pour intercepter le trafic sans fil.
  • Attaques "Evil Twin" (jumeaux maléfiques) : Imitation de réseaux Wi-Fi légitimes pour inciter les utilisateurs à se connecter, ce qui permet aux attaquants d'intercepter leur trafic.
Détections de plates-formes

Comment détecter une mise en miroir du trafic malveillante

Le seul moyen éprouvé d'attraper le trafic malveillant avant qu'il ne commence est l'IA avancée et l'apprentissage automatique. C'est pourquoi les ingénieurs en sécurité de Vectra AIont mis au point un modèle de détection avancé basé sur l'IA , spécialement conçu pour la surveillance du trafic. Les analystes de sécurité l'utilisent pour voir quand une API de plan de contrôle AWS est invoquée - le premier signe d'une tentative malveillante d'exploiter la mise en miroir du trafic - afin que vous puissiez arrêter l'attaquant avant qu'il n'ait une chance de créer une session de trafic réseau.

Détection
Création d'un miroir de trafic suspect sur AWS
En savoir plus
Explorer toutes les détections

Protégez votre réseau grâce à des détections avancées

La mise en miroir du trafic est l'une des dizaines de détections avancées basées sur l'IA disponibles dans la plateforme Vectra AI , qui couvre 90 % des techniques MITRE ATT&CK pertinentes.

Explorer la plateforme
En savoir plus

Foire aux questions