トラフィックのミラーリングはネットワーク診断の重要な要素ですが、同時にデータ流出への扉を開くものでもあります。ここでは、この攻撃手法について知っておくべきことを説明します。
トラフィック・ミラーリングはAmazon Virtual Private Cloud(VPC)の機能で、ネットワーク・トラフィックをコピーして、検査やトラブルシューティング・ツールなどの別の宛先に送信することができる。AWSによると、この技術はEC2インスタンスに接続されたネットワークインターフェイスからインバウンドとアウトバウンドのトラフィックをコピーすることで機能する。このミラーされたトラフィックを、UDPリスナーを持つネットワークまたはゲートウェイのロードバランサー、または別のインスタンスのネットワークインターフェースに送信できる。コンポーネントには以下が含まれる:
トラフィックミラーフィルタ、またはどのトラフィックをコピーして送信するかを決定するインバウンドとアウトバウンドのルール
トラフィックのミラーリングは、スイッチ、ルーター、専用ネットワーク・タップなど、ネッ トワークのさまざまなポイントで実装できる。ミラーリングされたトラフィックは、通常、セキュリティ・アプライアンス、侵入検知システム(IDS)、侵入防御システム(IPS)、またはセキュリティ情報・イベント管理(SIEM)システムに向けられる。その目的は、元のトラフィックのフローを中断することなく、これらのツールにリアルタイムのデータを提供することです。以下のような利点がある:
トラフィックのミラーリングはネットワーク診断の基本的な部分である一方、攻撃者がデータを流出させる手段でもあることに注意する必要がある。
攻撃者は、トラフィック・ミラーリングを使用して、ネットワーク通信を無許可で傍受、キャプチャ、分析します。ネットワーク・トラフィックを複製し、自分たちがコントロールする場所に向けることで、攻撃者は機密情報へのアクセス、通信の監視、ネットワーク内の脆弱性の悪用を行うことができます。
悪意のあるトラフィックのミラーリングを事前に検知する唯一の方法は、高度なAIと機械学習です。そのため、Vectra AIのセキュリティエンジニアは、トラフィック監視に特化した高度なAI主導 検出モデルを構築しました。セキュリティアナリストはこのモデルを使用して、AWSのコントロールプレーンAPIがいつ呼び出されたかを確認します。これは、トラフィックミラーリングを活用しようとする悪意のある試みの最も初期の兆候です。