Un leader nel Magic Quadrant™ Gartner® 2025 per la Protezione di Endpoints. Cinque anni di fila.Leader nel Magic Quadrant™ di Gartner®Leggi il report
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • IA per la sicurezza
      Leader nelle Soluzioni di Sicurezza basate su AI
    • Sicurezza dell’IA
      Accelera l’adozione dell’IA con strumenti, applicazioni e agenti di IA sicuri.
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Protezione dell’IA
    • Prompt Security
      Proteggere gli strumenti di IA in tutta l’azienda
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      DFIR, preparazione alle violazioni & valutazioni di compromissione.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    • SentinelOne for Google Cloud
      Sicurezza unificata e autonoma che offre ai difensori un vantaggio su scala globale.
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for Address Resolution Protocol: Funzione, Tipi e Sicurezza
Cybersecurity 101/Sicurezza informatica/Address Resolution Protocol

Address Resolution Protocol: Funzione, Tipi e Sicurezza

Address Resolution Protocol traduce gli indirizzi IP in indirizzi MAC senza autenticazione, consentendo attacchi di spoofing. Scopri come SentinelOne rileva e blocca i movimenti laterali basati su ARP.

CS-101_Cybersecurity.svg
Indice dei contenuti
Che cos'è l'Address Resolution Protocol (ARP)?
Come l'Address Resolution Protocol si collega alla cybersecurity
Componenti principali dell'Address Resolution Protocol
Come funziona l'Address Resolution Protocol
Vantaggi principali dell'Address Resolution Protocol
Sfide e limitazioni dell'Address Resolution Protocol
Assenza totale di autenticazione
Vulnerabilità persistenti nelle architetture moderne
Rischi di broadcast storm
Ambito di protezione limitato
Superficie di attacco per l'avvelenamento della cache
Errori comuni nell'implementazione dell'Address Resolution Protocol
Mancanza della base DHCP Snooping
Configurazione errata dei confini di trust
Dispositivi con IP statico senza binding
Ignorare l'analisi dei log
Best practice per l'Address Resolution Protocol
Implementare correttamente Dynamic ARP Inspection
Seguire la sequenza di configurazione richiesta
Mantenere le tabelle di binding per IP statici
Configurare il rate limiting
Segmentare l'architettura di rete
Integrare con SIEM per il monitoraggio
Implementare controlli di sicurezza Layer 2 complementari
Blocca gli attacchi ARP con SentinelOne
Punti chiave

Articoli correlati

  • Gestione dei Diritti Digitali: Guida Pratica per i CISO
  • Che cos'è la sicurezza di Remote Monitoring and Management (RMM)?
  • HUMINT nella cybersecurity per i responsabili della sicurezza aziendale
  • Cybersecurity per il settore manifatturiero: rischi, best practice e framework
Autore: SentinelOne | Recensore: Arijeet Ghatak
Aggiornato: February 11, 2026

Che cos'è l'Address Resolution Protocol (ARP)?

L'Address Resolution Protocol (ARP) traduce gli indirizzi IP in indirizzi MAC nelle reti locali senza alcun meccanismo di autenticazione. Per inviare traffico a un indirizzo IP sullo stesso segmento di rete, un sistema necessita del corrispondente indirizzo MAC hardware per consegnare il pacchetto a livello 2. ARP invia una richiesta broadcast chiedendo "Chi ha l'indirizzo IP X.X.X.X?" I sistemi accettano risposte da qualsiasi dispositivo senza verifica, consentendo agli attaccanti di rivendicare qualsiasi indirizzo IP e reindirizzare il traffico.

Questo processo avviene automaticamente quando un sistema deve comunicare con un altro dispositivo sulla rete locale, ad esempio per accedere a file server interni o instradare il traffico tramite il gateway predefinito, a meno che l'indirizzo MAC richiesto non sia già memorizzato nella cache da una precedente risoluzione ARP. L'RFC 826, la specifica del protocollo del 1982, definisce come ARP risolve la discrepanza fondamentale tra l'indirizzamento di livello 3 (livello di rete) e livello 2 (livello di collegamento dati).

Address Resolution Protocol - Featured Image | SentinelOne

Come l'Address Resolution Protocol si collega alla cybersecurity

ARP non fornisce alcun meccanismo di autenticazione, crittografia o verifica. Questo design privo di fiducia consente agli attaccanti di avvelenare le cache ARP senza attivare alcuna validazione a livello di protocollo.

NIST CVE-1999-0667 stabilisce la vulnerabilità fondamentale: "Il protocollo ARP consente a qualsiasi host di falsificare risposte ARP e avvelenare la cache ARP per effettuare spoofing di indirizzi IP o un denial of service." Non si tratta di un bug di implementazione correggibile con una patch; il design del protocollo richiede controlli compensativi.

MITRE ATT&CK Technique T1557 documenta che gli avversari con accesso alla rete manipolano il traffico in tempo reale utilizzando attacchi adversary-in-the-middle abilitati dallo spoofing ARP. Gli attaccanti che avvelenano una cache ARP per posizionarsi tra i sistemi aggirano completamente i controlli di sicurezza di livello 3. I controlli di livello 2 come Dynamic ARP Inspection validano i pacchetti alla fonte, mentre l'analisi comportamentale e il monitoraggio a livello 3 e superiori possono identificare il furto di credenziali e movimenti laterali che si verificano dopo uno spoofing ARP riuscito. La piattaforma Singularity di SentinelOne fornisce questa correlazione comportamentale collegando anomalie a livello di rete a pattern di attività sugli endpoint. Lo spoofing ARP che abilita il movimento laterale attiva Purple AI per identificare sequenze sospette di autenticazione ed esecuzione di processi che indicano una compromissione attiva.

CISA documenta le vulnerabilità ARP nelle infrastrutture critiche e nei sistemi di controllo industriale, evidenziando rischi oltre le reti IT. L'ubiquità del protocollo significa che esistono opportunità di sfruttamento ovunque gli attaccanti ottengano accesso alla rete locale, e i controlli di sicurezza di livello 3 non possono fermare gli attacchi di livello 2 all'interno dello stesso dominio di broadcast.

Attacchi reali dimostrano queste vulnerabilità a livello di protocollo. Nel data breach di Target del 2013, gli attaccanti hanno sfruttato lo spoofing ARP per mappare la rete interna e abilitare il movimento laterale dopo aver ottenuto l'accesso iniziale tramite credenziali di un fornitore HVAC. L'attività di ricognizione e posizionamento in rete ha contribuito al furto di 40 milioni di dati di carte di credito e 70 milioni di record di clienti, con costi totali pari a 202 milioni di dollari. Durante l'attacco alla rete elettrica ucraina del 2015, attori APT hanno utilizzato spear-phishing e ricognizione di rete prima di distribuire il malware BlackEnergy. L'attacco multi-fase ha colpito 225.000 clienti in tre società di distribuzione energetica, come documentato nei rapporti ICS-CERT.

Comprendere queste vulnerabilità a livello di protocollo richiede l'analisi dei componenti tecnici che abilitano la risoluzione automatica degli indirizzi da parte di ARP.

Componenti principali dell'Address Resolution Protocol

Quattro componenti gestiscono la risoluzione ARP, e ciascuno rappresenta una potenziale superficie di attacco. Gli attaccanti che ottengono accesso alla rete locale possono manipolarne uno qualsiasi per reindirizzare il traffico:

  • Tabelle cache ARP: La maggior parte dei dispositivi IPv4 mantiene una cache ARP che memorizza le associazioni recenti IP-MAC, con voci dinamiche apprese dalle risposte ARP e, su alcuni dispositivi, voci statiche configurabili manualmente.
  • Pacchetti di richiesta ARP: Un sistema che necessita di un indirizzo MAC per un IP sulla sottorete locale invia una richiesta ARP broadcast contenente l'indirizzo IP e MAC sorgente, oltre all'indirizzo IP di destinazione ricercato.
  • Pacchetti di risposta ARP: Il dispositivo con l'indirizzo IP richiesto invia una risposta ARP unicast direttamente all'indirizzo MAC del richiedente contenente l'indirizzo MAC del destinatario, consentendo al sistema richiedente di aggiornare la propria cache ARP.
  • Domini di broadcast: L'architettura VLAN definisce i domini di broadcast di livello 2 in cui opera ARP, con richieste che non attraversano router o confini di livello 3.

Comprendere questi componenti aiuta a riconoscere dove gli attacchi di spoofing ARP intervengono nel processo di risoluzione.

Come funziona l'Address Resolution Protocol

Il processo di risoluzione segue una sequenza prevedibile visibile nelle acquisizioni di pacchetti.

  1. Necessità di risoluzione e richiesta broadcast: Un'applicazione deve comunicare con 10.1.1.50 sulla sottorete locale. Il sistema controlla prima la cache ARP. Se non esiste una voce valida, invia una richiesta ARP broadcast all'indirizzo MAC FF:FF:FF:FF:FF:FF chiedendo "Chi ha 10.1.1.50? Dillo a 10.1.1.25" (l'indirizzo IP del richiedente).
  2. Risposta mirata e popolamento della cache: Il dispositivo con IP 10.1.1.50 riconosce il proprio indirizzo e invia una risposta ARP unicast contenente "10.1.1.50 è all'indirizzo MAC 00:0c:29:3f:47:8a." Il sistema richiedente aggiorna la propria cache ARP con la nuova associazione IP-MAC e procede con la comunicazione originale.
  3. ARP gratuito: I sistemi inviano anche annunci ARP non richiesti quando le interfacce si inizializzano o gli indirizzi IP cambiano. Gli attaccanti sfruttano questo comportamento inviando messaggi ARP gratuiti dannosi per avvelenare le cache senza attendere richieste legittime.

La risoluzione automatica offre vantaggi operativi, ma la mancanza di autenticazione crea compromessi di sicurezza che il tuo team deve gestire.

Vantaggi principali dell'Address Resolution Protocol

ARP gestisce la traduzione degli indirizzi richiesta dalle reti IPv4 per instradare i pacchetti tra indirizzi IP logici e hardware fisico:

  • Risoluzione automatica degli indirizzi: Gli amministratori non devono mai mappare manualmente indirizzi IP e MAC per migliaia di dispositivi. ARP gestisce questa traduzione in modo trasparente.
  • Adattamento dinamico della rete: Cambiamenti hardware e riassegnazioni di indirizzi IP attivano ARP per aggiornare automaticamente le associazioni in tutta la rete.
  • Funzionalità di routing: I dispositivi utilizzano ARP per individuare l'indirizzo MAC del gateway predefinito per tutto il traffico fuori sottorete.
  • Prestazioni di rete: La cache ARP evita broadcast costanti per ogni pacchetto, riducendo l'overhead di rete.

Le stesse proprietà che rendono ARP automatico lo rendono anche sfruttabile.

Sfide e limitazioni dell'Address Resolution Protocol

Il design del protocollo crea sfide di sicurezza e operative che richiedono attenzione. Ogni vulnerabilità deriva dalla mancanza fondamentale di autenticazione di ARP.

Assenza totale di autenticazione

L'RFC 826 specifica che i dispositivi accettano informazioni ARP da qualsiasi fonte senza validazione. Questo design privo di fiducia precede i modelli di minaccia moderni che coinvolgono minacce interne e movimenti laterali. Qualsiasi dispositivo sulla rete locale può rivendicare qualsiasi indirizzo IP, e il protocollo non fornisce alcun meccanismo per verificarne la legittimità.

Vulnerabilità persistenti nelle architetture moderne

Ricerche IEEE sulle reti software-defined confermano che le vulnerabilità ARP persistono anche nelle moderne architetture SDN. Il protocollo fondamentale non è cambiato nonostante decenni di evoluzione della sicurezza. Ambienti virtualizzati, reti adiacenti al cloud e infrastrutture software-defined ereditano tutte queste stesse debolezze di livello 2.

Rischi di broadcast storm

NIST CVE-2022-27640 documenta casi reali in cui i dispositivi interessati gestiscono in modo improprio richieste ARP broadcast eccessive. Gli attaccanti sfruttano questo comportamento per creare condizioni di denial of service tramite ARP flood. La disponibilità della rete si degrada mentre gli switch faticano a gestire il flusso, potenzialmente mascherando altre attività malevole in corso.

Ambito di protezione limitato

Firewall, sistemi di prevenzione delle intrusioni e controlli di accesso alla rete operano a livello 3 e superiori. ARP funziona a livello 2, quindi questi controlli non possono prevenire lo spoofing ARP all'interno dello stesso dominio di broadcast. Gli attaccanti che ottengono accesso a un singolo segmento di rete possono eseguire ARP spoofing senza attivare le difese perimetrali.

Superficie di attacco per l'avvelenamento della cache

Ricerche peer-reviewed su attacchi man-in-the-middle mostrano che gli attacchi MitM-ARP spoofing prendono di mira solitamente servizi di online banking o altri servizi personali online. L'avvelenamento della cache che ha successo nonostante i controlli preventivi attiva piattaforme SIEM e strumenti di analisi comportamentale per identificare successivi furti di credenziali e movimenti laterali analizzando pattern che indicano una compromissione. 

Piattaforme come SentinelOne identificano questi pattern post-compromissione tramite AI comportamentale che riconosce autenticazioni anomale, esecuzioni di processi e accessi a file insoliti dopo attacchi ARP riusciti, abilitando una risposta autonoma prima che gli attaccanti raggiungano i loro obiettivi. Anche con queste capacità di rilevamento, errori comuni di implementazione lasciano le reti esposte.

Errori comuni nell'implementazione dell'Address Resolution Protocol

I team di sicurezza commettono costantemente errori di implementazione che rendono inefficaci le protezioni. Comprendere queste insidie aiuta a evitarle durante il deployment.

Mancanza della base DHCP Snooping

Si abilita Dynamic ARP Inspection (DAI) ma si dimentica il prerequisito. Le linee guida di configurazione dei vendor di switch enterprise specificano che DAI richiede che il DHCP snooping sia abilitato globalmente prima. Senza il database di binding DHCP snooping, DAI non può validare i pacchetti ARP.

Configurazione errata dei confini di trust

I confini di trust mal configurati non marcano le connessioni dei server DHCP o le porte di uplink come trusted. Il traffico DHCP legittimo viene bloccato, causando interruzioni di rete e generando falsi positivi.

Dispositivi con IP statico senza binding

DAI viene abilitato per gli indirizzi assegnati via DHCP trascurando server, stampanti e dispositivi infrastrutturali che utilizzano IP statici. La documentazione degli switch di rete enterprise specifica che DAI richiede voci di binding statiche per i dispositivi non DHCP. Saltare questo passaggio fa sì che i dispositivi con IP statico legittimi non superino la validazione DAI e perdano la connettività di rete.

Ignorare l'analisi dei log

DAI viene eseguito senza che nessuno monitori i log degli eventi di sicurezza. Gli attacchi procedono inosservati perché nessuno esamina i fallimenti di validazione DAI e i drop di pacchetti ARP che indicano tentativi attivi di ARP spoofing.

I team di sicurezza che alimentano i log DAI nelle proprie piattaforme SIEM e li correlano con la telemetria degli endpoint da soluzioni come SentinelOne Singularity ottengono il contesto che collega gli attacchi di livello 2 all'abuso di credenziali e ai movimenti laterali. I fallimenti grezzi di validazione ARP si trasformano in threat intelligence azionabile con capacità di risposta autonoma.

Evitare questi errori richiede di seguire pratiche di deployment basate su standard nella sequenza corretta.

Best practice per l'Address Resolution Protocol

La protezione basata su standard richiede controlli di sicurezza a più livelli implementati nella sequenza corretta. Le seguenti pratiche affrontano le vulnerabilità ARP a livello di switch mantenendo la funzionalità di rete.

Implementare correttamente Dynamic ARP Inspection

La documentazione dei vendor di switch enterprise conferma che DAI protegge gli switch da attacchi di ARP spoofing e poisoning ispezionando i pacchetti ARP sulla LAN e validandoli rispetto alle voci del database DHCP snooping. Il sistema valida i pacchetti ARP rispetto alle associazioni MAC-IP e scarta i pacchetti non validi che arrivano su porte non trusted.

Seguire la sequenza di configurazione richiesta

NIST Special Publication 800-215 si concentra sull'accesso remoto sicuro e sui framework SASE. La documentazione tecnica ufficiale dei vendor di switch enterprise raccomanda di configurare prima il DHCP snooping, inclusa la marcatura delle porte verso i server e di uplink come DHCP-trusted. Poi abilitare l'esame DHCP per VLAN, creare binding statici per i dispositivi non DHCP e abilitare Dynamic ARP Inspection per VLAN, iniziando dai segmenti di test.

Mantenere le tabelle di binding per IP statici

Ogni server, appliance di rete, stampante e dispositivo IoT che utilizza indirizzamento IP statico richiede una voce di binding manuale nella configurazione DAI. Documentare questi dispositivi durante l'implementazione e aggiornare i binding ogni volta che l'infrastruttura cambia.

Configurare il rate limiting

Impostare limiti appropriati di pacchetti ARP per interfaccia per prevenire attacchi di denial-of-service che sfruttano il processo di ispezione. Configurare le soglie in base ai pattern di traffico ARP di base del proprio ambiente, seguendo le raccomandazioni dei vendor che possono suggerire punti di partenza come 15 pacchetti al secondo per interfaccia, ma che dovrebbero essere adattati alla propria rete.

Segmentare l'architettura di rete

Una corretta segmentazione della rete garantisce che gli attacchi su una sottorete non possano impattare dispositivi in segmenti diversi. ARP opera all'interno dei domini di broadcast, quindi la segmentazione architetturale limita la propagazione degli attacchi e riduce la superficie di attacco per segmento di rete.

Integrare con SIEM per il monitoraggio

La documentazione dei vendor di switch enterprise specifica che i log DAI includono indirizzo MAC sorgente, VLAN, indirizzo IP e timestamp. Inviare questi log al proprio Security Information and Event Management per la correlazione con altri eventi di sicurezza e l'analisi di pattern che indicano campagne di attacco coordinate. Piattaforme di sicurezza come SentinelOne Singularity correlano eventi di sicurezza legati ad ARP con fallimenti di autenticazione e indicatori di movimento laterale, collegando attacchi di livello 2 all'impatto sul business.

Implementare controlli di sicurezza Layer 2 complementari

Implementare la port security per limitare gli indirizzi MAC per porta fisica, configurare BPDU Guard per prevenire attacchi spanning tree e abilitare il rate limiting DHCP snooping. Questi controlli lavorano insieme a DAI per creare una difesa stratificata a livello data link.

I controlli preventivi costituiscono la base. L'identificazione degli attacchi quando la prevenzione fallisce completa l'architettura di sicurezza.

Blocca gli attacchi ARP con SentinelOne

Gli attaccanti che aggirano Dynamic ARP Inspection o operano su segmenti di rete privi di protezioni Layer 2 espongono un gap di visibilità. L'architettura di sicurezza richiede la correlazione tra anomalie legate ad ARP e comportamento degli endpoint. SentinelOne Singularity fornisce questa correlazione cross-layer analizzando gli eventi di rete insieme alla telemetria degli endpoint, identificando il furto di credenziali, l'escalation dei privilegi e i movimenti laterali che seguono attacchi ARP spoofing riusciti.

La piattaforma Singularity affronta il gap fondamentale tra i controlli di rete Layer 2 e gli strumenti di sicurezza Layer 3+. DAI opera a livello di switch per bloccare pacchetti ARP falsificati, ma gli attaccanti che riescono ad avvelenare le cache su segmenti non protetti o durante la finestra prima del deployment dei controlli richiedono analisi comportamentale. Purple AI correla pattern di autenticazione insoliti, esecuzioni di processi sospetti e accessi anomali ai file con eventi a livello di rete. Un'anomalia ARP registrata dagli switch si collega a un reale abuso di credenziali sugli endpoint.

Purple AI riduce il tempo di indagine sugli eventi ARP automatizzando la correlazione tra anomalie di rete e pattern di autenticazione sugli endpoint. Invece di analizzare manualmente migliaia di voci di log DAI, Purple AI identifica quali eventi ARP hanno preceduto comportamenti di compromissione effettivi: autenticazione Windows tramite hash NTLM rubati, comandi PowerShell di ricognizione o accessi non autorizzati a condivisioni file.

Le capacità di risposta autonoma della piattaforma bloccano il movimento laterale indipendentemente dal vettore di attacco iniziale, isolando gli endpoint compromessi, bloccando processi sospetti e prevenendo l'esfiltrazione dei dati prima che gli attaccanti raggiungano i loro obiettivi. Per i team di sicurezza che gestiscono ambienti ibridi con deployment Layer 2 incoerente, Singularity identifica i comportamenti post-compromissione rilevanti indipendentemente dall'origine. L'affaticamento da alert diminuisce perché la piattaforma dà priorità agli eventi con reale impatto sul business.

Richiedi una demo di SentinelOne per vedere come Singularity rileva il movimento laterale basato su ARP e blocca il furto di credenziali con risposta autonoma.

Cybersicurezza alimentata dall'intelligenza artificiale

Elevate la vostra posizione di sicurezza con il rilevamento in tempo reale, la risposta automatica e la visibilità totale dell'intero ambiente digitale.

Richiedi una demo

Punti chiave

Il design non autenticato di ARP non cambierà. La difesa richiede controlli stratificati: DHCP snooping e Dynamic ARP Inspection a livello di switch, segmentazione della rete per contenere gli attacchi e analisi comportamentale per rilevare ciò che la prevenzione non intercetta.

Implementa i controlli in sequenza, iniziando dal DHCP snooping prima di abilitare DAI. Invia i log DAI al SIEM per la correlazione con la telemetria degli endpoint. Accetta che alcuni segmenti saranno privi di protezione e costruisci capacità di rilevamento di conseguenza. Le vulnerabilità del protocollo richiedono sicurezza architetturale, non correzioni al protocollo.

Domande frequenti

I termini descrivono lo stesso attacco: messaggi ARP falsificati che sovrascrivono le voci legittime della cache. La letteratura sulla sicurezza li utilizza in modo intercambiabile. Entrambi sfruttano la mancanza di autenticazione del protocollo per reindirizzare il traffico dichiarando associazioni IP-MAC false. 

Lo spoofing attivo genera traffico ARP che DAI può intercettare, mentre l'osservazione passiva delle cache avvelenate richiede il confronto delle voci attuali della cache con database di associazioni noti come affidabili.

ARP opera al Livello 2 all'interno dei domini di broadcast della rete locale, influenzando principalmente le reti on-premises e cloud privati. Le reti virtuali nel cloud pubblico utilizzano diversi meccanismi di isolamento architetturale e approcci di sicurezza alternativi. 

Tuttavia, gli ambienti ibridi che comprendono sia architetture on-premises che cloud pubblico richiedono strategie di protezione allineate a modelli di sicurezza differenti, e gli attacchi nei segmenti on-premises possono consentire l’accesso alle risorse cloud se non viene mantenuta una corretta segmentazione della rete.

L'impatto sulle prestazioni di DAI dipende dall'architettura di rete e dai modelli di traffico. Gli switch gestiti moderni eseguono l'ispezione tramite ASIC hardware con impatto trascurabile. Abilita DAI progressivamente sui VLAN, iniziando dai segmenti critici, monitorando i tassi di ispezione e le metriche CPU per validare la capacità prima di espandere la distribuzione. 

Monitora il traffico ARP di base durante le ore di punta per stabilire limiti di velocità appropriati per il tuo ambiente.

L'adozione di IPv6 aumenta nelle reti aziendali, ma la maggior parte delle organizzazioni opera in ambienti dual-stack mantenendo sia IPv4 che IPv6. NIST SP 800-215 raccomanda che le architetture di sicurezza aziendali considerino controlli di sicurezza Layer 2 per le reti IPv4 durante questo periodo di transizione esteso. I meccanismi di protezione ARP come Dynamic ARP Inspection restano necessari.

Gli attaccanti sulla rete locale possono avvelenare le cache ARP utilizzando strumenti facilmente reperibili entro pochi secondi dall'accesso alla rete. RFC 826 e ricerche IEEE confermano che l'attacco non richiede exploit sofisticati, ma solo la capacità di inviare pacchetti ARP falsificati sul dominio di broadcast locale. 

La vulnerabilità nel design privo di fiducia del protocollo sottolinea perché i controlli preventivi Layer 2 sono fondamentali per la sicurezza ARP.

Le voci ARP dinamiche vengono apprese automaticamente dalle risposte ARP e scadono dopo un periodo di timeout, tipicamente compreso tra 2 e 20 minuti, a seconda del sistema operativo. Le voci ARP statiche sono configurate manualmente dagli amministratori e persistono fino alla loro rimozione esplicita. 

Le voci statiche prevengono l'ARP cache poisoning per i dispositivi di infrastruttura critici ma richiedono manutenzione manuale in caso di modifiche hardware o riassegnazione degli indirizzi IP.

Scopri di più su Sicurezza informatica

Cybersecurity nel Retail: Rischi, Best Practice e FrameworkSicurezza informatica

Cybersecurity nel Retail: Rischi, Best Practice e Framework

Esplora il ruolo fondamentale della cybersecurity nel settore retail ed e-commerce. Questa guida copre le principali minacce, i framework per la protezione dei dati e le best practice per aiutare i retailer a proteggere le informazioni dei clienti, garantire la conformità e mantenere la fiducia su punti vendita digitali e fisici.

Per saperne di più
Cybersecurity nel settore sanitario: rischi, best practice e frameworkSicurezza informatica

Cybersecurity nel settore sanitario: rischi, best practice e framework

Scopri la sicurezza informatica nel settore sanitario e come difendersi dalle minacce emergenti. Comprendi i rischi informatici nel settore sanitario, le best practice e i framework ideali da utilizzare per la massima protezione.

Per saperne di più
Cybersecurity nell’istruzione superiore: rischi, best practice e frameworkSicurezza informatica

Cybersecurity nell’istruzione superiore: rischi, best practice e framework

College e università affrontano minacce informatiche crescenti con l’espansione dei campus digitali. Questa guida spiega i principali rischi, le strategie di protezione comprovate e i framework chiave che rafforzano la cybersecurity nell’istruzione superiore.

Per saperne di più
Analisi forense della sicurezza informatica: tipologie e best practiceSicurezza informatica

Analisi forense della sicurezza informatica: tipologie e best practice

La scienza forense informatica è spesso denominata scienza forense digitale o scienza forense informatica. Comprende l'indagine su attacchi informatici e altre attività illegali condotte nello spazio digitale.

Per saperne di più
Provate la piattaforma di cybersecurity più avanzata

Provate la piattaforma di cybersecurity più avanzata

Scoprite come la piattaforma di cybersecurity più intelligente e autonoma al mondo può proteggere la vostra organizzazione oggi e in futuro.

Richiedi una demo
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2026 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo

Italiano