Un leader nel Magic Quadrant™ Gartner® 2025 per la Protezione di Endpoints. Cinque anni di fila.Leader nel Magic Quadrant™ di Gartner®Leggi il report
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • IA per la sicurezza
      Leader nelle Soluzioni di Sicurezza basate su AI
    • Sicurezza dell’IA
      Accelera l’adozione dell’IA con strumenti, applicazioni e agenti di IA sicuri.
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • AI Data Pipelines
      Pipeline di dati di sicurezza per AI SIEM e ottimizzazione dei dati
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Protezione dell’IA
    • Prompt Security
      Proteggere gli strumenti di IA in tutta l’azienda
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      DFIR, preparazione alle violazioni & valutazioni di compromissione.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    • SentinelOne for Google Cloud
      Sicurezza unificata e autonoma che offre ai difensori un vantaggio su scala globale.
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for Border Gateway Protocol (BGP): Guida alla Sicurezza
Cybersecurity 101/Sicurezza informatica/Border Gateway Protocol

Border Gateway Protocol (BGP): Guida alla Sicurezza

Il Border Gateway Protocol controlla quali reti attraversa il tuo traffico prima di raggiungere i controlli di sicurezza. Scopri le best practice di sicurezza BGP e l'implementazione di RPKI.

CS-101_Cybersecurity.svg
Indice dei contenuti
Che cos'è il Border Gateway Protocol?
Come il Border Gateway Protocol si collega alla cybersecurity
BGP interno vs esterno (iBGP vs eBGP)
Componenti fondamentali del Border Gateway Protocol
Come funziona il Border Gateway Protocol
Tecniche di attacco comuni che sfruttano BGP
Vantaggi chiave del Border Gateway Protocol
Sfide e limitazioni del Border Gateway Protocol
Errori comuni nel Border Gateway Protocol
Best practice per il Border Gateway Protocol
Esempi reali di incidenti BGP
Punti chiave

Articoli correlati

  • Cos'è la Session Fixation? Come gli attaccanti dirottano le sessioni utente
  • Ethical Hacker: Metodi, Strumenti e Guida al Percorso Professionale
  • Cosa sono gli attacchi avversari? Minacce e difese
  • Cybersecurity nel Settore Governativo: Rischi, Best Practice e Framework
Autore: SentinelOne
Aggiornato: January 21, 2026

Che cos'è il Border Gateway Protocol?

BGP controlla quali reti attraversa il tuo traffico prima di raggiungere i tuoi controlli di sicurezza, e gli attaccanti sfruttano questo livello di routing per intercettare i tuoi dati prima che la sicurezza del firewall o il rilevamento degli endpoint possano intervenire. NIST SP 800-189 definisce BGP come il protocollo di routing che consente a diversi sistemi autonomi di scambiarsi informazioni di routing e determinare i percorsi ottimali per il traffico Internet. Un attaccante ha rubato circa 235.000 dollari in criptovaluta il 17 agosto 2022 utilizzando un attacco mirato di BGP hijack contro Celer Bridge, reindirizzando il traffico verso server controllati dall'attaccante per circa tre ore.

CISA definisce BGP "la parte più importante di Internet di cui probabilmente non hai mai sentito parlare." Il tuo firewall protegge il perimetro. Il rilevamento degli endpoint blocca il malware. Ma BGP controlla quali reti attraversa il tuo traffico prima di raggiungere questi controlli di sicurezza, un livello fondamentale che si trova al di sotto della maggior parte delle difese di sicurezza aziendali.

Stai operando su un protocollo con un modello di fiducia intrinsecamente insicuro. RFC 4272 afferma che BGP è essenzialmente un protocollo non sicuro. Il protocollo non dispone di meccanismi crittografici per validare se il sistema autonomo che annuncia possiede i prefissi IP, se i percorsi di routing sono autentici e se gli annunci sono stati alterati durante il transito.

Border Gateway Protocol - Featured Image | SentinelOne

Come il Border Gateway Protocol si collega alla cybersecurity

Il BGP hijacking consente agli attaccanti di intercettare il tuo traffico prima che venga ispezionato dal firewall, posizionandosi tra i tuoi utenti e le difese perimetrali. Monitori i fallimenti di autenticazione e cerchi movimenti laterali, ma il BGP hijacking avviene a livello di routing prima che le piattaforme SIEM vedano il traffico. Quando integri il monitoraggio BGP in piattaforme come Singularity Data Lake, le anomalie di routing si correlano automaticamente con i fallimenti di autenticazione e gli indicatori di esfiltrazione dati.

La sicurezza BGP è importante perché una compromissione a livello di routing aggira i controlli di sicurezza perimetrali aziendali e abilita attacchi man-in-the-middle su scala Internet. CISA avverte che il BGP hijacking espone le informazioni aziendali reindirizzando il traffico attraverso reti controllate da attaccanti e facilita lo spionaggio a livello statale. Comprendere come gli attaccanti sfruttano BGP richiede l'analisi dei componenti architetturali fondamentali del protocollo.

BGP interno vs esterno (iBGP vs eBGP)

BGP opera in due modalità distinte con diversi modelli di fiducia e implicazioni di sicurezza. Il BGP esterno (eBGP) gestisce il routing tra sistemi autonomi, mentre il BGP interno (iBGP) gestisce la distribuzione delle rotte all'interno di un singolo AS. La tua postura di sicurezza deve considerare le vulnerabilità di entrambi.

Le sessioni eBGP collegano router in diversi sistemi autonomi attraverso confini di fiducia. Queste sessioni tipicamente avvengono tra router ai margini della rete dove la tua organizzazione si collega a ISP, provider cloud o altre reti. eBGP applica un TTL di 1 per impostazione predefinita, il che significa che i router peer devono essere direttamente connessi. Gli attaccanti prendono di mira le sessioni eBGP perché comprometterle consente l'intercettazione del traffico su scala Internet.

iBGP distribuisce le informazioni di routing apprese dai peer eBGP in tutta la rete interna. iBGP richiede una connettività full mesh tra tutti i BGP speaker all'interno di un AS, oppure l'uso di route reflector e confederazioni per scalare. Le sessioni iBGP non modificano l'attributo AS path, il che significa che le rotte apprese tramite iBGP mantengono il percorso AS originale per prevenire loop.

Le implicazioni di sicurezza differiscono tra queste modalità:

  • Le sessioni eBGP attraversano confini amministrativi e richiedono politiche di filtraggio rigorose
  • iBGP presume un ambiente interno fidato, creando rischi se gli attaccanti ottengono accesso alla rete interna
  • Le configurazioni errate dei route reflector possono propagare rotte errate in tutto l'AS
  • L'hijacking delle sessioni iBGP consente agli attaccanti con accesso interno di manipolare le decisioni di routing

La tua strategia di sicurezza di rete dovrebbe implementare l'autenticazione MD5 su tutte le sessioni BGP indipendentemente dal tipo. Il MANRS enterprise primer raccomanda un filtraggio rigoroso dei prefissi in ogni punto di peering eBGP. Per iBGP, segmenta i cluster dei route reflector e monitora la presenza di BGP speaker non autorizzati all'interno dell'AS.

Componenti fondamentali del Border Gateway Protocol

Tre elementi architetturali creano le vulnerabilità che gli attaccanti sfruttano nel modello di fiducia di BGP: mancanza di meccanismi di autenticazione, fiducia implicita tra peer e assenza di capacità di validazione delle rotte.

  • Sistemi autonomi (AS) rappresentano reti indipendenti sotto controllo amministrativo. La rete aziendale, l'ISP, il provider cloud: ciascuno opera come sistema autonomo con un numero AS univoco.
  • Sessioni di peering BGP stabiliscono connessioni autenticate tra router in diversi sistemi autonomi che si scambiano informazioni di routing. Queste connessioni si organizzano in relazioni provider-customer, peer-to-peer e customer-provider, ciascuna con distinte implicazioni di sicurezza.
  • Annunci di rotta pubblicizzano prefissi di indirizzi IP alle reti peer. Quando il tuo AS annuncia "Ho la migliore rotta per raggiungere 203.0.113.0/24", le reti vicine aggiornano di conseguenza le loro tabelle di routing. RFC 4272 conferma che il protocollo presume che i peer siano fidati, senza meccanismi per validare le informazioni di routing. Quando tu o i tuoi peer inviate annunci di rotta sintatticamente validi, BGP li propaga su Internet, indipendentemente dal fatto che siano legittimi o malevoli.

Comprendere queste vulnerabilità architetturali spiega come gli attaccanti sfruttano il processo di selezione delle rotte di BGP per dirottare il tuo traffico.

Come funziona il Border Gateway Protocol

Quando gli attaccanti annunciano il tuo prefisso 203.0.113.0/24 in modo più specifico rispetto al tuo annuncio legittimo 203.0.113.0/20, i router a livello globale preferiscono la rotta dell'attaccante. Questo accade perché la selezione delle rotte BGP segue un algoritmo che dà priorità alla specificità rispetto all'autorizzazione, una tecnica chiamata longest-prefix-match hijacking.

La protezione dell'autorizzazione delle rotte funziona solo quando le reti downstream validano le rotte. Se il tuo provider upstream non implementa la Route Origin Validation, gli attaccanti possono comunque dirottare il tuo traffico anche se hai pubblicato ROA validi.

BGP valuta le rotte utilizzando criteri come local preference, lunghezza dell'AS path, tipo di origine e multi-exit discriminator. Gli attaccanti possono manipolare questi parametri per dirottare il traffico. NIST SP 800-189 Rev. 1 conferma che i progettisti hanno creato BGP senza meccanismi di autenticazione crittografica integrati.

Tecniche di attacco comuni che sfruttano BGP

Gli attaccanti sfruttano l'architettura basata sulla fiducia di BGP attraverso diverse tecniche consolidate che il tuo team di sicurezza deve riconoscere e contrastare. Il root DNS server hijack di giugno 2025 che ha colpito otto server simultaneamente dimostra che questi metodi restano efficaci anche contro infrastrutture critiche.

  • Prefix hijacking si verifica quando un attaccante annuncia prefissi IP appartenenti a un'altra organizzazione. L'AS dell'attaccante origina rotte per uno spazio di indirizzi che non possiede, e le reti che non effettuano la validazione delle rotte accettano questi annunci. Il traffico destinato al legittimo proprietario viene invece indirizzato all'attaccante. Questa tecnica consente il furto di credenziali, l'intercettazione dei dati e il furto di criptovalute.
  • Sub-prefix hijacking rappresenta una variante più mirata. Gli attaccanti annunciano prefissi più specifici rispetto al legittimo proprietario. Se la tua organizzazione annuncia 192.0.2.0/23, un attaccante che annuncia 192.0.2.0/24 vince la selezione della rotta perché BGP preferisce corrispondenze di prefisso più lunghe. Il rapporto dei Root Server Operators conferma che gli attaccanti sfruttano costantemente questo comportamento di longest-prefix-match.
  • Manipolazione dell'AS path consente agli attaccanti di influenzare la selezione delle rotte accorciando o modificando artificialmente l'attributo AS path. BGP preferisce percorsi più brevi, quindi gli attaccanti possono anteporre meno ASN per rendere le loro rotte malevole più attraenti. Alcuni attaccanti inseriscono ASN legittimi in percorsi falsi per eludere il rilevamento.
  • BGP session hijacking prende di mira le sessioni TCP sottostanti le relazioni di peering BGP. Gli attaccanti che possono iniettare pacchetti nella sessione possono resettare le connessioni, iniettare rotte false o causare instabilità di routing. La previsione dei numeri di sequenza TCP e il posizionamento man-in-the-middle abilitano questi attacchi.
  • Route leaks derivano da configurazioni errate piuttosto che da intenti malevoli ma producono impatti di sicurezza simili. Una rete propaga erroneamente rotte apprese da un peer ad altri peer, violando le politiche di routing attese. L'analisi degli incidenti MANRS documenta come queste configurazioni errate abbiano colpito Time Warner Cable, Rogers e Charter.

Difendersi da queste tecniche richiede controlli a più livelli tra cui l'implementazione di RPKI, filtraggio rigoroso dei prefissi, autenticazione delle sessioni BGP e monitoraggio continuo delle anomalie di routing.

Vantaggi chiave del Border Gateway Protocol

BGP fornisce il routing su scala Internet tramite il coordinamento con reti indipendenti. RFC 4271 spiega come i sistemi autonomi si scambiano informazioni di routing e determinano i percorsi migliori per il traffico Internet in base alle relazioni tra reti.

La ridondanza dei percorsi deriva da molteplici fonti di annunci e dalla selezione distribuita delle rotte. Quando la connessione principale all'ISP fallisce, BGP converge su percorsi di backup tramite provider secondari in base alle metriche di routing e alle politiche locali.

L'ingegneria granulare del traffico tramite il routing basato su policy ti consente di controllare entrambe le direzioni del flusso di traffico. Regola l'AS path prepending per influenzare il traffico in ingresso, configura le impostazioni di local preference per il traffico in uscita e implementa politiche di filtraggio per evitare che il traffico venga instradato attraverso reti potenzialmente ostili. Queste capacità di routing comportano significativi compromessi di sicurezza che richiedono una gestione attenta.

Sfide e limitazioni del Border Gateway Protocol

L'assenza fondamentale di autenticazione in BGP impedisce la verifica crittografica che l'AS che annuncia le rotte verso il tuo spazio IP possieda effettivamente quegli indirizzi. Questa lacuna abilita ogni attacco di hijack contro cui ti difendi. NIST SP 800-189r1 mostra il problema: i router BGP accettano annunci di routing senza verifica crittografica dell'autenticazione dell'origine, della validazione del percorso o dell'integrità dell'annuncio.

La frequenza degli incidenti continua ad aumentare nonostante una maggiore consapevolezza. L'analisi della sicurezza del routing di Internet2 ha documentato tre importanti incidenti di sicurezza del routing che hanno colpito reti di ricerca e istruzione solo nel 2024, dimostrando che le vulnerabilità BGP continuano a compromettere infrastrutture critiche.

Il rischio sistemico crea dipendenze al di fuori del controllo di qualsiasi singola organizzazione. L' analisi delle policy di Internet Society avverte che la natura decentralizzata e interconnessa di BGP introduce vulnerabilità che gli attori malevoli possono sfruttare. La sicurezza del routing dipende da migliaia di altre reti a livello globale, creando una dipendenza simile a una supply chain in cui singole configurazioni errate di BGP si propagano a livello internazionale. Queste vulnerabilità sistemiche si manifestano in specifici fallimenti operativi che i team di sicurezza devono riconoscere e prevenire.

Errori comuni nel Border Gateway Protocol

Molte organizzazioni implementano l'infrastruttura di validazione RPKI ma non vanno oltre il monitoraggio verso l'applicazione. Il dashboard di monitoraggio mostra un prefisso annunciato da un AS non autorizzato. Il validatore RPKI lo segna come non valido. Ma la modalità solo monitoraggio, configurata mesi prima, non è mai passata all'applicazione. Il traffico viene dirottato mentre il dashboard mostra il problema. NRO RPKI Best Practices richiede la creazione di ROA che corrispondano esattamente a ciò che annunci in BGP e nient'altro.

Un'implementazione RPKI incompleta genera errori in diversi modi:

  • Creazione di ROA per prefissi pianificati ma non annunciati
  • Impostazione di valori di lunghezza massima troppo permissivi
  • Dimenticare di aggiornare i ROA quando cambiano gli annunci BGP

Queste configurazioni errate dei ROA lasciano i prefissi vulnerabili anche quando l'infrastruttura di validazione esiste. La ricerca del NDSS Symposium identifica sfide sistematiche che impediscono agli operatori di passare dalla validazione passiva all'applicazione attiva.

Politiche di filtraggio inadeguate consentono la propagazione degli attacchi. L'analisi dell'ecosistema MANRS di CAIDA ha rilevato che annunci BGP RPKI-invalid e con lunghezza di prefisso non valida si propagano nelle reti nonostante gli impegni di sicurezza documentati. Le lacune comuni includono l'accettazione di prefissi più lunghi di /24 per IPv4, filtri bogon non sincronizzati con le attuali allocazioni RIR e controlli di sanità dell'AS-path mancanti. Queste lacune di filtraggio creano vulnerabilità a cascata nell'infrastruttura di routing.

Un monitoraggio insufficiente lascia gli incidenti inosservati fino a danno avvenuto. Senza avvisi su cambiamenti dell'AS di origine del prefisso, nuovi annunci più specifici che si sovrappongono allo spazio di indirizzi e transizioni dello stato di validazione RPKI, i cambiamenti di routing restano invisibili. Processi di  incident response adeguati che integrano la telemetria BGP nella piattaforma di sicurezza sono essenziali. Evitare questi errori richiede l'implementazione delle best practice documentate per la sicurezza BGP.

Best practice per il Border Gateway Protocol

L'implementazione della Resource Public Key Infrastructure dovrebbe seguire la NIST SP 800-189 Revision 1. Crea Route Origin Authorizations per ogni prefisso IP che la tua organizzazione origina in BGP e implementa almeno due validatori RPKI per la ridondanza.

La Route Origin Validation funziona meglio se implementata in fasi seguendo le NRO Best Practices:

  • Modalità monitoraggio (30-60 giorni): Osserva i risultati della validazione RPKI senza influenzare il routing
  • Regolazione delle preferenze (60-90 giorni): Riduci la local preference per le rotte RPKI-invalid
  • Applicazione completa (oltre 90 giorni): Scarta completamente gli annunci non validi

Il filtraggio rigoroso dei prefissi in tutti i punti di peering previene i comuni vettori di attacco. I limiti di lunghezza massima del prefisso bloccano gli attacchi di hijacking con rotte più specifiche, i filtri bogon sincronizzati bloccano spazi di indirizzi non validi e il filtraggio dell'AS-path previene lunghezze di percorso irrealistiche o la perdita di ASN privati.

Le policy route-map dovrebbero codificare chiaramente i tipi di relazione. Tagga tutte le rotte BGP con community che indicano l'origine come provider, peer o customer.

L'integrazione del monitoraggio BGP con la piattaforma di sicurezza abilita flussi di lavoro di  threat hunting per le anomalie di routing. Configura avvisi per cambiamenti di stato delle sessioni peer, modifiche dell'AS di origine del prefisso e transizioni dello stato di validazione RPKI.

La validazione della configurazione ROA dovrebbe essere continua utilizzando strumenti raccomandati dai Regional Internet Registry. I processi di change control garantiscono che gli aggiornamenti ROA precedano le modifiche agli annunci BGP dove possibile. Documenta e testa le procedure di risposta per il rilevamento di rotte non valide e stabilisci piani di incident response per scenari di BGP hijacking. Queste best practice preparano la tua organizzazione a integrare la sicurezza del routing nelle operazioni di sicurezza unificate.

Esempi reali di incidenti BGP

I fallimenti della sicurezza BGP hanno causato danni significativi nel mondo reale in infrastrutture critiche, servizi finanziari e operazioni governative. Questi incidenti dimostrano perché la sicurezza del routing richiede la stessa attenzione della protezione degli endpoint e della rete.

  • Il root DNS server hijack di giugno 2025 rappresenta l'incidente più grave recente. Secondo il rapporto degli incidenti dei Root Server Operators, otto root DNS server (a, b, c, f, g, h, j e m.root-servers.net) hanno subito un BGP hijacking simultaneo tra le 19:40 e le 21:10 UTC. Tre prefissi dirottati avevano ROA validi pubblicati in RPKI, ma l'attacco è riuscito perché le reti downstream non hanno implementato la Route Origin Validation.
  • Il mass hijack di Rostelecom di aprile 2020 ha colpito oltre 8.000 rotte a livello globale. L'analisi degli incidenti MANRS conferma che AS12389 ha annunciato rotte più specifiche che hanno impattato oltre 200 provider CDN e cloud tra cui Cloudflare e Akamai. L'analisi ha attribuito l'evento a una configurazione errata di un BGP optimizer piuttosto che a intento malevolo.
  • L'incidente Telstra di settembre 2020 ha visto AS1221 annunciare quasi 500 prefissi in un evento di mass hijacking. La documentazione MANRS mostra che l'incidente ha colpito 266 sistemi autonomi in 50 paesi, dimostrando come una singola configurazione errata possa propagarsi a livello globale.
  • L'attacco Celer Bridge di agosto 2022 ha preso di mira utenti di criptovalute. Gli attaccanti hanno rubato 235.000 dollari in criptovaluta reindirizzando il traffico attraverso server controllati dagli attaccanti per circa tre ore.

Questi incidenti condividono caratteristiche comuni: hanno sfruttato il modello di fiducia di BGP, hanno colpito organizzazioni che avevano implementato alcune misure di sicurezza e hanno causato danni prima che i difensori potessero rispondere. Il modello rafforza il motivo per cui la rilevazione proattiva delle minacce e il monitoraggio continuo di BGP sono componenti essenziali della sicurezza aziendale.

Cybersicurezza alimentata dall'intelligenza artificiale

Elevate la vostra posizione di sicurezza con il rilevamento in tempo reale, la risposta automatica e la visibilità totale dell'intero ambiente digitale.

Richiedi una demo

Punti chiave

Ti stai difendendo da attacchi a livello di routing con un'infrastruttura che non controlli completamente. La sicurezza BGP dipende da migliaia di reti che implementano controlli di validazione. Inizia da ciò che puoi controllare: implementa RPKI/ROV in modalità enforcement, filtra rigorosamente i prefissi in ogni punto di peering e integra il monitoraggio BGP nei flussi di lavoro del tuo SOC. Il divario tra implementazione individuale e applicazione collettiva è dove operano gli attaccanti.

Domande frequenti su Border Gateway Protocol (BGP)

Il BGP hijacking si verifica quando un attaccante annuncia prefissi di indirizzi IP che non possiede, facendo sì che il traffico Internet venga instradato attraverso la propria rete invece che verso la destinazione legittima. 

Secondo CISA, questi attacchi possono esporre informazioni aziendali, abilitare furto ed estorsione e facilitare lo spionaggio a livello statale. Questa tecnica consente l'intercettazione del traffico, il furto di credenziali, l'esfiltrazione di dati e attacchi di denial of service su scala Internet.

BGP controlla l'instradamento del traffico prima che i pacchetti raggiungano i tuoi firewall, la rilevazione degli endpoint o altri controlli di sicurezza. Quando gli aggressori dirottano le rotte BGP, si posizionano tra i tuoi utenti e le tue difese, consentendo attacchi man-in-the-middle che aggirano completamente la sicurezza perimetrale. 

La sicurezza dell'instradamento rappresenta un livello fondamentale che la maggior parte degli stack di sicurezza aziendali non monitora.

Le organizzazioni individuano la manipolazione BGP tramite il monitoraggio continuo degli annunci di route, dei cambiamenti di stato di validazione RPKI e delle modifiche all'origine dei prefissi. 

Implementa validatori RPKI per verificare la legittimità delle route, iscriviti ai feed pubblici dei route collector di RIPE RIS o RouteViews e integra la telemetria BGP nella tua piattaforma di sicurezza. Genera alert su cambiamenti inattesi di origine AS e annunci di prefissi più specifici che si sovrappongono al tuo spazio di indirizzi.

Il BGP hijacking consente il furto di credenziali attraverso il reindirizzamento dei flussi di autenticazione, esfiltrazione di dati tramite l'intercettazione di comunicazioni sensibili, furto di criptovalute tramite catene di DNS hijacking, sorveglianza di organizzazioni o individui mirati e interruzione dei servizi attraverso il blackholing del traffico. 

L' Internet Society avverte che la natura decentralizzata del BGP implica che le rotte compromesse possano influenzare qualsiasi organizzazione il cui traffico transiti sul percorso compromesso.

RPKI crea certificati crittografici che collegano i prefissi IP ai sistemi autonomi di origine autorizzati. Quando si implementa la Route Origin Validation, i router rifiutano gli annunci BGP in cui l'AS di origine non corrisponde al ROA firmato crittograficamente. 

Un attaccante che annuncia i tuoi prefissi da un AS non autorizzato viene bloccato. Tuttavia, la protezione richiede sia la creazione dei ROA da parte dei proprietari dei prefissi sia l'applicazione della ROV da parte delle reti di transito. Avere ROA validi non è sufficiente se le reti peer non effettuano la validazione.

Il BGP hijacking consiste nell'annunciare deliberatamente prefissi IP non autorizzati per intercettare il traffico. I route leaks rappresentano una minaccia distinta in cui le reti propagano erroneamente route apprese da un peer verso altri peer. 

Sebbene i route leaks derivino tipicamente da una errata configurazione piuttosto che da intento malevolo, il loro impatto sulla sicurezza è sostanzialmente equivalente poiché il traffico viene comunque deviato attraverso reti non previste e potenzialmente ostili.

Sì, ma con dipendenze dai provider upstream. Se utilizzi uno spazio di indirizzi assegnato dal provider, coordina con il tuo ISP per creare ROA sotto il loro account RIR. 

Documenta per iscritto le responsabilità di gestione dei ROA, in particolare che la rimozione di un ROA ne invalida immediatamente l'autorizzazione a livello globale in pochi minuti. Concentrati su monitoraggio, filtraggio e controlli di validazione nell'ambito della tua autorità operativa.

L'implementazione di RPKI ha due componenti: la pubblicazione delle Route Origin Authorizations (ROA) per i propri prefissi e l'applicazione della Route Origin Validation (ROV) sulle rotte in ingresso. Molte organizzazioni completano il primo passaggio ma non il secondo. 

Anche se pubblichi ROA validi, il tuo traffico rimane vulnerabile se le reti di transito tra te e la destinazione non applicano la validazione. Questo problema di azione collettiva implica che la sicurezza BGP richiede un'implementazione coordinata in tutto l'ecosistema di routing.

Stabilisci un approccio graduale al monitoraggio della sicurezza BGP basato sulle linee guida di NIST SP 800-189 Rev. 1. Inizia implementando la Route Origin Validation in modalità di solo monitoraggio per ottenere una visibilità di base. 

Considera il BGP hijacking e i cambiamenti inattesi dell'origine dei prefissi come alert ad alta priorità che richiedono indagine immediata, poiché questi attacchi consentono l'intercettazione man-in-the-middle a livello di routing.

Le organizzazioni possono implementare il monitoraggio BGP tramite validatori RPKI, route collector e piattaforme di sicurezza che acquisiscono telemetria di rete. Risorse pubbliche come RIPE RIS e RouteViews offrono visibilità globale sul routing. 

Per gli ambienti enterprise, integrare i dati di monitoraggio BGP nella propria piattaforma di sicurezza consente la correlazione con eventi endpoint e di identità.

Scopri di più su Sicurezza informatica

Che cos'è l'Insecure Direct Object Reference (IDOR)?Sicurezza informatica

Che cos'è l'Insecure Direct Object Reference (IDOR)?

L'Insecure Direct Object Reference (IDOR) è una vulnerabilità di controllo degli accessi in cui l'assenza di verifiche sulla proprietà consente agli attaccanti di recuperare i dati di qualsiasi utente modificando un parametro nell'URL. Scopri come rilevarla e prevenirla.

Per saperne di più
Sicurezza IT vs OT: principali differenze e best practiceSicurezza informatica

Sicurezza IT vs OT: principali differenze e best practice

La sicurezza IT e OT copre due domini con profili di rischio, obblighi di conformità e priorità operative distinti. Scopri le principali differenze e le best practice.

Per saperne di più
Cosa sono i backup air gapped? Esempi e best practiceSicurezza informatica

Cosa sono i backup air gapped? Esempi e best practice

I backup air gapped mantengono almeno una copia di ripristino fuori dalla portata degli attaccanti. Scopri come funzionano, tipologie, esempi e best practice per il ripristino da ransomware.

Per saperne di più
Che cos'è la sicurezza OT? Definizione, sfide e best practiceSicurezza informatica

Che cos'è la sicurezza OT? Definizione, sfide e best practice

La sicurezza OT protegge i sistemi industriali che gestiscono processi fisici nelle infrastrutture critiche. Include la segmentazione secondo il modello Purdue, la convergenza IT/OT e le linee guida NIST.

Per saperne di più
Provate la piattaforma di cybersecurity più avanzata

Provate la piattaforma di cybersecurity più avanzata

Scoprite come la piattaforma di cybersecurity più intelligente e autonoma al mondo può proteggere la vostra organizzazione oggi e in futuro.

Richiedi una demo
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2026 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo

Italiano