L'esfiltrazione di dati rappresenta una delle preoccupazioni maggiori per aziende e individui. Mentre molte tecniche si basano su vettori d'attacco più evidenti come malware o accesso diretto ai sistemi, una metodologia particolarmente insidiosa e difficile da rilevare è la "Relayed Data Exfiltration via HTTP Headers". Questa tecnica si distingue per la sua capacità di sottrarre informazioni sensibili in modo lento e furtivo, rendendola quasi invisibile ai tradizionali sistemi di sicurezza.
Cos'è la Relayed Data Exfiltration via HTTP Headers?
La "Relayed Data Exfiltration via HTTP Headers" è un tipo di attacco di esfiltrazione di dati in cui le informazioni rubate vengono frammentate e nascoste all'interno degli header HTTP di normali richieste web. Invece di inviare grandi blocchi di dati, che potrebbero far scattare allarmi nei sistemi di monitoraggio, gli attaccanti suddividono i dati sensibili in piccole porzioni e li inseriscono in elementi apparentemente innocui delle comunicazioni HTTP, come gli header "host" o altri header personalizzati.
Ma facciamo un passo indietro per capire cosa sono gli header HTTP. Ogni volta che il browser invia una richiesta a un server web (ad esempio, con la visita ad un sito web), questa richiesta include una serie di informazioni aggiuntive, chiamate "header HTTP". Gli header contengono dettagli come il tipo di browser usato (User-Agent), il dominio a cui si sta accedendo (Host), il tipo di contenuto accettato (Accept), e molte altre informazioni che facilitano la comunicazione tra client e server. Sono una parte essenziale e onnipresente di quasi tutto il traffico web.
Il funzionamento dell'esfiltrazione è particolarmente subdolo perché sfrutta il traffico web legittimo e spesso diretto verso domini affidabili. I sistemi di sicurezza tradizionali tendono a concentrarsi sulle minacce più ovvie, come tentativi di hacking diretti o la presenza di malware, ma raramente ispezionano in dettaglio gli header delle richieste web, che sono una componente "dietro le quinte" della comunicazione. Questo significa che gli attaccanti possono nascondere i dati rubati in bella vista.
Il "relay" nel nome si riferisce al fatto che i dati non vengono inviati direttamente a un server malevolo, ma vengono "reindirizzati" attraverso servizi web legittimi, come provider cloud, servizi web comuni o CDN (Content Delivery Networks). Molti di questi servizi non convalidano l'autenticità dei domini negli header HTTP, permettendo agli attaccanti di sfruttare anche i servizi internet più reputati. Attraverso l'automazione, l'attaccante può esfiltrare lentamente piccoli frammenti di dati codificati nel tempo, raccogliendo infine grandi quantità di informazioni sensibili senza essere intercettato.
Questo tipo di attacco è pericoloso proprio per la sua capacità di eludere le difese convenzionali. Poiché la maggior parte dei sistemi di sicurezza non controlla a fondo gli header HTTP e TLS, i dati rubati possono passare inosservati. Inoltre, l'utilizzo di domini affidabili fa sì che il traffico non venga contrassegnato come sospetto dagli strumenti di sicurezza basati su reputazione o blacklisting.
Perché è così difficile da rilevare?
La difficoltà nel rilevare la "Relayed Data Exfiltration via HTTP Headers" risiede in diversi fattori. Innanzitutto, il volume elevato del traffico HTTP nelle reti aziendali permette ai dati esfiltrati di mimetizzarsi facilmente con il traffico legittimo. La struttura stessa della comunicazione HTTP offre molti vantaggi agli attaccanti, consentendo di facilitare il controllo e il comando (C2) con un host compromesso utilizzando traffico che assomiglia a una normale navigazione web. Inoltre, gli attaccanti spesso comprimono, codificano o crittografano i dati prima di esfiltrarli per ridurre ulteriormente il rischio di rilevamento. Questo processo di offuscamento rende difficile per i sistemi DLP (Data Loss Prevention) basati su firme identificare le informazioni sensibili. Le attività di navigazione web degli utenti finali sono solitamente abbastanza coerenti e prevedibili, ma in un attacco di questo tipo, le richieste POST dirette a server web con cui l'host non ha avuto precedenti comunicazioni possono essere un segnale di allarme, anche se gli attaccanti cercano di limitare l'esposizione della loro infrastruttura per rimanere non rilevati. In alcuni casi, gli attaccanti possono persino adattare la loro comunicazione per imitare il traffico HTTP dell'applicazione browser dell'host infetto, rendendo la loro attività quasi indistinguibile dal traffico benigno.
L'arte dell'invisibilità digitale
La sofisticatezza del processo di esfiltrazione prevede che piccoli frammenti di dati rubati vengano incorporati in domini appositamente costruiti e indirizzati verso servizi Internet di comprovata affidabilità. Questi servizi, ignari del contenuto nascosto, processano le richieste e involontariamente inoltrano le informazioni sottratte ai criminali attraverso il sistema DNS. L'intera operazione avviene sotto il radar della maggior parte degli strumenti di sicurezza, che raramente ispezionano gli header HTTP alla ricerca di contenuti dannosi.
L'emergere di tecniche così raffinate coincide con la massiccia adozione di tecnologie cloud e modalità di lavoro remote, fenomeni che hanno moltiplicato i potenziali punti di accesso per i malintenzionati. Questa convergenza di fattori costringe le organizzazioni a ripensare radicalmente le proprie strategie di sicurezza, abbandonando approcci statici in favore di soluzioni dinamiche e adattive.
La risposta tecnologica all'escalation delle minacce
Di fronte a questo scenario in rapida evoluzione, la risposta del settore della cybersecurity si è orientata verso lo sviluppo di sistemi di protezione intelligenti capaci di evolversi al ritmo delle minacce. L'approccio vincente combina monitoraggio in tempo reale, rilevamento basato su intelligenza artificiale generativa e intelligence avanzata sulle minacce per creare un ecosistema di difesa proattivo piuttosto che reattivo.
I risultati si riflettono nei dati operativi. Palo Alto Networks ha osservato un aumento del 18% degli eventi analizzati quotidianamente, da una media di 4,6 miliardi a 5,43 miliardi, un dato che include attività benigne e dannose su file, URL, domini e sessioni di rete. Gli attacchi nuovi e unici sono aumentati di circa 4 volte ogni giorno (da 2,3 milioni a 8,95 milioni), includendo il rilevamento di nuove minacce come gli attacchi relay. Mentre il volume delle minacce continua a crescere, la capacità di bloccare gli attacchi è aumentata di un fattore tre, passando da 11,3 miliardi a 30,9 miliardi di minacce neutralizzate quotidianamente. Questo significa che le organizzazioni più avanzate riescono ora a intercettare e fermare le minacce prima che raggiungano reti, endpoint o utenti finali, prevenendo i danni alla radice.
La chiave del successo risiede dunque nella capacità di analizzare, identificare e bloccare gli attacchi con velocità e precisione superiori rispetto al passato. In un contesto dove i team di sicurezza devono gestire volumi di minacce che crescono esponenzialmente, l'automazione intelligente e l'analisi predittiva diventano strumenti indispensabili per mantenere l'equilibrio tra efficacia difensiva e sostenibilità operativa. L'accesso a dati accurati e aggiornati in tempo reale consente alle organizzazioni di prendere decisioni informate, minimizzare l'esposizione ai rischi e trasformare la prevenzione delle violazioni da obiettivo aspirazionale a realtà operativa quotidiana.