# DET0006 — Detection Strategy for Network Boundary Bridging ## Descrição Esta estratégia detecta tentativas de criar pontes entre segmentos de rede isolados — uma técnica usada por atacantes para alcançar redes air-gapped, OT/ICS ou segmentos internos restritos. O bridging pode ocorrer via host dual-homed, túneis criados por malware, VPNs não autorizadas ou configuração de interfaces de rede adicionais. O risco é especialmente crítico em ambientes industriais (ICS/SCADA), redes de gestão (OOB) e segmentos de pagamento (PCI-DSS) que dependem de isolamento físico ou lógico como controle de segurança primário. Um host comprometido com acesso a dois segmentos pode atuar como pivô, tornando ineficazes todos os controles de perímetro. A detecção envolve monitoramento de configurações de interface de rede, criação de rotas estáticas não autorizadas, e tráfego entre VLANs que não deveria ocorrer. Logs de switches gerenciados e sistemas NAC (Network Access Control) são fontes primárias de telemetria. ## Indicadores de Detecção - Host com múltiplas interfaces de rede ativas em segmentos distintos sem justificativa documentada - Adição de rota estática permitindo tráfego entre segmentos isolados - Tráfego detectado entre VLANs sem passar por firewall ou ACL de controle - Processo criando interface de rede virtual (TAP/TUN) ou bridge em host de endpoint - Conexão entre zona DMZ e rede interna restrita fora de fluxos autorizados ## Técnicas Relacionadas - [[t1599-network-boundary-bridging|T1599 — Network Boundary Bridging]] - [[t1090-proxy|T1090 — Proxy]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] ## Analytics Relacionadas - [[an0015-analytic-0015|AN0015 — Analytic 0015]] --- *Fonte: [MITRE ATT&CK — DET0006](https://attack.mitre.org/detectionstrategies/DET0006)*