[論文レビュー] Sorry, Shodan is not Enough! Assessing ICS Security via IXP Network Traffic Analysis.
本稿では、sFlowサンプリングを用いた大規模なIXPトラフィック分析を通じて、インターネットを介して通信する産業制御システム(ICS)を同定する手法を提案している。これは、Shodanの能動的スキャンを補完するものである。その結果、Shodanは実際の産業トラフィックを交換するICSホストの98%以上を逃れていることが判明しており、その75.6%は暗号化されておらず、保護されていない通信を用いている。
Modern Industrial Control Systems (ICSs) allow remote communication through the Internet using industrial protocols that were not designed to work with external networks. To understand security issues related to this practice, prior work usually relies on active scans by researchers or services such as Shodan. While such scans can identify public open ports, they are not able to provide details on configurations of the system related to legitimate Industrial Traffic passing the Internet (e.g., source-based filtering in Network Address Translation or Firewalls). In this work, we complement Shodan-only analysis with large-scale traffic analysis at a local Internet Exchange Point (IXP), based on sFlow sampling. This setup allows us to identify ICS endpoints actually exchanging Industrial Traffic over the Internet. Besides, we are able to detect scanning activities and what other type of traffic is exchanged by the systems (i.e., IT traffic). We find that Shodan only listed less than 2% of hosts that we identified as exchanging Industrial Traffic. Even with manually triggered scans, Shodan only identified 7% of them as ICS hosts. This demonstrates that active scanning-based analysis is insufficient to understand current security practices in ICS communications. We show that 75.6% of ICS hosts rely on unencrypted communications without integrity protection, leaving those critical systems vulnerable to malicious attacks.
研究の動機と目的
- Shodanのような能動的スキャンツールが、インターネット上での実世界のICS通信を同定する際に抱える限界を是正すること。
- 公開ネットワーク上でICSシステムが実際に交換している産業トラフィックの量と性質を調査すること。
- ICSホストに関連するスキャン活動および非産業的(IT)トラフィックパターンを同定すること。
- 特に暗号化および整合性保護の観点から、実際のトラフィックに基づいたICSシステムのセキュリティポリシーを評価すること。
提案手法
- 複数のISPをカバーする複数のISP間接続ポイント(IXP)でsFlowサンプリングを活用し、リアルタイムのネットワークトラフィックを収集・分析すること。
- プロトコルファーザーピングおよびトラフィックパターン分析を適用し、送信中の産業制御プロトコル(例:DNP3、Modbus)を同定すること。
- 同定されたICSトラフィックをShodanの公開ポートスキャン結果と照合し、検出カバレッジを比較すること。
- ペイロードおよび行動的特徴に基づき、トラフィックを産業用、スキャン、IT、不明のカテゴリに分類すること。
- プロトコルフィールドの分析を通じて暗号化および整合性保護メカニズムの有無を評価すること。
- 統計的サンプリングおよびフィルタリングを用いて、システムレベルの露出度および設定上のリスクを推定すること。
実験結果
リサーチクエスチョン
- RQ1能動的IXPモニタリングにより検出された実際の産業トラフィックを交換するICSホストの数は、Shodanによる検出と比べてどの程度か?
- RQ2ICSシステム上で産業プロトコルと併せて交換されている非産業的トラフィック(例:スキャン、ITトラフィック)の種別は何か?
- RQ3Shodanによる能動的スキャンは、実際に産業トラフィックを交換しているICSホストをどの程度の割合で検出できていないか?
- RQ4実世界のICS展開において、暗号化されておらず認証が行われていない通信がどれほど広範にわたって使用されているか?
主な発見
- Shodanは、能動的IXPモニタリングにより検出された産業トラフィックを交換するICSホストの2%未満しか同定できなかった。
- 手動でスキャンを発動しても、Shodanはトラフィック分析で同定されたICSホストのうち7%しか産業システムとして認識できなかった。
- 観察されたICSホストの75.6%は、暗号化されておらず、整合性保護も行われていない通信を用いており、中間者攻撃や偽装攻撃のリスクにさらされている。
- ICSホストの顕著な割合がスキャントラフィックを交換しており、自動化されたレコネッサンス攻撃の対象となっていることが示唆された。
- SSHやHTTPを含む非産業的(IT)トラフィックが、ICSホストで頻繁に観察され、攻撃面が拡大している。
- 本研究では、能動的スキャンのみでは、検出ギャップが著しく高いことから、実世界のICSセキュリティを評価するには不十分であることが示された。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。