Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Sorry, Shodan is not Enough! Assessing ICS Security via IXP Network Traffic Analysis.

G. Barbieri, Mauro Conti|arXiv (Cornell University)|2020. 07. 02.
Network Security and Intrusion Detection인용 수 5
한 줄 요약

이 논문은 Shodan의 수동 스캐닝을 보완하기 위해 sFlow 샘플링을 활용한 대규모 IXP 트래픽 분석을 통해 인터넷을 통해 통신하는 산업 제어 시스템(ICS)을 식별한다. 연구 결과, Shodan는 실제 산업 트래픽을 교환하는 ICS 호스트의 98% 이상을 놓치며, 이 중 75.6%는 암호화되지 않고 보호되지 않은 통신 방식을 사용하고 있음을 확인했다.

ABSTRACT

Modern Industrial Control Systems (ICSs) allow remote communication through the Internet using industrial protocols that were not designed to work with external networks. To understand security issues related to this practice, prior work usually relies on active scans by researchers or services such as Shodan. While such scans can identify public open ports, they are not able to provide details on configurations of the system related to legitimate Industrial Traffic passing the Internet (e.g., source-based filtering in Network Address Translation or Firewalls). In this work, we complement Shodan-only analysis with large-scale traffic analysis at a local Internet Exchange Point (IXP), based on sFlow sampling. This setup allows us to identify ICS endpoints actually exchanging Industrial Traffic over the Internet. Besides, we are able to detect scanning activities and what other type of traffic is exchanged by the systems (i.e., IT traffic). We find that Shodan only listed less than 2% of hosts that we identified as exchanging Industrial Traffic. Even with manually triggered scans, Shodan only identified 7% of them as ICS hosts. This demonstrates that active scanning-based analysis is insufficient to understand current security practices in ICS communications. We show that 75.6% of ICS hosts rely on unencrypted communications without integrity protection, leaving those critical systems vulnerable to malicious attacks.

연구 동기 및 목표

  • 인터넷에서 실제 산업 제어 통신을 식별하는 데 있어 Shodan와 같은 수동 스캐닝 도구의 한계를 해결하기 위해.
  • 공개 네트워크에서 ICS 시스템이 실제로 교환하는 산업 트래픽의 규모와 특성에 대해 조사하기 위해.
  • ICS 호스트와 관련된 스캐닝 활동 및 비산업(정보기술, IT) 트래픽 패턴을 탐지하기 위해.
  • 특히 암호화 및 무결성 보호 측면에서 실제 트래픽 기반으로 ICS 시스템의 보안 상태를 평가하기 위해.

제안 방법

  • 다양한 ISP를 통해 실시간 네트워크 트래픽을 캡처하고 분석하기 위해 지역 인터넷 교환점(IXP)에서 sFlow 샘플링을 활용한다.
  • 프로토콜 지문 분석 및 트래픽 패턴 분석을 적용하여 전달 중인 산업 제어 프로토콜(예: DNP3, Modbus)을 식별한다.
  • 식별된 ICS 트래픽을 Shodan의 공개 포트 스캔 결과와 비교하여 탐지 범위를 상호 비교한다.
  • 페이로드 및 행동적 특성 기반으로 트래픽을 산업, 스캐닝, IT, 알 수 없는 카테고리로 분류한다.
  • 암호화 및 무결성 메커니즘을 분석하여 프로토콜 필드를 통해 암호 보호 수준을 평가한다.
  • 통계적 샘플링 및 필터링을 활용하여 시스템 수준의 노출도 및 구성 위험을 추정한다.

실험 결과

연구 질문

  • RQ1실제로 산업 트래픽을 교환하는 ICS 호스트의 수는 수동 IXP 모니터링를 통해 확인된 수와 Shodan를 통해 확인된 수와 비교해 얼마나 되는가?
  • RQ2ICS 시스템에서 산업 프로토콜과 함께 교환되는 비산업 트래픽(예: 스캐닝, IT 트래픽)의 유형은 무엇인가?
  • RQ3Shodan를 통한 수동 스캐닝은 실제로 산업 트래픽을 교환하는 ICS 호스트를 얼마나 높은 비율로 탐지하지 못하는가?
  • RQ4실제 산업 현장에서의 ICS 구현 사례에서 암호화되지 않은 통신 및 인증되지 않은 통신의 보편성은 어느 정도인가?

주요 결과

  • Shodan는 실시간 IXP 모니터링를 통해 확인된 산업 트래픽을 교환하는 ICS 호스트의 2% 미만을 식별했다.
  • 수동으로 트리거된 스캔을 수행한 후에도 Shodan는 트래픽 분석을 통해 식별된 ICS 호스트 중 7%만 산업 시스템으로 인식했다.
  • 관측된 ICS 호스트의 75.6%는 무결성 보호 없이 암호화되지 않은 통신 방식을 사용하여 중간자 공격 및 위조 공격에 노출되어 있었다.
  • ICS 호스트의 상당 부분이 스캐닝 트래픽을 교환하고 있음을 확인하여 자동화된 탐색 공격에 노출되어 있음을 시사했다.
  • SSH 및 HTTP를 포함한 비산업(정보기술, IT) 트래픽이 ICS 호스트에서 빈번히 관측되어 공격 표면이 증가했다.
  • 이 연구는 수동 스캐닝만으로는 실제 산업 제어 시스템의 보안 상태를 평가하는 데 부적절하며, 높은 탐지 격차가 존재함을 입증했다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.