Интересное новое исследование по обнаружению коммуникаций технологических систем через Интернет / Uncovering Vulnerable Industrial Control Systems from the Internet Core
В этот раз исследователи провели мониторинг трафика проходящего в уровне провайдера услуг связи ISP (транснациональный трафик) и Internet Exchange Point, IXP (локальный/региональный трафик).
В представленной методике сначала выявлены промышленные протоколы, с применением библиотеки парсеров IT протоколов NDPI, и парсеров промышленных протоколов Wireshark. После чего был исключен трафик нештатного взаимодействия технологических систем: трафик проектов сканирования Censys, Shodan, Rapid7 (Sonar) и Kudelski (почему-то не Fofa и ZoomEye и что такое Kudelski?) а так же трафик атак на ханипоты.
Вывод: штатные коммуникации через Интернет действительно существуют, на уровне IXP (Региональный трафик) они составляют 96% трафика промышленных протоколов, на уровне ISP (транснациональный трафик) – 1,5% всего трафика промышленных протоколов. Причем были обнаружены некоторые ICS хосты необнаруженные сервисами сканирования.
Представленную методику предлагается использовать для долгосрочного мониторинга вредоносной активности, направленной на ICS подключённые к Интернет и информирования владельцев систем и уполномоченные центры реагирования на инциденты.
Кроме этого, полезный перечень источников смежных исследований
https://arxiv.org/pdf/1901.04411