悪意のあるポート・スキャンとその識別方法
Risk Factors
Likelihood
Complexity
Business Impact
悪意のあるポート・スキャンとは ポート・スキャンは、
攻撃者が標的の環境を調べるのに使用する方法です。具体的には、ホスト上の特定のポートにパケットを送信し、その応答を分析することによって脆弱性を発見し、ホスト上で実行中のサービスおよびサービスのバージョンを把握します。まず、攻撃者はネットワーク上でホストの場所を特定し、次に、そのホストをスキャンして目的を達するのに適していそうなポートがないか調べます。一般に、ポート・スキャンでは、以下の3つのカテゴリのいずれかにポートを分類します。オープン: この場合、宛先のホストがパケットに応答します。つまり、そのホストのポート上でパケットがリッスンされており、スキャンに使用されるサービス(通常はTCPまたはUDP)が使用中になっています。
クローズ: ホストがパケットを受信したものの、ポートでパケットをリッスンするために使用されているサービスがありません。
フィルタ済み: パケットがファイアウォールによってフィルタ処理されたか、そのポートでパケットをリッスンしているサービスが許容される形式のトラフィックを受信しなかったため、応答がありません。通常、ポート・スキャンは段階的に実行されます。1. CIDR範囲で最初の1000個のポートをスキャンします。2
. 応答しているデバイス上で最初の1000個のUDPポートをスキャンします。
3. 応答しているポートをスキャンして、それらのポートで実行されているサービスを特定します。
4. 応答しているデバイス上の全65535ポートに対するスキャンを、IDオープンのエフェメラル・ポートにまで拡大します。スキャンの特定の段階で攻撃者が注目しているのは、ID固有のサービス(Active Directory、MSSQL、SMB/CIFS、SSHなど)、およびそれらのホストで実行されているソフトウェアのバージョンです。これにより、攻撃者はネットワーク内にさらなる足場を作るためのエクスプロイトを速やかに選択できます。
悪意のあるポート・スキャンからの保護 ポート・スキャンは正当な目的のために使用されることが多く、
無害なスキャン・アクティビティと悪意のあるスキャン・アクティビティを区別できることが求められます。単純なアプローチによって、単一のIPアドレスでスキャンされるポートの数のようなパターンを探します。異なるポートで1つのIPアドレスが多くのスキャンを実行している場合は、悪意のあるアクティビティの兆候である可能性があります。統計モデルを使用して、スキャン動作がネットワークでの通常の動作基準と異なっているかどうかを判断することもできます。一般に、ネットワーク侵入検知システム(IDS)とファイアウォールは、スキャンを検知するように設定されていますが、スキャナはスキャンの頻度やポートにアクセスする順序を変更するか、送信元アドレスを偽装することによって、検知の回避を試みることができます。機械学習を使用した検知と対応のソリューションにより、個々のネットワークでの正常なスキャン動作について理解を深め、攻撃者が痕跡を隠そうとしても高精度の検知を実現することができます。