根据诺基亚最近发布的《威胁情报报告2020》中的数据,被黑客侵入的物联网设备从 2019 年至 2020 年,呈现 102.4% 的增长,目前 32.72% 的移动互联网攻击来自物联网。

5G 时代的网络挑战

5G 引入了更高的带宽、超可靠低延迟通信,以及支持大规模物联网连接。大家对 5G 的期待不断提高。蜂窝网技术一直以来都是行业标准,被认为是安全的设计。从规范的角度来看,5G 提供了比以往技术更强的安全功能,比如引入统一认证、更灵活的安全策略来适应不同的使用需求(例如:基于安全服务的架构和切片隔离等)。

但是,5G 系统依旧是通过网络承接的。随着物联网和工业4.0的发展与变革,大量新型设备将接入网络,这就带来了新的攻击方式和漏洞类型。此外,5G 技术的低延迟和高带宽能力增加了攻击的潜在规模(例如DDoS)。同时,5G 利用 SDN(软件定义网络)、NFV(网络功能虚拟化)、云、MEC(多接入边缘计算)等一系列新技术,这些新技术和多层架构增加了攻击暴露面,这也是对传统 IAM 系统的挑战

随着 5G 从概念走向落地,大规模的物联网连接、多样化的服务、新的云端基础架构,这三股关键的市场力量,加重了 5G 时代的安全考量:

让我们看一下,这三股力量具体如何加重了安全考量:

(1) 5G 安全与大规模物联网连接

5G 满足了从可穿戴设备到智慧城市"万物互联"的独特需求。根据国际知名咨询机构 Gartner 的预测,到 2023 年,接入的设备数量将达到 250 亿台。由于 5G,我们可以看到物联网广泛应用的未来,但反过来说,它也将带来更复杂的安全攻击。

5G 时代的大规模物联网连接所引发的重要问题是增加了带宽(网络上接入了更多设计不佳的设备)和超低延迟(这些设备可以相互通信),导致攻击可能疯狂蔓延。大规模物联网设备的安全可以分为三个方面:

规模化

多样性

关键性

考虑到物联网和工业 4.0 大量各种类型不相同的新设备(如前图所示)将与众多应用同时连接到网络上。有些设备开发资源受限,即在设计时没有考虑有效的安全防护功能;有些设备功能强大而且智能,但可能被黑客操纵而引发更具危害性的攻击。另外因为无线设备之间的差异性和可扩展性问题,现有的认证机制可能并不适用。

此外,由于设备、应用和架构施由不同厂商开发和部署的,缺乏统一的标准和一个共同的架构来增加安全性。由此可以预见将会有呈指数级增长的威胁发生,从硬编码凭证(有些设备有一个可被利用的“主密码“),到未打补丁的漏洞(无论配置,攻击者都可以用来控制设备)。所以,5G 时代需要一个更全面、更综合的安全解决方案,而不是简单的依靠为解决某类特定问题而设计的产品

因此,关于 5G 时代大规模物联网接入来说,各种安全要素是必要的,尤其是考虑到特定业务应用的关键性和复杂性(例如:升级/安装设备、监控和数据采集系统、策略等)。下图是一个典型的 5G 时代 DDoS 攻击场景:

(2) 5G 安全与多样化的服务

5G 利用更复杂的网络技术,如网络切片和 CUPS(控制平面与用户平面分离)技术来支持多元化的服务需求。这些技术越来越被视为 5G 的基础,但也带来了新的安全挑战,如不同网络切片之间的分离,以及不同的安全机制。由于网络切片的多域性和复杂性,网络切片本身的运维是非常复杂的,叠加安全要求就变得更为复杂。此外,网络切片还是一个新兴的概念,没有广泛的商业部署,这意味着在安全方面存在很多潜在的不确定性。以下总结了与网络切片相关的几个潜在安全问题:

资源共享:虽然网络切片的一个基本前提是网络要被刻画成离散的、自成一体的单元;但在许多情况下,每个切片仍然必须利用全网资源。当多个网络切片在一个共同的硬件平台上实施时,切片必须隔离共享基础设施上的资源和数据。切片之间的隔离是一个问题,主要的安全问题涉及不良行为者通过“较低的“安全切片获得更广泛的网络访问

跨域安全:在传统的单片网络架构中,攻击者通过单一入口就能获取一系列其它网络资源并不常见。然而,5G 时代的网络切片技术是按需提供的,利用基于 SDN 的编排来建立、摧毁或改变。因此,跨域网络的编排可能形成一个入口,使攻击者可以进入多个网络域或切片。

认证与授权:为了支持各类用户设备,越来越多的网络切片出现了,这也使潜在攻击相应增加。一个用户端点可以同时通过各类网络接入方式访问不同网络切片提供的各类服务。用户端点必须经过认证和授权才能接入特定的网络切片,否则用户在网络切片选择过程中使用的隐私信息可能被拦截或窃听,未经授权的用户也可能以内部人员的身份接入自己没有权限的网络切片并耗尽资源。如果在网络选择的授权上没有适当的安全机制,就会使网络面临各类攻击(例如:身份冒充、DDoS等)。

(3) 5G 安全与云端基础架构

5G网络将大量利用新的云/虚拟化技术,如 SDN(软件定义网络)、NFV(网络功能虚拟化)以及 MEC(多接入边缘计算),以满足日益增长的用户和服务需求。这些新技术的开放性、灵活性和可编程性反而开辟了一条新的威胁途径。面临的主要安全挑战来自于:

SDN(软件定义网络):“软件化“的网络严重依赖逻辑上集中的控制。这种集中控制架构带来了新的安全隐患(例如:如果恶意软件从被入侵的控制器中获得访问权限,就可能破坏网络)。此外,SDN 控制器会更新或修改数据转发元素中的流量规则。这种控制信息很容易被黑客识别,使其成为网络中可见的实体,并将其标记为 DDoS 攻击的首选。

NFV(网络功能虚拟化):操作干扰和滥用共享资源被认为是基础设施层面的关键安全威胁。由于物理层面基础设施资源的共同可访问性,攻击者可以通过注入恶意软件或操纵网络流量来干扰基础设施的运行。此外,NFV 本身也容易收到与虚拟化相关的威胁,如侧通道攻击、泛滥攻击、管理程序挟持和恶意软件注入等。

云和 MEC:云计算系统由各种资源组成,用户互相共享,因此用户有可能传播恶意流量,破坏整个系统的性能,消耗更多的资源,或者匿名访问其他用户的资源。在 MEC 方面,主要的安全问题是在云端物联网环境,以及开放 API 的情况。例如,如果在边缘的虚拟化功能边界泄露了敏感的资产,攻击者可以恶意复用这些资产来获得连接,或者进行欺诈、窃听或数据篡改等攻击。

开源代码:开源代码软件使用的增多也带来了一系列全新的安全挑战,尤其在开发安全的一致性和安全漏洞的防护性没有保持一致和连贯的情况下。

5G 时代的安全策略

5G 时代的安全策略应围绕“零信任”展开,通过“零信任”构建新的信任模型和管理方式,并结合纵深防御、持续性及自适应,为企业网络安全保驾护航。

(1)零信任

传统的安全模式是“城堡和护城河“的概念,这种模式的最大问题在于其保护外围的设计,意味着一旦攻击者获得对内部的访问,就可以自由地控制一切。在5G时代,人们通常需要通过智能设备、云服务和边缘计算接入网络,使得外围安全模式不足以保护。主要挑战来自:

更多外部用户和未托管设备访问系统;

企业内部用户更频繁地从企业外部访问应用和 SaaS 服务;

更多的边缘流量对服务进行访问;

基于互联网协议的流量限制了移动设备用户对应用和服务进行访问;

IP 地址经常失效;

对于使用虚拟机、容器和无服务器设计的云架构,IP地址是动态变换的。

鉴于 5G 时代攻击复杂性和来自企业内部安全威胁的增多,安全防护需要一种新的信任模型,即基于”永不信任,持续认证,最小特权“的零信任网络安全模型。在零信任网络安全模型的概念下,对用户和设备的信任进行行为评估,同时对被访问的数据、应用或交易的风险进行评估。对于工作负载和应用程序,信任应该基于工作负载的上下文进行评估,包括身份、正在运行的应用/服务、正在处理的数据以及任何相关的标签/标识。安全模式的变化以及通过减少攻击暴露面来降低风险,已成为一种新的趋势。

零信任网络安全模型中最适合在 5G 时代实现的安全技术是 SDP(软件定义边界)。在 5G 时代,任何设备随时随地访问应用和服务将是新常态,所以接入策略需要制定。SDP 的价值是构建了一个从用户角度看,不存在“内“和”外“的网络。在这种模式下,用户不需要根据自己所处的环境、时间或使用的设备来调整访问方式。网络本身为他们做了决定。

(2)纵深防御

实施 5G 纵深防御离不开提升安全编排、自动化、智能化能力。当下的网络安全有一个现象:每一个解决方案都是为了解决一个特定类型的问题。在这种情况下,各类解决方案被孤立于彼此,并且不集成在一起,这妨碍了攻击检测和抑制之间的时间,同时大量未集成的保护层难以管理。

5G 的漏洞要从多方面考虑,管理 5G 安全意味着在管理大量设备和应用之间的平衡,这需要在不断变化的威胁环境中保持创新性和敏捷性。并且,用户的安全需求时常会根据情况而改变,所以企业需要更全面地了解漏洞,并更广泛地防范各类威胁。

因此,结合纵深防御是有必要的。纵深防御可以作为粘合剂,将所有孤立于彼此的安全解决方案/技术集成在一起,在正确的时候与正确的人分享正确的情报。最终实现一个由情报和分析驱动,通过增强的安全编排,自动实现以下安全目标的安全架构:

从各类安全产品中监控行为,获得跨越设备、IT、传输、无线电和核心网,整体并集中的安全视图;

协调不同的安全产品来构建上下文,将以前被孤立的信息转化为具有可视性、态势感知的防御(包括应用感知、身份感知和内容感知),缩短从检测到保护的时间;

协助多个同时发生的项目和事件,按优先顺序列出,提供对整体威胁的优先级视图,帮助安全人员梳理优先级顺序,并基于攻击面和业务的上下文自动化执行安全行为,减少人力和顺序混乱而产生的成本;

增强安全自动化水平。5G 网络中的动态性(用户的移动性、对应用使用和数据速度的要求、网络条件的变化)需要实现自动执行,以提高向所有 5G 用户提供 5G 服务的性能。

5G 生态系统的复杂性和规模性,再加上缺乏以软件为中心的安全的技能与培训,使 AI(人工智能)成为 5G 安全的要点。ML(机器学习)和 AI 使企业能够对来自世界各地的威胁作出实时响应。因此,将 AI 嵌入安全运维是未来大势所趋,但同时也需注意 AI 及 ML 自身的安全问题,糟糕的模型和算法可能反而会增加攻击面,暴露出更多的安全漏洞。

(3)持续性&自适应

实施具有持续性和自适应的安全架构,将安全思路从"事件响应"转变为"持续响应",将有助于巩固 5G 安全。预防和检测是传统企业安全防范的关键,然而 5G 业务是建立在设备、软件、流程和人员的智能网状结构之上的,它暴露了一个更加复杂且动态的世界,这也致使了新的安全挑战,包括:

5G 业务产生了对高效性和敏捷性的迫切需求,包括信息安全和风险管理;

5G 威胁环境不断改变并发展,针对新型 IT 和业务架构的威胁和攻击类型不断增加;

随着各组织越来越多地使用基于云的系统和开放的 API 来构建下一代商业生态系统,仅仅依靠预防和检测的外围防御和基于策略的安全(如防病毒和防火墙)效果越来越差

为了安全地实现 5G 业务,安全和风险管理的领导者需要采用一种自适应的、无处不在的、持续不断的安全战略,通过具有持续性、自适应性的安全架构和安全策略,在 5G 时代下实现平衡风险、信任、时机的实时策略。

最后修改:2021 年 04 月 27 日 06 : 28 PM