正如CES上的炒作所展示的那樣,5G是最新,最閃亮的科技小玩意兒:但安全問題迫在眉睫。
被稱為第五代無線(5G)的下一代移動蜂窩技術正在炒作週期中達到頂峰,本週將成為消費電子展(CES)的主題。無線運營商正在為該技術投入數十億美元,這需要一種全新的網絡基礎設施和管理方法,更不用說新型頻譜了。但是,一旦轉換在今年晚些時候和2020年轉變,收益就是支持新業務模式和收入流的能力,包括大量低延遲,低功耗的工業物聯網(IoT)設備,自動駕駛汽車,智能城市部署,遠程手術以及可與有線和衛星競爭的家庭寬帶和視頻服務。
不足之處?與以往一樣,有人擔心安全可能是事後的想法,在這個最新,最閃亮的科技小玩意兒的熱情中迷失了。
Ixia的應用和威脅情報高級主管Steve McGregory告訴Threatpost,“運營商優先考慮首先進入市場的戰略和效率,而不是保護他們的產品和服務。” “歷史告訴我們,當我們擴展我們的計算能力和連接性時,我們為攻擊者開闢了一個新的環境來對付我們,其中最主要的例子就是雲和連接的物聯網設備。”
他補充說:“誰知道簡單的基於消費者的攝像機將成為歷史上最大的DDoS的基礎?誰知道雲有能力讓黑客收集系統來不斷嘗試暴力網絡呢?“
部署從今年開始
5G周圍的巨大嗡嗡聲是有意義的:它的承諾是:它的目標是提供比現有4G網絡快10到100倍的吞吐量,允許成千上萬的同時用戶接收至少1Gbps,這與頂級的一樣快家裡有線連接。但5G不僅僅是一個更大,更好的LTE版本 - 它的觀點比這更廣泛。
“一般來說,有三個5G系列用例,”5G Americas總裁Chris Pearson解釋道。“有一個增強的移動寬帶(EMBB)要求,為我們今天擁有的同類消費者和商業應用提供更快的速度; 一個巨大的物聯網遊戲,網絡必須設計成處理數十億和數十億的連接,並具有處理不同類型連接的靈活性; 然後是低延遲的機器到機器(M2M)和關鍵通信部分。“
CES 2019展示了一系列新的5G產品,包括D-Link的5G NR增強型網關。
四大 - AT&T,T-Mobile USA,Sprint和Verizon - 所有計劃今年推出有限的5G部署,雖然有些像AT&T一樣,已經在使用“5G”作為營銷術語,儘管有點誤導性的網絡他們聲稱5G不是基於批准的5G標準(並沒有兌現承諾的基準)。真正基於標準的5G網絡今年推出非常緩慢,預計2020年及以後將首次推出廣泛的商業發佈。
這意味著計劃利用改進的網絡連接的運營商和企業仍然有時間在眾所周知的精靈完全脫離瓶子之前解決安全問題。
“儘管5G的早期增長,我們仍處於技術的早期階段,尚未看到它在廣泛的水平上實施,”麥格雷戈裡說。因此,從安全的角度來看,仍然有時間做正確的事情,併為5G帶來的風險做好準備。“
安全問題,新舊問題
在最基本的層面上,5G面臨著與其前任相同的安全隱患,包括身份驗證,機密性,授權,可用性和數據安全性等問題。
2018年,普渡大學的研究人員發現了4G LTE安全漏洞。研究論文LTEInspector:一種用於對抗性測試的系統方法,概述了4G LTE協議中的關鍵程序(附加,分離和分頁)以及如何妥協它們。
“對於蜂窩網絡的許多方面,5G承諾比前幾代更強有力的安全政策,”LTEInspector團隊告訴Threatpost。“但是,由於許多5G協議規範都是從4G和3G網絡傳輸的,因此前幾代未開發的漏洞將保持在5G。然而,由於缺乏對5G規範的正式驗證,新的根深蒂固的漏洞很可能潛伏在5G的新安全策略之下。“
該團隊還指出,由於易受網絡降級攻擊,5G可以繼承一些問題。
單擊以展開
“可能會暴露出敏感信息,例如,可以通過旁道攻擊收集國際移動用戶識別碼(IMSI),”他們說。“這將繼續使惡意行為者攔截電話並跟蹤用戶的位置。此外,在初始連接建立階段缺乏對基站的認證將允許對手將受害者的網絡從5G降級到4G / 3G,從而使他們能夠執行已知的攻擊。
另一個需要考慮的安全方面涉及5G作為物聯網領域創新驅動力的角色。預計它將支持數十億新連接的傳感器和新類別的設備,這將極大地擴展物聯網威脅表面。
這種威脅表面已經非常驚人,設計的安全性證明是罕見的,並且從細分市場(從醫療設備到連接玩具再到智能家用電器)顯示出充斥著漏洞。網絡犯罪分子已經顯示出其潛力接管工業設備和劫持的視頻攝像頭。像Mirai和Reaper這樣包含數百萬受到破壞的物聯網設備的殭屍網絡被用於在2016年發生的大規模DDoS事件中擊敗Reddit,Twitter,紐約時報和Spotify。多年來,搜索引擎 Shodan 突出了迫在眉睫的問題。不安全的連接設備,易受攻擊的相機,工業控制和其他物聯網消費者技術都可以通過其界面輕鬆發現。
所有這一切都將加劇,因為5G允許部署數十億個連接設備。
“5G為我們提供了超連接時代的潛力,幾乎所有東西都連接在一起,”Pen Test Partners的研究員Ken Munro告訴Threatpost。“例如,我們已經發現了我們所看到的每一個跟蹤設備中的漏洞 - 手錶,汽車 - 隱私存在巨大問題,並且只會成倍增長。”
除了眾所周知的問題之外,憑藉其先進的技術,5G還具有全新的安全尺寸。
智能城市是5G將促進的更受歡迎的應用之一。
5G網絡的一個明確特徵是它們嚴重依賴虛擬化和軟件定義的資源。
這將使運營商能夠為各個企業客戶提供定製的“網絡切片”,每個切片都經過獨特定製,以滿足特定垂直和/或企業應用的要求。例如,一片可提供超低延遲和高吞吐量,以支持自動駕駛汽車; 不同的工廠自動化和傳感器應用可能需要低功耗和高可靠性,但吞吐量不高。該網絡方法允許更有效地使用網絡資源。但是,它還需要一個安全框架,以確保每個網絡片彼此完全隔離。
Palo Alto Networks的研究員Peter Margaris在週二的帖子中解釋說:“多個行業的組織將利用5G網絡片段推出變革性業務應用,並在配置這些片段時需要多層安全功能。” 他補充說:“成為5G網絡切片的優質供應商需要為運營商提供新的安全方法,使他們能夠在保護自己的網絡的同時建立品牌資產。組織需要相信他們的敏感數據和應用程序在5G運營商的網絡中受到保護。同樣,運營商需要能夠相信其餘的網絡資源 - 以及對其他客戶的義務 - 完全受到保護,不會被任何一個企業用戶濫用。“
此外,由於網絡切片可以按需實例化,因此它帶來了新的安全要求:安全功能還需要“高度自動化,軟件驅動,並允許安全實例在網絡中的任何位置旋轉一致在需要的地方部署能力,“Margaris指出。
總的來說,5G網絡的領域開闢了一個潛在濫用的新局面,大多數人還沒有考慮過,McGregory說:“最近的Keysight數據顯示我們正在進入5G,就像我們對物聯網和雲計算一樣 - 超過一半(54%)受訪公司已採用5G技術。如果這種趨勢繼續下去,那麼我們必須為不可想象的事情做好計劃和準備。“
他補充說,不可想象的是對企業連接的大規模服務中斷,對物聯網設備的惡意使用以及數百萬甚至數十億美元的損失。
規
在解決問題方面,聯邦和州級法規可以幫助確保5G關注安全性。
例如,在2018年7月,參議員馬克華納發佈了一份關於美國應如何著手製定聯邦數據隱私和安全法的立場文件。該文件包含“美國可以採用反映歐盟通用數據保護條例(GDPR)的規則”的聲明,其中包括數據可移植性,被遺忘權,72小時數據洩露通知,第一方同意和其他主要數據保護。“
還有一些監管工具已經到位。例如,聯邦貿易委員會(FTC)已經發布了一套 指導方針, 供企業遵循以更好地保護消費者隱私和安全。FTC的指南提出了建議,包括使用多層安全性以及設計安全性。
此外,加利福尼亞州一直在2018年採取積極的立法行動,以解決居民對數據隱私和安全的擔憂。州立法機構將注意力轉向連接設備和物聯網,並將信息隱私:連接設備立法(SB-327 和 AB-1906)於9月28日簽署成為法律,是全國第一部解決物聯網安全問題的法律。
同時, 加利福尼亞州消費者隱私法案 (CCPA)於6月通過,並賦予居民關於如何存儲,訪問,銷售和刪除其個人數據的某些權利。它還為居民提供“選擇退出”,使他們收集數據而不會受到企業的處罰。
此外,還提出 了2017年物聯網網絡安全改進法案,這是一項尚未通過的法案,該法案將指示政府機構在合同中加入條款,要求美國政府將收購任何物聯網設備的安全功能。
但總的來說,監管方面有足夠的空間來制定更具凝聚力的政策以確保5G的安全。
差異化機會
除了監管之外,移動網絡運營商確實有專注於安全維度的商業激勵。例如,根據5G網絡供應商愛立信的數據,到2026年,自動化和工業數字化將為運營商帶來約6190億美元的新收入機會(可尋址收入增長36%)。Margaris表示,在搶佔這些機遇的過程中,為行業提供網絡安全功能將成為這些服務的根本區別。
“組織將重點關注所提供的網絡安全性,並將其與5G應用程序聯繫起來,作為他們選擇服務和/或切片提供商的關鍵因素,”他預測道。“通過提供超越連接的真正價值,運營商將有機會成為這個5G世界的'安全業務推動者'。”
這一價值來自於提供自助服務和按需服務創造的能力; 操作員可以將控制權交給組織來設計自己的服務,包括安全功能,而不是創建固定的網絡切片菜單。
“差異化的5G網絡將成為抓住這一市場機遇的關鍵,”Margaris說。“安全是關鍵的區分因素。網絡切片的後續演進將需要額外的安全功能,並且可以更靈活地將不同的安全功能連接到給定的切片。“
最重要的是,5G即將出現,並有望代表無線行業的一個步驟。安全性在大肆宣傳中仍有待觀察。
閱讀更多 專注黑客事件直播報 的文章
