- A+
正如CES上的炒作所展示的那样,5G是最新,最闪亮的科技小玩意儿:但安全问题迫在眉睫。
被称为第五代无线(5G)的下一代移动蜂窝技术正在炒作周期中达到顶峰,本周将成为消费电子展(CES)的主题 。 无线运营商正在为该技术投入数十亿美元,这需要一种全新的网络基础设施和管理方法,更不用说新型频谱了。 但是,一旦转换在今年晚些时候和2020年转变,收益就是支持新业务模式和收入流的能力,包括大量低延迟,低功耗的工业物联网(IoT)设备,自动驾驶汽车,智能城市部署,远程手术以及可与有线和卫星竞争的家庭宽带和视频服务。
不足之处? 与以往一样,有人担心安全可能是事后的想法,在这个最新,最闪亮的科技小玩意儿的热情中迷失了。
Ixia的应用和威胁情报高级主管Steve McGregory告诉Threatpost,“运营商优先考虑首先进入市场的战略和效率,而不是保护他们的产品和服务。” “历史告诉我们,当我们扩展我们的计算能力和连接性时,我们为攻击者开辟了一个新的环境来对付我们,其中最主要的例子就是云和连接的物联网设备。”
他补充说:“谁知道简单的基于消费者的摄像机将成为历史上最大的DDoS的基础? 谁知道云有能力让黑客收集系统来不断尝试暴力网络呢?“
部署从今年开始
5G周围的巨大嗡嗡声是有意义的:它的承诺是:它的目标是提供比现有4G网络快10到100倍的吞吐量,允许成千上万的同时用户接收至少1Gbps,这与顶级的一样快家里有线连接。 但5G不仅仅是一个更大,更好的LTE版本 - 它的观点比这更广泛。
“一般来说,有三个5G系列用例,”5G Americas总裁Chris Pearson解释道。 “有一个增强的移动宽带(EMBB)要求,为我们今天拥有的同类消费者和商业应用提供更快的速度; 一个巨大的物联网游戏,网络必须设计成处理数十亿和数十亿的连接,并具有处理不同类型连接的灵活性; 然后是低延迟的机器到机器(M2M)和关键通信部分。“
四大 - AT&T,T-Mobile USA,Sprint和Verizon - 所有计划今年推出有限的5G部署,虽然有些像AT&T一样, 已经在使用“5G”作为营销术语 ,尽管有点误导性的网络他们声称5G不是基于批准的5G标准(并没有兑现承诺的基准)。 真正基于标准的5G网络今年推出非常缓慢,预计2020年及以后将首次推出广泛的商业发布。
这意味着计划利用改进的网络连接的运营商和企业仍然有时间在众所周知的精灵完全脱离瓶子之前解决安全问题。
“尽管5G的早期增长,我们仍处于技术的早期阶段,尚未看到它在广泛的水平上实施,”麦格雷戈里说。 因此,从安全的角度来看,仍然有时间做正确的事情,并为5G带来的风险做好准备。“
安全问题,新旧问题
在最基本的层面上,5G面临着与其前任相同的安全隐患,包括身份验证,机密性,授权,可用性和数据安全性等问题。
2018年,普渡大学的研究人员发现了4G LTE安全漏洞。 研究论文LTEInspector:一种用于对抗性测试的系统方法 ,概述了4G LTE协议中的关键程序(附加,分离和分页)以及如何妥协它们。
“对于蜂窝网络的许多方面,5G承诺比前几代更强有力的安全政策,”LTEInspector团队告诉Threatpost。 “但是,由于许多5G协议规范都是从4G和3G网络传输的,因此前几代未开发的漏洞将保持在5G。 然而,由于缺乏对5G规范的正式验证,新的根深蒂固的漏洞很可能潜伏在5G的新安全策略之下。“
该团队还指出,由于易受网络降级攻击,5G可以继承一些问题。
“可能会暴露出敏感信息,例如,可以通过旁道攻击收集国际移动用户识别码(IMSI),”他们说。 “这将继续使恶意行为者拦截电话并跟踪用户的位置。 此外,在初始连接建立阶段缺乏对基站的认证将允许对手将受害者的网络从5G降级到4G / 3G,从而使他们能够执行已知的攻击。
另一个需要考虑的安全方面涉及5G作为物联网领域创新驱动力的角色。 预计它将支持数十亿新连接的传感器和新类别的设备,这将极大地扩展物联网威胁表面。
这种威胁表面已经非常惊人,设计的安全性证明是罕见的,并且从细分市场(从医疗设备到连接玩具再到智能家用电器)显示出充斥着漏洞。 网络犯罪分子已经展示了接管工业设备和劫持摄像机的潜力。 像Mirai和Reaper这样包含数百万受到破坏的物联网设备的僵尸网络被用于在2016年发生的大规模DDoS事件中击败Reddit,Twitter,纽约时报和Spotify。多年来,搜索引擎Shodan突出了迫在眉睫的问题。不安全的连接设备,易受攻击的相机,工业控制和其他物联网消费者技术都可以通过其界面轻松发现。
所有这一切都将加剧,因为5G允许部署数十亿个连接设备。
“5G为我们提供了超连接时代的潜力,几乎所有东西都连接在一起,”Pen Test Partners的研究员Ken Munro告诉Threatpost。 “例如,我们已经发现了我们所看到的每一个跟踪设备中的漏洞 - 手表,汽车 - 隐私存在巨大问题,并且只会成倍增长。”
除了众所周知的问题之外,凭借其先进的技术,5G还具有全新的安全尺寸。
5G网络的一个明确特征是它们严重依赖虚拟化和软件定义的资源。
这将使运营商能够为各个企业客户提供定制的“网络切片”,每个切片都经过独特定制,以满足特定垂直和/或企业应用的要求。 例如,一片可提供超低延迟和高吞吐量,以支持自动驾驶汽车; 不同的工厂自动化和传感器应用可能需要低功耗和高可靠性,但吞吐量不高。 该网络方法允许更有效地使用网络资源。 但是,它还需要一个安全框架,以确保每个网络片彼此完全隔离。
Palo Alto Networks的研究员Peter Margaris在周二的帖子中解释说:“多个行业的组织将利用5G网络片段推出变革性业务应用,并在配置这些片段时需要多层安全功能。” 他补充说:“成为5G网络切片的优质供应商需要为运营商提供新的安全方法,使他们能够在保护自己的网络的同时建立品牌资产。 组织需要相信他们的敏感数据和应用程序在5G运营商的网络中受到保护。 同样,运营商需要能够相信其余的网络资源 - 以及对其他客户的义务 - 完全受到保护,不会被任何一个企业用户滥用。“
此外,由于网络切片可以按需实例化,因此它带来了新的安全要求:安全功能还需要“高度自动化,软件驱动,并允许安全实例在网络中的任何位置旋转一致在需要的地方部署能力,“Margaris指出。
总的来说,5G网络的领域开辟了一个潜在滥用的新局面,大多数人还没有考虑过,McGregory说:“最近的Keysight数据显示我们正在进入5G,就像我们对物联网和云计算一样 - 超过一半(54%)受访公司已采用5G技术。 如果这种趋势继续下去,那么我们必须为不可想象的事情做好计划和准备。“
他补充说,不可想象的是对企业连接的大规模服务中断,对物联网设备的恶意使用以及数百万甚至数十亿美元的损失。
规
在解决问题方面,联邦和州级法规可以帮助确保5G关注安全性。
例如,在2018年7月,参议员马克华纳发布了一份关于美国应如何着手制定联邦数据隐私和安全法的立场文件。 该文件包含“美国可以采用反映欧盟通用数据保护条例(GDPR)的规则”的声明,其中包括数据可移植性,被遗忘权,72小时数据泄露通知,第一方同意和其他主要数据保护。“
还有一些监管工具已经到位。 例如,联邦贸易委员会(FTC)已经发布了一套指导方针,供企业遵循以更好地保护消费者隐私和安全。 FTC的指南提出了建议,包括使用多层安全性以及设计安全性。
此外,加利福尼亚州一直在2018年采取积极的立法行动,以解决居民对数据隐私和安全的担忧。 州立法机构将注意力转向连接设备和物联网,并将信息隐私:连接设备立法( SB-327和AB-1906 )于9月28日签署成为法律,是全国第一部解决物联网安全问题的法律。
同时, 加利福尼亚州消费者隐私法案 (CCPA)于6月通过,并赋予居民关于如何存储,访问,销售和删除其个人数据的某些权利。 它还为居民提供“选择退出”,使他们收集数据而不会受到企业的处罚。
此外,还提出了2017年物联网网络安全改进法案 ,这是一项尚未通过的法案,该法案将指示政府机构在合同中加入条款,要求美国政府将收购任何物联网设备的安全功能。
但总的来说,监管方面有足够的空间来制定更具凝聚力的政策以确保5G的安全。
差异化机会
除了监管之外,移动网络运营商确实有专注于安全维度的商业激励。 例如,根据5G网络供应商爱立信的数据,到2026年,自动化和工业数字化将为运营商带来约6190亿美元的新收入机会 (可寻址收入增长36%)。 Margaris表示,在抢占这些机遇的过程中,为行业提供网络安全功能将成为这些服务的根本区别。
“组织将重点关注所提供的网络安全性,并将其与5G应用程序联系起来,作为他们选择服务和/或切片提供商的关键因素,”他预测道。 “通过提供超越连接的真正价值,运营商将有机会成为这个5G世界的'安全业务推动者'。”
这一价值来自于提供自助服务和按需服务创造的能力; 操作员可以将控制权交给组织来设计自己的服务,包括安全功能,而不是创建固定的网络切片菜单。
“差异化的5G网络将成为抓住这一市场机遇的关键,”Margaris说。 “安全是关键的区分因素。 网络切片的后续演进将需要额外的安全功能,并且可以更灵活地将不同的安全功能连接到给定的切片。“
最重要的是,5G即将出现,并有望代表无线行业的一个步骤。 安全性在大肆宣传中仍有待观察。
Mike Meikle对本报告做出了贡献。