研究背景:
5G是在现有通信基础设施上建立的,主要目标是达到七个关键指标(KPI),包括用户体验速率、连接数密度、端到端延时、移动性、流量密度、用户峰值速率、能源效率。然而5G也会带来新的风险,人们必须解决这些问题,以确保政府和私营部门(包括普通公民)安全使用5G网络。尽管5G已经被应用于各个领域,但其成熟演变还需要数年时间,以满足日益增长的数据和通信需求,其中包括容纳数百亿台连接设备的容量、超低延迟(即连接设备之间的通信延迟),以接近实时通信和支持新兴技术所需的更高速率。
但随着5G在各个行业环境的纵向深入融合,物联网供应链将不可避免地面临系统性风险。
5G 供应链容易受到恶意软件和硬件、假冒组件、粗糙设计等风险的威胁,5G 技术特有的吸引力及其仓促部署更是加剧了这种风险,可能导致数据和知识产权被盗、5G 网络的完整性被破坏,或被利用造成系统和网络故障等负面影响。
5G 能够连接数以十亿计的设备,使得 5G 供应链中被引入不可信或假冒组件的风险提高, 这种风险包括破坏 5G 设备或基础设施,最终影响终端用户设备(如计算机、电话和其他设备)。
此外,不可信公司,特别是那些在国际电信网络市场份额中占有重要地位的公司,或背后有政府支持的供应商也可能会加剧供应链风险,例如如果某个国家从供应链遭到破坏的公司购买5G 设备,那么这个国家的数据极易被恶意攻击者拦截、操纵或破坏,当它向国际合作伙伴发送数据时,有可能带来更多风险,因为一个国家的安全网络可能容易受到另一个国家不可信的电信网络威胁。
基于以上对于5G环境中物联网安全风险的风险背景分析,物盾实验室观点如下:
5G网络在云、管、边、端多维度带来了安全风险,同时,2G/3G/4G的一些应用风险在5G中仍然存在,故需针对5G应用的架构,对5G应用进行安全风险分析和梳理。
威胁可以从以下几个方面做分析:
一、网络侧和用户端的主要对象:
1. 网络侧:无线接入网,核心网络,多址边缘计算,物理基础设置,虚拟化设备;
2. 用户端:用户设备、用户/设备标识、用户会话、应用程序数据存储状态、API接口等。
二、风险来源:
1. 内部:超级管理员、内部特权用户、用户行为违规等;
2. 外部:国家背景的攻击者、网络罪犯、职业黑客、竞争对手等。
三、目前已知的4G/5G的攻击情况:
1. 新增攻击场景:流氓云服务提供商滥用,SDN中的内存残留泄漏 、绕过网络虚拟化攻击、边缘网管伪造、边缘网关越权、(边缘)API非受控开发、核心网络的横向访问等;
2. 4G之前的攻击场景:假冒接入的网络节点、IMSI捕捉、会话劫持、网络间信令欺诈、滥用合法拦截、滥用远程访问等。
_——案例表引用自-中国信通院CAICT——
基于以上对5G的应用安全主要集中在数据的机密性、完整性、可用性、应用资源和身份授权、防御抵赖攻击等方向,可采取的保障5G安全的措施有:
1. 建议统一的5G身份管理机制;
2. 实现细粒度用户访问控制;
3. 访问控制策略自动化配置。
物盾安全的安全护航方案:
1. 在已有的身份管理机制下,采用SPA单包认证,为CPE和MEC应用平台之间打开通讯通道,同时植入CPE的agent会再进行一次终端授权访问,将CPE内的本体数据以安全合规的方式输送到MEC边缘环境中。
2. 在用户的细粒度访问控制方面,我方会基于已采取的业务访问流量,建立用户资源访问模型,在终端受到攻击时,根据异常行为模型检测,降低终端信誉度,实时刷新最小权限访问控制,降低终端可访问的服务资源范围,在信用低至临界值时,发出阻断终端会话访问申请,及时阻断。
3. 在访问控制策略自动化配置方面,我方会基于已采取的本体/数据安全信息建立最小信任模型,基于信任和风险两大类因素进行终端应用访问管控,在终端本体遭受威胁时,例如自身的漏洞威胁或外部的流量攻击等,通过风险值的不断增加,降低终端的可信任度。在不同的信任阶段,进行访问控制的自动化配置,以达到最小权限动态访问功能的实现,遏制风险的进一步扩散。
返回顶部
沪公网安备 31011202013059号