©网络研究院
美国国家安全局 (NSA)、网络安全和基础设施安全局 (CISA) 以及国家情报总监办公室 (ODNI) 发布了一份联合报告,强调了 5G 网络切片实施中最可能存在的风险和潜在威胁.
该报告还提供了缓解建议和框架,用于制定由 5G 网络运营商、集成商和提供商实施的防御和预防战略。
5G 网络切片报告以 5G基础设施的潜在威胁向量为基础,持久安全框架 (ESF) 跨部门工作组去年发表了一篇论文,重点是解决美国国家安全系统安全和稳定面临的风险和威胁。
5G 网络切片是一种配置架构,允许在通用物理基础设施之上创建多个虚拟化和独立的网络。
每个网络切片都是一个隔离的端到端网络,专用于满足每个应用程序的特定要求。
网络切片的潜在应用包括自动车队、虚拟和增强现实解决方案、工业自动化系统等。
网络切片示例 (CISA)
这些应用程序的每个网络切片的用户都针对该特定网络区域进行身份验证,从而实现更广泛的 5G 基础设施和其他切片的数据和安全隔离。
网络切片通过网络功能虚拟化 (NFV) 成为可能,这是 5G 网络的主要优势之一,可为不同用户提供运营效率、弹性以及更高质量的服务和支持。
NFV 基本上消除了对路由器和防火墙等硬件的需求,并将它们虚拟化在基于云的服务器中。它还将所有网络功能移至无线电接口或云端,并动态分配带宽以满足每个用户的性能要求。
此外,NFV 提供更好的监控和日志记录选项,使网络工程师能够更有效地检测异常并防止安全漏洞。
移动网络运营商通过专门的网络管理和网络编排系统 (MANO) 实施 5G 网络切片。
“MANO 系统 [如下所示] 支持跨无线电接入网络 (RAN)、核心网络和传输网络域的切片设计和创建、激活、停用和终止,”该指南解释道。
“虽然有标准定义了网络运营商如何构建其 5G 网络的规范,但对于网络运营商应如何开发和实施网络切片的安全性并没有明确的规范,”该论文提到。
“不当的网络切片管理可能允许恶意行为者访问来自不同网络切片的数据或拒绝优先用户的访问。”
与 5G 网络切片最相关的三个威胁向量是对集中控制元件的拒绝服务(DoS) 攻击、利用配置错误的系统控制的攻击以及对未加密网络通道的中间人 (MitM)攻击。
在 DoS 攻击的情况下,威胁行为者会破坏服务,从而使网络切片对合法用户不可用。
MitM 攻击不仅会威胁泄露机密信息和暴露用户数据,而且还可能允许中间人修改传输的消息,从而导致错误信息。
利用错误配置的攻击可能会产生广泛的影响,因为对手可以利用它们来停用系统监视器和安全功能。
链接多种攻击类型也是可能的,提供可能扩展到单个网络切片之外的潜在破坏性攻击。
CISA 提供了此类攻击的示例,其中威胁行为者对自动驾驶汽车服务进行国际移动用户身份 (IMSI) 缓存攻击,从而降低其性能和可靠性。
攻击者使用 IMSI 缓存来获取车辆的精确位置、货物信息和路线。
接下来,威胁行为者在网络信号位置部署 DoS 攻击以破坏自动驾驶车辆与其控制器之间的链接,然后发起配置攻击以禁用安全功能或更改 VNF 策略。
如果运营商没有实施强大的安全措施来防止未经授权的策略更改,攻击者可以将他们的访问权限扩展到同一基础设施上的其他网络切片。
CISA 建议运营商在四个逻辑层(如下所示)应用网络管理和监控,以尽快识别和解决任何潜在的恶意中断。
此外,该指南建议运营商使用多种网络监控解决方案,因为这些解决方案会生成不同的数据,可用于深入了解未经授权的网络活动。
该白皮书提倡零信任架构的原则,其中不断验证所有登录用户并验证所有网络请求。
这使得入侵者活动不太可能被忽视或产生任何破坏性影响,因为没有用户本质上是可信的,所以他们必然会在多个数据检查点之一被阻止。
常见的零信任策略组件包括多因素身份验证、数据加密、访问控制的多层安全性、跨域边界和实例隔离。
关注回复:5G网络切片潜在威胁
原文始发于微信公众号(网络研究院):NSA分享缓解5G网络切片威胁的技巧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论