NSA和CISA发布关于保护5G云基础设施的安全指南第一部分--预防和检测横向移动

美国国家安全局和国土安全部的网络安全和基础设施安全局(CISA)当地时间10月28日发布了保护5G云基础设施的一系列指导文件中的第一份，关于保护云原生5G网络免受旨在通过拆除云基础设施来破坏信息或拒绝访问的攻击的指南，该第一部分的主题是防止和检测横向移动。该指南来自于持久安全框架(ESF)，ESF是一个由NSA、CISA、国防部、情报界以及 IT、通信和国防工业基础公司之间的公私合作伙伴关系。NSA表示，该5G安全指南的另外三部分将在未来几周内发布。

 概要

5G 网络依靠云基础设施来实现敏捷性、弹性和可扩展性。这些网络需要安全，因为它们将成为希望造成中断或破坏信息的威胁行为者的诱人目标。

这一重大的安全挑战源于多个移动网络运营商共享物理基础设施。CISA和NSA 强调，云提供商和移动运营商需要分担安全责任，运营商负责保护他们的云租赁。

NSA指出，虽然保护边界很重要，但如果威胁行为者设法突破边界，采取措施限制横向移动也很重要。限制5G云网络中横向移动的建议包括实施安全身份和访问管理、保持5G云软件更新以确保其不受已知漏洞的影响、安全配置网络、锁定隔离网络功能之间的通信、监控横向移动迹象，并开发和部署分析以检测复杂威胁行为者的存在。

虽然这些建议主要针对云提供商和移动网络运营商，但有些也适用于客户。

本指南的其他三个部分将重点关注隔离网络资源、在数据生命周期的所有阶段(传输、使用和静止)保护数据，以及确保基础设施的完整性。

根据美国国家安全局(National security Agency)的新指导意见，人工智能和机器学习系统可能帮助5G云提供商检测出复杂的攻击者和其他安全事件的存在。尽管技术供应商必须在数据保密要求和检查网络流量的能力之间取得平衡，但复杂的实时持续监控在检测恶意使用云资源方面可能至关重要。

“5G云堆栈各层的利益相关者应该利用一个分析平台来开发和部署分析，处理该层可用的相关数据(云日志和其他遥测数据)。分析应该能够检测已知和预期的威胁，但也应设计为识别数据中的异常，可能表明未预料的威胁，”该机构在文件中说。5G云是指与5G网络的好处相匹配的云本地服务。

美国国家安全局下属的网络安全理事会负责人罗布乔伊斯说：“这个系列体现了来自CISA、NSA和行业的ESF专家的共同努力，及其对国家安全利益的考量。” “应用本指南构建和配置5G云基础设施的服务提供商和系统集成商将尽自己的一份力量来改善我们国家的网络安全。”

 防范5G云网络中的横向移动

“5G网络是云原生的，对于希望拒绝或降低网络资源或以其他方式破坏信息的网络威胁行为者来说，将是一个有利可图的目标，”联合咨询说。

“为了应对这种威胁，必须安全地构建和配置5G云基础设施，具备检测和响应威胁的能力，为部署安全网络功能提供强化的环境。”

CISA和NSA表示，5G 服务提供商和系统集成商可以实施以下措施来阻止和检测 5G 云中的横向移动：

• 在5G云中实施安全身份和访问管理(IdAM)
• 使5G云软件保持最新状态并避免已知漏洞
• 在5G云中安全配置网络
• 锁定隔离网络功能之间的通信
• 监测对抗性横向运动的迹象
• 开发和部署分析系统以检测复杂的攻击对手的存在

有关5G基础设施潜在威胁载体的更多信息可以在CISA与NSA和国家情报总监办公室协调发布的5月份发布的白皮书中找到。

 5G网络的主要威胁

该系列包含了预防和处理对5G基础设施的网络攻击的广泛指南，是以CISA、NSA和国家情报总监办公室在5月份发布的《5G基础设施潜在的威胁向量》报告为基础的。除了对连接5G网络的云基础设施的潜在攻击之外，5月份的这份报告列出了对美国5G网络可能构成的威胁，例如：

• 假冒组件——更容易受到网络攻击，并且更容易因为质量差而损坏。它们也可以被安装后门。
• 继承组件——受损或安全性较弱的组件可能会通过复杂的供应链进入美国 5G 网络，这需要进行调查。
• 开放标准——敌对国家可能会为开放标准做出贡献，以要求包含专有或不受信任的技术。
• 可选控制——标准可能附带一些网络运营商可能不愿意使用的可选安全控制。
• 软件/配置——指 5G 设备中的漏洞，攻击者可能会利用这些漏洞来破坏设备及其配置。
• 网络安全——对网络设备的攻击可能允许威胁行为者访问 5G 基础设施。
• 网络切片——网络运营商能够根据连接设备的类型将其 5G 网络划分为多个区域。威胁行为者可以突破这些区域并访问关键基础设施。
• 传统通信集成——威胁行为者可以利用传统协议中的漏洞来访问 5G 基础设施。
• 频谱共享——可能为恶意行为者提供机会干扰或干扰非关键通信路径，从而对更关键的通信网络产生不利影响。

 指南的另外三部分

5G云基础设施安全指南的另外三个部分将重点关注：

• 第二部分：安全隔离网络资源：确保客户资源之间有安全隔离，重点是保护支持虚拟网络功能运行的容器堆栈。 
• 第三部分：保护传输中、使用中和静态数据：确保网络和客户数据在数据生命周期的所有阶段(静态、传输中、处理中、销毁时)都得到保护。 
• 第四部分：确保基础设施的完整性：确保 5G 云资源(例如容器镜像、模板、配置)不被未经授权修改。

延伸阅读：欧盟对5G安全风险的评估

两年前，即2019年10月，欧盟(EU)成员国还发布了一份关于5G网络安全的协调风险评估。该报告确定了主要威胁和威胁参与者、最敏感的资产以及可用于破坏它们的主要安全漏洞。

5G安全风险评估报告强调了使用单一设备供应商背后的危害，如果大量运营商使用来自高风险供应商的设备，设备短缺和5G解决方案的多样性极大地扩大了5G基础设施的整体脆弱性。

与 5G 网络相关的安全挑战还与网络和第三方系统之间的连接以及第三方供应商对国家 5G 网络的访问权限增加有关。

欧盟的报告概述了在欧盟成员国内推出5G网络所产生的以下安全后果：

• 增加遭受攻击的机会，并为攻击者提供更多潜在的入口点。
• 由于5G网络架构的新特点和新功能，某些网络设备或功能变得更加敏感，例如基站或网络的关键技术管理功能。
• 与移动网络运营商对供应商的依赖相关的风险增加，这将导致可能被威胁行为者利用的攻击路径数量增加，并增加此类攻击影响的潜在严重性。
• 在供应商推动的攻击风险增加的背景下，个别供应商的风险状况将变得尤为重要，包括供应商受到非欧盟国家干扰的可能性。
• 对供应商的主要依赖增加了风险：对单一供应商的主要依赖增加了潜在供应中断的风险，例如，由于商业失败及其后果。
• 对网络可用性和完整性的威胁 将成为主要的安全问题。

欧盟成员国关于 5G 网络安全风险的联合报告中提供了更多信息，包括有关漏洞、风险情景和缓解措施/安全基线的详细信息。

参考资源：

1.https://www.bleepingcomputer.com/news/security/nsa-and-cisa-share-guidance-on-securing-5g-cloud-infrastructure/

2.https://www.fedscoop.com/machine-learning-and-ai-may-help-5g-cloud-providers-detect-sophisticated-attacks-nsa/

3.https://therecord.media/nsa-warns-of-threat-actors-compromise-entire-5g-networks-via-cloud-systems/

原文来源：网空闲话

“投稿联系方式：孙中豪 010-82992251   [email protected]”

原文始发于微信公众号（关键基础设施安全应急响应中心）：NSA和CISA发布关于保护5G云基础设施的安全指南第一部分--预防和检测横向移动