超高速5G移動網(wǎng)絡(luò)不僅可以提高人們相互聯(lián)系的效率�,還可以實現(xiàn)機器、物體和設(shè)備間更好的互連和控制��。其高Gbps數(shù)據(jù)傳輸速率、低延遲和高容量���,無論對消費者還是企業(yè)來說都是福音�。但這一切伴隨著新型重大安全風(fēng)險����,因為早期采用者仍處于學(xué)習(xí)和摸索階段��。
全球家電制造商惠而浦(Whirlpool)已經(jīng)開始在旗下一家工廠開展5G部署工作���。該公司使用物聯(lián)網(wǎng)設(shè)備,利用傳統(tǒng)局域WiFi網(wǎng)絡(luò)進(jìn)行預(yù)測性維護(hù)�、環(huán)境控制和過程監(jiān)控,但5G能使該公司做到使用WiFi無法完成的事:部署自動駕駛叉車和其他車輛�����。
惠而浦北美地區(qū)IT和OT制造基礎(chǔ)設(shè)施應(yīng)用經(jīng)理道格拉斯·巴恩斯(Douglas Barnes)表示:“我的工廠里到處都是金屬���。金屬會反射WiFi信號。即使我在工廠里用了網(wǎng)狀WiFi�,我們的金屬還是太多了。但5G可以穿墻�����,而且不會被金屬反射��。”
這意味著���,一旦5G在工廠車間安裝到位�����,惠而浦可以做出巨大的改變��。他說:“這將使我們能夠在整個工廠里真正全面使用自動駕駛汽車���,用于維護(hù)��、交付和支持生產(chǎn)運營的所有事務(wù)��。這個業(yè)務(wù)案例分量極重��,能節(jié)省很多開支���。5G的回報是非常有利的。”
他表示����,公司已經(jīng)做了測試,確保自動駕駛汽車能正常運行���。資金將在本月到位����,這些自動駕駛汽車今年年底前就能運行在5G上了。“只要我們能成功��,自動駕駛汽車的業(yè)務(wù)案例將值回其他一切����。”
巴恩斯敏銳地意識到,物聯(lián)網(wǎng)已經(jīng)給企業(yè)帶來了新的網(wǎng)絡(luò)安全問題��,而所有這些問題在切換到5G時將會被大幅放大����。惠而浦與其5G合作伙伴AT&T共同解決這些隱憂。巴恩斯稱:“我們每天都在跟這些問題纏斗�。在真正開始前,我們與AT&T談?wù)摰牡谝粋€話題�����,就是怎么打造一個安全的5G網(wǎng)絡(luò)��。”
在創(chuàng)建5G實施計劃時���,惠而浦這樣的公司企業(yè)需要考慮下列8個關(guān)鍵方面的問題��。
01 加密和保護(hù)5G網(wǎng)絡(luò)流量
隨著5G的發(fā)展�,接入網(wǎng)絡(luò)的智能設(shè)備數(shù)量預(yù)計將急劇增加����,這些網(wǎng)絡(luò)的流量也將顯著增長。Gartner調(diào)查研究表明��,明年企業(yè)和汽車物聯(lián)網(wǎng)設(shè)備的數(shù)量將增長至58億臺�,比今年預(yù)計的48億臺物聯(lián)網(wǎng)端點設(shè)備增長21%。這就使得這些網(wǎng)絡(luò)成為了攻擊者的理想環(huán)境——可供選擇的攻擊目標(biāo)比現(xiàn)在豐富得多��。
巴恩斯表示����,為解決此問題,惠而浦將加密5G流量����,并將5G天線配置為僅接受經(jīng)批準(zhǔn)的流量。他說:“在添加設(shè)備的時候�����,我們在5G網(wǎng)絡(luò)上將之配置為可接受的設(shè)備�����。只要不在白名單上,我們就不監(jiān)聽�����。而由于是加密的��,我不擔(dān)心有人試圖捕獲信號��,因為捕獲了也沒什么用����。”
一旦流量離開本地網(wǎng)絡(luò),進(jìn)入到公共5G網(wǎng)絡(luò)或互聯(lián)網(wǎng)���,通信將經(jīng)由加密VPN隧道保證安全����。他解釋道:“因為可能不得不使用5G與外界通信��,我們預(yù)先設(shè)置了這些加密信道����。”
02 保護(hù)并隔離易受攻擊的設(shè)備
設(shè)備本身也是潛在脆弱點。業(yè)內(nèi)安全意識其實不是很高�����。尤其是工業(yè)設(shè)備��,這些設(shè)備通常采用專有操作系統(tǒng)��,并且毫無安裝補丁或許可堵上漏洞的能力�,在設(shè)計時就沒想過要預(yù)留補丁安裝接口。
Barracuda Networks高級安全研究員喬納森·坦納(Jonathan Tanner)表示���,事實上���,大多數(shù)物聯(lián)網(wǎng)安全問題尚未解決。他說��,有些設(shè)備的問題無法通過固件更新來修復(fù)���,或者就沒有更新固件的機制�。即使設(shè)備制造商在下一代設(shè)備中加裝安全功能����,那些不安全的舊型號仍然散落各處繼續(xù)運行����。
坦納補充道��,有些公司無視指出漏洞的安全研究人員�����。一些生產(chǎn)出脆弱設(shè)備的公司已經(jīng)倒閉了��。他們的設(shè)備里滿是原來就有的各種漏洞也沒人管��。
如果被這種不安全的物聯(lián)網(wǎng)設(shè)備絆住手腳�,該怎么辦呢?惠而浦的巴恩斯認(rèn)為,網(wǎng)絡(luò)隔離結(jié)合上其他網(wǎng)絡(luò)安全技術(shù)�,可以提供一定的保護(hù)。他說:“我們采取了雙層方法:監(jiān)控所有流量的網(wǎng)絡(luò)安全層��,以及執(zhí)行深度包檢測的二級安全層�。第二層安全建立在協(xié)議層面上,查找協(xié)議中植入的那類惡意活動�����。”
此外,還有一般意義上的安全措施��,比如盡可能打上補丁��,定期對所有設(shè)備執(zhí)行安全審計����,全面清查統(tǒng)計網(wǎng)絡(luò)上的所有設(shè)備��。
03 為大型DDoS攻擊做好準(zhǔn)備
一般來說�,5G并不意味著不如前幾代無線技術(shù)安全。諾基亞威脅情報實驗室主管凱文•麥克納米(Kevin McNamee)表示:“5G確實帶來了4G或3G無法提供的新安全功能����。5G的整個控制面板已遷移至Web服務(wù)類型的環(huán)境,這種環(huán)境采用強身份驗證�����,非常安全����。這是安全上的進(jìn)步。”
但與此同時����,僵尸網(wǎng)絡(luò)在5G環(huán)境中擁有更多發(fā)展壯大的機會����,也可能會抵消掉這些安全上的改進(jìn)�。麥克納米稱:“5G將大大增加設(shè)備的可用帶寬。而物聯(lián)網(wǎng)僵尸主機也能利用這些大幅增加的帶寬�����。”
增加的帶寬可被用于查找更多脆弱設(shè)備和擴散感染�����,僵尸網(wǎng)絡(luò)也可以找到更多脆弱設(shè)備加以利用�。智能家居設(shè)備的銷量逐年增長,且增長速度越來越快�。與惠而浦一樣,企業(yè)也是物聯(lián)網(wǎng)設(shè)備的大用戶�。還有政府部門和其他類型的組織機構(gòu)在不斷購入物聯(lián)網(wǎng)設(shè)備。
此外�,物聯(lián)網(wǎng)設(shè)備通常更新沒那么頻繁。用戶不會替換仍然可以實現(xiàn)預(yù)期功能的設(shè)備����。攻擊者也會保持低調(diào)���,讓僵尸網(wǎng)絡(luò)不引起任何注意。即使有可用的補丁�����,或者制造商推出了更新�、更安全的版本�����,客戶也可能不會費心更新或升級換代��。
同時����,許多智能物聯(lián)網(wǎng)設(shè)備運行的是嵌入式Linux之類真正的操作系統(tǒng),這些設(shè)備幾乎就是全功能的計算機���。攻擊者可利用被感染的設(shè)備托管非法內(nèi)容�、惡意軟件��、命令與控制(C2)數(shù)據(jù)���,以及其他有價值的系統(tǒng)和服務(wù)����。用戶卻不會將這些設(shè)備視為需要防病毒保護(hù)、修復(fù)和更新的計算機�。許多物聯(lián)網(wǎng)設(shè)備也不保留入站和出站流量的日志。因而��,攻擊者能夠保持匿名����,想關(guān)停僵尸網(wǎng)絡(luò)也就更難了。
這構(gòu)成了三重威脅��。潛在可利用設(shè)備的數(shù)量�����、可用于擴散僵尸網(wǎng)絡(luò)的帶寬���、僵尸主機執(zhí)行DDoS攻擊的可用帶寬����,統(tǒng)統(tǒng)增加了����。由于很多設(shè)備依然不安全�����,有些設(shè)備還根本無法修復(fù)���,相比當(dāng)前狀況,5G環(huán)境下公司企業(yè)需應(yīng)對的DDoS攻擊規(guī)模呈數(shù)量級上升��。
04 轉(zhuǎn)向IPv6可能會令私有互聯(lián)網(wǎng)地址變得公開
隨著設(shè)備數(shù)量激增和通信速度提升����,公司企業(yè)可能會想嘗試使用IPv6代替當(dāng)前常見的IPv4���。IPv6是容納更長IP地址的網(wǎng)際協(xié)議�����,于2017年成為互聯(lián)網(wǎng)標(biāo)準(zhǔn)��。
IPv4僅有43億個網(wǎng)絡(luò)地址可用�,不能滿足為激增的網(wǎng)絡(luò)資源分配地址的需求�。早在2011年�,一些互聯(lián)網(wǎng)注冊管理機構(gòu)就開始無址可分了�,2012年開始,組織機構(gòu)紛紛轉(zhuǎn)向使用IPv6����。但互聯(lián)網(wǎng)協(xié)會(The Internet Society)的資料顯示,直至今日�����,僅有不到30%的谷歌用戶通過IPv6訪問谷歌平臺��。
諾基亞的麥克納米稱�,很多組織機構(gòu)和幾乎全部家用設(shè)備,還有很多手機網(wǎng)絡(luò)�,都在使用私有IPv4地址。這些私有地址為他們提供了天然的保護(hù)�����,因為在互聯(lián)網(wǎng)上不可見���。
隨著5G時代的到來���,為支持幾十億新增設(shè)備���,運營商自然會遷移到IPv6。如果他們選擇采用公共IPv6地址而不是私有地址�����,這些設(shè)備就會變得可見����。這不是IPv6的問題,也不是5G的問題��,但將設(shè)備從IPv4遷移到IPv6的企業(yè)����,可能會將設(shè)備意外放到公共地址上��。
05 邊緣計算助長攻擊界面
公司企業(yè)想要為客戶或自身分布式基礎(chǔ)設(shè)施減少延遲���、提升性能�,他們將目光投向了邊緣計算�����。借助5G,邊緣計算的優(yōu)勢還能更大��,因為端點設(shè)備將能擁有更強的通信能力�����。但是����,邊緣計算也會大幅增加潛在的攻擊界面。尚未開始轉(zhuǎn)向零信任網(wǎng)絡(luò)架構(gòu)的公司企業(yè)��,現(xiàn)在應(yīng)該開始考慮這事兒了�,要在大幅投入邊緣計算基礎(chǔ)設(shè)施之前完成向零信任網(wǎng)絡(luò)的遷移。真正開始構(gòu)建邊緣計算基礎(chǔ)設(shè)施的時候����,安全應(yīng)是首要考慮,而非事后補救���。
06 物聯(lián)網(wǎng)供應(yīng)商重視率先進(jìn)入市場而輕安全
物聯(lián)網(wǎng)淘金潮將激勵一批新供應(yīng)商進(jìn)入這個領(lǐng)域���,也將刺激現(xiàn)有供應(yīng)商加快向市場推出新產(chǎn)品的腳步。Barracuda高級安全研究員坦納稱,尋找漏洞的安全研究人員已經(jīng)趕不上物聯(lián)網(wǎng)設(shè)備的推出速度了�。隨著新制造商的不斷涌入,我們將見證新一輪的安全漏洞爆發(fā)����。
據(jù)坦納觀察,同樣的錯誤不斷重現(xiàn)����,物聯(lián)網(wǎng)設(shè)備的漏洞報告一直在上升,從未下降�。“前事不忘,后事之師”這句話���,似乎并未在前赴后繼的物聯(lián)網(wǎng)供應(yīng)商身上體現(xiàn)分毫�����。
A-lign Compliance and Security公司滲透測試主管喬·柯蒂斯(Joe Cortese)稱:“供應(yīng)商一點都不在意安全�����。今年早些時候,我買了5個與開關(guān)燈相關(guān)的設(shè)備�,其中4個我從屋子外面就能訪問。供應(yīng)商從未移除設(shè)備中內(nèi)置的測試模式�����。”
柯蒂斯表示,所有供應(yīng)商都想首先進(jìn)入市場����。對很多供應(yīng)商而言,推出設(shè)備的最快方式�,就是使用嵌入式Linux等現(xiàn)成的平臺。他說:“我以前在情報部門工作���。最近����,我經(jīng)手的一個惡意軟件只用7行代碼就能搞定一臺設(shè)備��。不加固自身設(shè)備安全的制造商�,對此類攻擊毫無抵抗力。”
使用這類惡意軟件�,攻擊者可以關(guān)停工廠或關(guān)鍵基礎(chǔ)設(shè)施,或者劫持公司企業(yè)的系統(tǒng)索要贖金�����。柯蒂斯說:“我還沒看到此類安全事件發(fā)生�����,但這僅僅是因為5G尚未廣泛部署����。隨著5G采納增加和物聯(lián)網(wǎng)設(shè)備數(shù)量增長,我們很可能會看到制造業(yè)系統(tǒng)漏洞利用井噴��。”
07 小心假冒攻擊
因為大多數(shù)5G網(wǎng)絡(luò)不是獨立組網(wǎng)���,4G和更早些的協(xié)議中固有的一些缺陷���,仍能影響到5G網(wǎng)絡(luò)。在4G等早期網(wǎng)絡(luò)上傳輸用戶和控制流量的GTP協(xié)議就是其中一例���。攻擊者可以利用GTP協(xié)議中的一個漏洞攔截用戶數(shù)據(jù)��,進(jìn)而實施假冒攻擊����。
Positive Technologies公司最近發(fā)布了一份報告���,描述GTP協(xié)議漏洞及其對5G網(wǎng)絡(luò)的影響����。其中一個漏洞就是GTP不檢查用戶的位置���,導(dǎo)致無法判斷哪個流量才是合法的����。攻擊者冒充用戶所需要的全部東西���,僅僅是用戶的IMSI用戶識別碼和TEID隧道標(biāo)識����。后者很容易獲取���,但攻擊者有多條途徑獲得IMSI�,最簡單的辦法就是在暗網(wǎng)上購買數(shù)據(jù)庫了�����。
為方便用戶而執(zhí)行直通身份驗證的服務(wù)�����,也常會方便攻擊者開展假冒攻擊。這一便利還可能會導(dǎo)致第三方合作伙伴遭遇未授權(quán)訪問�。
Positive Technologies的研究人員建議組織機構(gòu)跟蹤用戶或設(shè)備位置,但又指出����,大多數(shù)網(wǎng)絡(luò)上并未部署執(zhí)行跟蹤所需的安全工具。
08 應(yīng)有人負(fù)責(zé)物聯(lián)網(wǎng)安全
物聯(lián)網(wǎng)安全最大的障礙并不是技術(shù)上的��,而是心理上的���。沒人愿意承擔(dān)責(zé)任����。誰都想指責(zé)別人�����。買家指責(zé)供應(yīng)商制造的設(shè)備不安全�����。供應(yīng)商責(zé)怪買家選擇廉價的不安全產(chǎn)品�����。在5G世界中,假設(shè)別人該為物聯(lián)網(wǎng)安全負(fù)責(zé)的后果將會嚴(yán)重得多����。
Radware去年發(fā)布的一份調(diào)查研究表明����,34%的受訪者認(rèn)為設(shè)備制造商應(yīng)為物聯(lián)網(wǎng)安全負(fù)責(zé),11%的受訪者認(rèn)為物聯(lián)網(wǎng)安全的責(zé)任人應(yīng)該是服務(wù)提供商�,21%認(rèn)為責(zé)任在私人消費者身上,還有35%認(rèn)為公司企業(yè)應(yīng)為此承擔(dān)責(zé)任����。Radware戰(zhàn)略副總裁麥克·奧馬利(Mike O’Malley)稱:“換句話說,根本沒有什么共識�。而且,消費者也沒有這方面的知識或技能��。”企業(yè)雇不到足夠的人手����。制造商又是一盤散沙,各自為戰(zhàn)���,難以控制���。
企業(yè)可以雇傭服務(wù)提供商來減輕一些負(fù)擔(dān)����,但問題依然存在����,比如不安全的消費者設(shè)備、不想做出改變的制造商��,還有不一致的全球監(jiān)管和實施���。
物聯(lián)網(wǎng)安全人人有責(zé)��。買家需保持所購買產(chǎn)品沒有遺留默認(rèn)密碼或測試模式�,采用經(jīng)加密和身份驗證的通信�����,并定期修復(fù)和更新設(shè)備�。供應(yīng)商需下架不安全設(shè)備,并在產(chǎn)品設(shè)計過程初期就引入安全����,而不是在發(fā)生安全事件之后��,更不是在安全事件見諸報端之后�����。(原文來源:天津市大數(shù)據(jù)協(xié)會)
在線咨詢
在線咨詢
0371-63319761
