Maria Korolov Charles

超高速5G移動網(wǎng)絡不僅有望能更有效地把人們連接起來，而且進一步提高了連通性，從而更好地控制機器、物體和設備。其極高的Gbps數(shù)據(jù)傳輸速率、低延遲和大容量對消費者和企業(yè)來說是好消息。但是，正如一位早期采用者所體會到的，這也帶來了重大的新安全風險。

全球家電制造商惠而浦公司已經(jīng)開始在旗下一家工廠推出5G技術。該公司在傳統(tǒng)局域網(wǎng)Wi-Fi網(wǎng)絡環(huán)境下，使用物聯(lián)網(wǎng)設備開展預測性維護、環(huán)境控制和過程監(jiān)控等方面的工作，但在5G環(huán)境下，公司還能夠做一些Wi-Fi無法完成的工作，比如部署自動叉車和其他車輛。

惠而浦北美地區(qū)IT和OT制造基礎設施應用經(jīng)理Douglas Barnes介紹說：“我的工? ?廠里有很多金屬物品。Wi-Fi會被金屬反射。即使我在工廠里用的是網(wǎng)格Wi-Fi，但金屬實在太多了。而5G則能穿過墻壁，不會被金屬反射?！?/p>

他說，“這意味著一旦在工廠車間部署好5G，惠而浦就將迎來巨變。這將使我們能夠在整個工廠里使用真正的無人駕駛車輛，進行維護、交付，以及支持制造運營的所有工作。這個業(yè)務案例非常重要，節(jié)省了很多成本。5G的回報太豐厚了?！?/p>

他說，公司已經(jīng)進行了測試，以確保無人駕駛車輛能夠正常工作。這個月會分配好資源，今年年底前，車輛將在5G環(huán)境中運行。他說：“如果我們成功了，我們在無人駕駛車輛這一業(yè)務案例上的所有付出都是值得的。”

Barnes敏銳地意識到物聯(lián)網(wǎng)已經(jīng)給企業(yè)帶來了網(wǎng)絡安全問題，這些問題在很大程度上會因轉向5G而被放大?；荻峙c其5G合作伙伴AT&T一起解決了這些問題。他說：“我們每天都像是在打仗。在我們開始之前，我們和AT&T討論的第一件事就是網(wǎng)絡怎樣才是安全的。”

以下是惠而浦等企業(yè)在制定5G實施計劃時需要考慮的8個方面的關鍵問題。

1.加密和保護5G網(wǎng)絡數(shù)據(jù)流

隨著5G的出現(xiàn)，連接到網(wǎng)絡的智能設備數(shù)量將大幅增加，這些網(wǎng)絡的數(shù)據(jù)流量也將隨之大幅增加。Gartner預測，明年企業(yè)的汽車物聯(lián)網(wǎng)設備數(shù)量將增加到58億，比今年預計的48億物聯(lián)網(wǎng)終端總數(shù)增長21%。由此，攻擊者認為這些網(wǎng)絡環(huán)境中有豐富的被攻擊目標，甚至比現(xiàn)在還要多。

Barnes說，為了解決這個問題，惠而浦將加密所有5G數(shù)據(jù)流，并將5G天線配置為只接受獲得許可的數(shù)據(jù)流。他說：“當我們添加設備時，我們將其配置為5G可接受設備。如果沒有被列入白名單，我們就不會接受它。既然是經(jīng)過加密的，我就不擔心有人試圖截獲信號，因為他們做不了什么?！?/p>

他說，如果數(shù)據(jù)流離開本地網(wǎng)絡，通過公共5G或者互聯(lián)網(wǎng)流出，那么將通過受保護的VPN隧道對通信進行保護。他說：“由于我們可能不得不使用5G與外部進行通信，因此，我們預先進行了設置。”

2.保護和隔離易受攻擊的設備

下一個可能出漏洞的是設備本身。Barnes說：“這個行業(yè)非常缺乏安全意識。特別是工業(yè)設備通常都有專有的操作系統(tǒng)，而且不能安裝補丁或者通過許可來禁用它們。它們在設計之時并沒有考慮到補丁問題?！?/p>

Barracuda網(wǎng)絡公司的高級安全研究員Jonathan Tanner認為，事實上，大多數(shù)物聯(lián)網(wǎng)安全錯誤都沒有得到解決。他說，有些設備存在無法通過固件更新來修復的問題，或者沒有更新固件的機制。即使設備制造商在下一代設備上增加了安全功能，而那些不安全的老設備仍然沒有得到保護。

Tanner補充說，有些企業(yè)并不在意，甚至忽略了指出漏洞的安全研究人員。Tanner說：“有些設備易受攻擊的企業(yè)已經(jīng)倒閉了。他們對設備原先存在的任何漏洞都聽之任之?！?/p>

如果一家企業(yè)受困于這些不安全的物聯(lián)網(wǎng)設備時，應該怎么辦？惠而浦的Barnes說，網(wǎng)絡隔離措施與其他網(wǎng)絡安全技術相結合可以幫助保護他們。他說：“我們的方法分為兩層。第一層是通過網(wǎng)絡安全功能監(jiān)視所有的數(shù)據(jù)流，第二層是采用受協(xié)議驅動的安全措施，執(zhí)行深層數(shù)據(jù)包檢查，查找協(xié)議中嵌入的惡意活動類型。”

除此之外，還有一般的安全環(huán)境保護措施，例如，盡可能打上補丁，定期對所有設備進行安全審計，對網(wǎng)絡上的所有設備都建立完整的設備清單。

3.準備好應對更大的DDoS攻擊

一般來說，5G并不意味著安全性會比前幾代無線技術差。諾基亞威脅情報實驗室主任Kevin McNamee說：“5G確實帶來了4G和3G所不具備的新安全功能。有了5G，整個控制平面都被遷移到網(wǎng)絡服務類型的環(huán)境中，在這種環(huán)境中，經(jīng)過了嚴格的身份驗證，是非常安全的。這是一種進步?！?/p>

McNamee介紹說，僵尸網(wǎng)絡進攻的機會也增加了，給加強安全帶來了挑戰(zhàn)。他說：“5G將極大地提高設備的可用帶寬。帶寬的增加會提高物聯(lián)網(wǎng)機器人的可用帶寬。”

增加的帶寬會被用于尋找更容易受到攻擊的設備，并傳播感染，而僵尸網(wǎng)絡將發(fā)現(xiàn)更多容易受攻擊的設備。消費者開始越來越多地購買智能家居設備。與惠而浦一樣，企業(yè)都是物聯(lián)網(wǎng)設備的大用戶。政府機構和其他類型的組織也是如此。

5G技術支持將設備放置在偏遠地區(qū)，在這些地方是難以進行維護的。ESET安全研究員兼俄勒岡州無線互聯(lián)網(wǎng)服務提供商協(xié)會聯(lián)合主席Cameron Camp評論說：“將會有成群的傳感器記錄從天氣到空氣質量直至視頻的所有信息。這意味著新的機器群有可能被黑客入侵并成為僵尸網(wǎng)絡的一部分。由于這些傳感器大部分都是無人值守的，因此很難發(fā)現(xiàn)黑客并作出響應?！?/p>

物聯(lián)網(wǎng)設備有時也會空閑一段時間。用戶不會去更換一個仍在正常工作的設備。攻擊者會對他們的僵尸網(wǎng)絡采取低調的方式，這樣他們就不會引起任何注意。即使有可用的補丁，或者制造商開始銷售更新的、更安全的設備版本，客戶也可能不會費心地去進行更改。

與此同時，很多智能物聯(lián)網(wǎng)設備正在運行真正的操作系統(tǒng)，例如嵌入式Linux，使其成為幾乎功能齊全的計算機。受感染的設備可用于承載非法內容、惡意軟件、命令和控制數(shù)據(jù)以及其他對攻擊者有價值的系統(tǒng)和服務。用戶不會把這些設備視為需要防病毒保護、打補丁和更新的計算機。很多物聯(lián)網(wǎng)設備不保存流入和流出數(shù)據(jù)流的日志。這使得攻擊者能夠保持匿名，更加難以關閉僵尸網(wǎng)絡。

這就構成了三重威脅。有可能被利用設備的數(shù)量、僵尸網(wǎng)絡的可用帶寬以及設備進行DDoS攻擊的可用帶寬都在增加。5G環(huán)境中，很多設備仍然不安全，有些設備沒有補丁，DDoS攻擊呈指數(shù)增長，因此，企業(yè)現(xiàn)在要為此做好準備。

4.向IPv6遷移可能會使私有互聯(lián)網(wǎng)地址公開

隨著設備的激增和通信速度的提高，企業(yè)可能會傾向于使用IPv6來替代現(xiàn)在常見的IPv4。支持更長IP地址的IPv6在2017年成為互聯(lián)網(wǎng)標準。

IPv4地址不夠分配，只有大約43億個地址。2011年，一些注冊中心的地址數(shù)量逐漸用盡，2012年，一些組織開始轉向IPv6。但據(jù)互聯(lián)網(wǎng)協(xié)會（Internet Society）的數(shù)據(jù)顯示，如今只有不到30%的谷歌用戶通過IPv6訪問平臺。

諾基亞的McNamee說，很多企業(yè)以及幾乎所有的家用設備和大量的移動電話網(wǎng)絡都使用私有IPv4地址，而不是IPv6。他說：“這為他們提供了一種自然保護，使他們免受攻擊，因為他們在互聯(lián)網(wǎng)上是不可見的?！?/p>

隨著全球轉向5G，運營商自然會轉向IPv6，以便為數(shù)十億臺新設備提供支持。如果他們選擇公共IPv6地址而不是私有地址，那么這些設備現(xiàn)在將是可見的。他說，IPv6和5G都沒有問題，但將設備從IPv4遷移到IPv6的企業(yè)可能會意外地把它們放到公共地址上。

5.邊緣計算增加了攻擊面

那些希望為客戶或者自己分散的基礎設施減少延遲和提高性能的企業(yè)，正越來越多地關注邊緣計算。在5G的支持下，終端設備的通信能力越來越強，邊緣計算的優(yōu)勢也越來越大。

但是，邊緣計算也顯著增加了潛在的攻擊面。那些還沒有開始轉向零信任網(wǎng)絡架構的企業(yè)現(xiàn)在應考慮好這個問題，然后才能對邊緣計算基礎設施進行大量投資。當他們真的開始構建時，安全是首要考慮因素，而不能當事后諸葛。

6.新的物聯(lián)網(wǎng)供應商關注的是率先上市，而不是安全

物聯(lián)網(wǎng)淘金熱將促使新的供應商進入這一領域，鼓勵現(xiàn)有供應商競相把新設備推向市場。Barracuda的Tanner說，物聯(lián)網(wǎng)設備比尋找漏洞的安全研究人員多得多。他說，隨著新制造商的加入，我們將看到一個全新的安全錯誤周期。

Tanner看到業(yè)界正在一遍又一遍地犯著同樣的錯誤，報告的物聯(lián)網(wǎng)設備漏洞越來越多，而不是減少。他說：“還沒有從業(yè)內其他人的錯誤中汲取足夠的教訓?！?/p>

Joe Cortese是合規(guī)與安全聯(lián)盟滲透測試實踐主管，他的主要工作是研究怎樣入侵企業(yè)網(wǎng)絡，他說：“供應商不在乎物聯(lián)網(wǎng)設備是否安全。今年年初，我購買了5臺與電燈開關相關的設備，我能從屋外使用其中的4臺。有些測試模式內置在設備中，供應商從未刪除這些模式?！?/p>

Cortese說，所有供應商都希望最先進入市場。對于許多廠商來說，推出設備最快的方法是使用現(xiàn)成的平臺，例如嵌入式Linux。他說：“我曾為情報部門工作過。最近，我發(fā)現(xiàn)了一個物聯(lián)網(wǎng)惡意軟件，它只需要7行代碼就能攻破一臺設備。”他說，那些不加固設備的制造商很容易遭受這種攻擊。

比如說，攻擊者可以利用它來關閉工廠或者關鍵的基礎設施，或者劫持公司的系統(tǒng)以進行勒索。Cortese說：“我還沒有看到這種情況發(fā)生，但這只是因為5G還沒有被廣泛部署。隨著5G的廣泛采用和物聯(lián)網(wǎng)的擴展，我們可能會看到像制造業(yè)這樣的系統(tǒng)將遭受大量的攻擊?！?h3>7.警惕假冒攻擊

由于大多數(shù)5G網(wǎng)絡都不是獨立的，仍然容易受到4G和舊協(xié)議固有的一些缺陷的影響。GTP協(xié)議就是一個例子，它用于在4G和更早的網(wǎng)絡上傳輸用戶和控制數(shù)據(jù)流。它有一個允許攔截用戶數(shù)據(jù)的漏洞，這可能導致假冒攻擊。

Positive科技公司最近發(fā)布了一份關于GTP漏洞及其對5G網(wǎng)絡影響的報告。它描述的一個漏洞是，GTP不檢查用戶的位置，因此很難確定哪一數(shù)據(jù)流是合法的。攻擊者只需假冒用戶的IMSI訂戶標識和TEID隧道標識即可。后者是很容易獲得的，而攻擊者有多種方法獲取IMSI，其中最簡單的方法是在暗網(wǎng)上購買數(shù)據(jù)庫。

為方便攻擊，攻擊者通常借助于執(zhí)行直通身份驗證的服務來進行假冒攻擊。這也可能使第三方合作伙伴遭受未經(jīng)授權的訪問。

Positive科技公司的研究人員建議安全部門跟蹤用戶或者設備的位置，但要注意，大多數(shù)網(wǎng)絡并沒有部署執(zhí)行此類操作所需的安全工具。

8.應有人為物聯(lián)網(wǎng)安全負責

物聯(lián)網(wǎng)安全的最大障礙不是技術上的，而是心理上的。沒有人愿意承擔責任。大家都想把責任推給別人。買方指責賣方?jīng)]有保證他們設備的安全。賣方指責買方選擇了更便宜、更不安全的產品。在5G的世界里，讓他人負責物聯(lián)網(wǎng)安全是不可想象的。

據(jù)Radware去年發(fā)布的一項調查，34%的受訪者認為應由設備制造商負責物聯(lián)網(wǎng)安全，11%的受訪者認為應由服務提供商負責，21%的受訪者認為應由消費者負責，35%的人則認為應由業(yè)務部門負責。Radware的戰(zhàn)略副總裁Mike O'Malley評論說：“換句話說，沒有共識?！贝送?，他還說，消費者不具備這些知識或者技能。企業(yè)招不到足夠的員工。制造商相互之間太不協(xié)調、太多而難以控制。

企業(yè)可以雇傭服務提供商來承擔一些工作，但這并不能解決消費者設備不安全、制造商不愿做出改變以及缺乏一致的全球監(jiān)管和執(zhí)行等問題。

每個人都應該對物聯(lián)網(wǎng)安全負責。買方應堅持要求，他們購買的產品不能有默認密碼或者測試模式，通信是經(jīng)過加密和認證的，設備要定期打上補丁和更新。供應商應該把不安全的設備下架，在產品設計過程開始時就要考慮安全問題，而不是在安全事件上了新聞頭條后才開始考慮。

Maria Korolov過去20年一直涉足新興技術和新興市場。

原文網(wǎng)址

https：//www.csoonline.com/article/3442939/how-5g-mobile-networks-will-change-iot-security-and-how-to-prepare.html？nsdr=true