5克承诺增加的速度、更低的延迟和支持显著更多的连接设备。但设备和新的应用程序的增长,随之而来也将扩大攻击表面,为恶意行为提供新的机会利用安全漏洞。
另外,与任何新技术一样,有一个很大的可能配置错误,错误,和补丁,而企业仍在学习如何部署和安全5克在规模。
大约75%的全球通信服务提供商表示,他们经历过六个安全漏洞的5 g网络在过去的一年里,据2022年11月的一项调查GlobalData和诺基亚。有一半的受访者说,他们经历了一次攻击,导致客户数据的泄漏,和近四分之三表示,攻击造成服务中断。
但是5 g网络有一个伟大的,内置安全优于他们的前辈们,其中一个是网络分段——能力细分成多个虚拟网络上的单个物理基础设施。每一个网络都有自己的配置,性能参数,和服务质量。这允许不同的应用程序共享相同的物理基础设施,还提供了额外的一层隔离和安全,创建攻击者运动障碍。
“5 g引入了大量的技术创新和4 g技术的改进,但网络分割是其中最重要的,”道格与说实践开发经理,服务,服务提供者的洞察力,和保障福利是一个主要的优势。“这真的可以减少网络攻击的影响通过隔离攻击一片。”
然而,一个配置错误的5 g网络片是容易受到多种威胁,包括拒绝服务攻击、中间人攻击,攻击和基本配置,他说。如果片设计不正常,攻击者也可能从一片转移到另一个,他补充道。
这些类型的攻击与说,他肯定已经发生,虽然是一个相对较新的威胁,他还没有见过公共数据对特定的违反。
+,5 g网络分割是很新的。它要求运营商有独立的5 g,而不是5 g层在现有的4 g LTE网络。基础设施现在越来越普及,运营商只是开始与切片实验。
例如,今年2月,新加坡电信宣布5 g security-as-a-slice能力,“在未来几个月将变得可用。”今年2月,爱立信公布一份报告称5 g切片为“短期机会。”今年3月,Verizon的布赖恩•Schromsky管理合伙人对其公共部门单位,说Verizon计划开始实施网络切片在今年年底。
但是周围的安全风险5 g网络片足够严重,去年12月,美国国家安全局和网络安全基础设施安全机构,发出警告并提供建议缓解这些风险。
安全问题并不局限于袭击个人片;他们还可以介于片如果网络没有财产担保,该机构说。“网络片管理不当可能允许恶意参与者从不同的网络访问数据片或拒绝访问优先级用户,”该报告说。
和德勤和弗吉尼亚理工大学的研究人员最近进行了一项概念验证测试和证明了横向运动,事实上,可能的。
说,例如,一个特定的设备连接到一个网络片,阿卜杜勒·拉赫曼说,德勤副副总裁,“我们需要做的就是谷歌供应商网站,找到默认的用户名和密码是什么,和建立一个用户名和密码的脚本尝试从不同的点在网络,”他说。
一旦一个初始片已经被突破,访问其他网络片可用于主,和妥协数据或设备所使用的其他客户。
据中国钢铁工业协会的报告,三个最大威胁5 g网络片拒绝服务(DoS)攻击,配置攻击和中间人攻击。
DoS攻击可以降低服务跨片。
DoS攻击,恶意演员洪水网络与交通所以每个设备或关键应用程序或组件使用相同的片停机。
根据今年早些时候发布的一份报告由ENEA AdaptiveMobile安全,拒绝服务攻击5 g网络不能减轻今天的方法和技术。
网络片有可能减少的DoS攻击通过隔离效果单个网段但前提是正确配置的基础设施。
但一些类型的攻击可以蔓延到其他片如果不采取适当的预防措施。例如,如果一个恶意软件妥协物联网设备连接到5 g网络,洪水与信息网络,它可以降低信号质量所有网络片共享同一频谱或其他物理资源。
另一个可能性是恶意mobile-edge计算应用程序感染一片,开始产生假和计算密集型任务。它将使用的计算资源,如果恶意软件能够规避计算资源分割策略,它可以影响所有其他片的性能计算共享相同的优势。
德勤,弗吉尼亚理工大学的释放一份报告总结4月5 g网络拒绝服务攻击向量。
“这是一个包含研究在实验室环境中,“说Shehadi Dayekh, 5 g和边缘专业领袖德勤。“但这是可行的。和它可以创建资源约束的共同基础设施这两片使用。”
此外,网络架构师可能不想重复每个每个片上网络函数,所以攻击特定的网络功能可能影响使用它的每一片,Dayekh说。
此外,还有一些片所要使用的共享资源。说,例如,一个运算符使用5 g网络片提供私人网络几个企业客户在同一地区。
“他们最终将使用一个发射塔给多个客户端,“Dayekh说。“你不能复制的发射塔和每一个客户。如果你妥协,特定的共享资源,这将最终影响其他客户。”
配置的攻击会导致广泛的妥协。
这些共享资源也可以提供一个机会之间的恶意软件扩散片,Dayekh说。例如,一个网络功能可能使用一组通用的服务器来提供不同的服务不同客户在不同的网络设备类型片。
在这种情况下,一个客户的物联网设备可能需要访问同一网络函数和它的底层基础设施作为另一个客户的车辆连接。“这是完全不同的行业和不同的客户,但由相同的计算节点有相同的网络功能,”他说。如果有一个弱点在物联网设备,攻击者利用,他们可以把恶意软件和其他设备通过同一网络连接功能。
物联网设备是臭名昭著的安全风险,因为他们中的许多人“老,很多可能是旧的固件,不修补,”他说。
但是其他的网络组件也可以使用默认的用户名和密码或者补丁,他补充道。
适当的网络基础设施的配置和共享的网络服务是关键,他说。“你有开放的港口吗?你有正确的分割,而不是让用户去发现更多的网络功能?”他说。
据中钢协、配置攻击可以有一个广泛的负面影响。恶意攻击者可以窃取数据从其他用户在同一网络片,但如果共享组件的访问方式的弱点,攻击者还可以获得另一个片。
“在虚拟架构将更难以检测和识别交通穿越这些网络的类型和减轻对任何新的威胁,“中钢协警告说。
中间人攻击危害数据。
5 g网络片也容易受到中间人攻击,中钢协表示,攻击者跳进中间的一个未加密的两个网络参与者之间的谈话。它可以听他们的通信窃取数据,传递的数据,或者关闭或缓慢的通信。
”这样的攻击可能是毁灭性的,因为错误的信息和虚假信息可能会导致恶意演员修改消息的内容,“中钢协说。
如何安全的网络片。
据中钢协,网络片安全的两个关键方面零信任体系结构(ZTA)和连续监测。
ZTA和多层安全、加密和隔离,可以帮助保护数据和系统攻击单独片内或跨不同的片。
监控可以检测恶意行为,但许多工具关注性能,而不是恶意攻击,该机构警告说。
网络运营商想要性能监控和服务质量监控、洞察力的与说。“但你真正需要的控制平面监测,监测实际网络的逻辑,以确保它是防止任何恶意的演员。”
运营商还应该考虑异常检测和入侵预防系统,他补充道。这些可以识别和阻止危险的行为。
网络安全始于良好的能见度,德勤的Dayekh说。“知道你的基础设施,了解每个组件是使用什么资源,跟踪物联网设备,和跟踪连接设备,是否已知或未知的设备。一旦你有可见性,你可以开始应用策略和规则连接的保护。”
然而,Kubernetes的扩张和部署服务和集装箱部署电信功能为运营商带来了挑战,德勤的Dayekh说。
它变得越来越难,可见性和控制网络流量和访问,这是增加可见性的复杂性,检测和响应,”他说。“尤其是当你有成百上千的新设备加入网络每一天。”
最后,运营商需要一个当预防措施失败的计划。
做好准备是很重要的如果一个攻击,Dayekh说。“你的行动计划是什么东西摔倒?你应该为了控制方法并能够防止进一步损害你的网络,”他说。
现实世界的攻击还没有浮出水面。
德勤在其实验室环境中运行测试,连接到大云hyperscalers Dayekh说。“你可以看出物联网设备有多个漏洞,开放端口,和过时的软件,”他说。“很明显,如果你看着它,主要组织没有的,在这一点上,完整的可见性连接,开始。”
Dayekh说,他没有看到成功的攻击脆弱片在野外,但是,“我相信这片存在,我相信同样的漏洞也适用于那些片。”
洞察力与说他还没有看到面向公众数据网络片被成功地攻击,“但它可能正在发生的事情。”
一线希望是,在短期内,网络分割攻击将难以实现,因为细胞技术的工作方式,与说。“5克,一般而言,是安全的在默认情况下,不同于wi - fi,开放在默认情况下,这将是难以妥协。”
wi - fi,所有你需要的是一个密码或某种类型的安全证书交换加入网络,但随着5克,你需要一个物理SIM卡或一个eSim甚至加入一个网络或网络片,他说。
攻击本身需要相当复杂的为了成功,切斯特Wisniewski说领域应用研究在全球网络安全公司Sophos的首席技术官。“到目前为止,几乎没有人之外的一个国家有资源有效地进行这样的攻击,”他说。
不过,Wisniewski敦促谨慎。
“如果你任务关键型应用程序采用5克,你不应该假定它将总是可用和unhackable,”他说。“就像任何通过公共网络进行通信的设备,设备应该始终使用加密和验证客户机和服务器身份交流。”