NSA和CISA联合发布《5G云基础设施安全保护指南》
编译:代码卫士
美国关键基础设施安全局 (CISA) 和美国国家安全局 (NSA) 分享了关于保护云原生5G网络安全的指南。
这两家机构为负责构建和配置5G云基础设施的服务提供商和系统集成商(包括云服务提供商、核心网络设备厂商和移动网络运营商)发布了建议。
这份指南共分四部分,是基于按照5G工作组要求而设立的“持久安全架构 (ESF)” 在2021年5月发布的一份白皮书构建的。同时,该指南也是政府和行业专家直接参与的结果,旨在识别5G安全风险。
CISA 和NSA 在联合公告中指出,“5G 网络是云原生网络,备受网络威胁行动者青睐,用于拒绝或降级网络资源或攻陷信息。为应对该威胁,必须以安全的方式构建和配置5G云基础设施,具备检测和响应威胁的能力,为部署安全的网络功能提供安全加固环境。“
今天,两家机构发布了指南的第一部分,主要关注缓解攻击者为攻陷5G云系统而进行的横向移动尝试。这两家机构表示,5G服务提供商和系统集成商应当采取如下措施,以拦截和检测5G云中的横向移动:
在5G云中实现安全身份和访问管理 (IdAM)
将5G云软件更新至最新状态,使其免受已知漏洞威胁
在5G云中安全地配置网络
锁定隔离网络功能中的通信
监控攻击者横向移动的指标
开发和部署分析,检测复杂的攻击情况
CISA 联合NSA 和国家情报总监办公室在5月份发布白皮书,介绍了关于5G 基础设施的潜在威胁向量信息。该白皮书概述了5G威胁向量并详细说明了策略和标准威胁场景、供应链威胁场景和5G 系统架构威胁场景的情况。NSA 网络安全总监 Rob Joyce 指出,“负责构建和配置5G云基础设施的服务提供商和系统集成商应用该指南,为改进国家网络安全状况贡献力量。“
5G 云基础设施安全指南的余下三个部分将关注:
第二部分:安全隔离网络资源:确保客户资源被安全隔离,强调保护支持运行虚拟网络功能的容器栈安全。
第三部分:保护传输中、使用中和闲置数据安全:确保网络和客户数据在数据生命周期的所有阶段都得到保护。
第四部分:确保基础设施的完整性:确保5G云资源(如容器镜像、模板和配置)未被越权修改。
欧盟成员国还在2019年10月发布了关于协同评估5G网络安全风险的报告。报告识别了主要威胁和威胁行动者、最敏感的资产以及可用于攻陷资产的主要安全漏洞。报告说明了使用唯一设备供应商带来的风险。如果大量运营商都在使用的某供应商设备中存在高风险,则设备和5G解决方案提供商缺乏多样性可导致整个5G基础设施存在漏洞。和5G网络相关联的安全风险还和网络与第三方系统之间的连接、以及第三方供应商将具有越来越多的5G网络访问权限之间存在关联。
欧盟发布的这份报告说明了欧盟成员国推出5G网络带来的安全后果:
增加了对攻击的暴露以及攻击者的更多潜在入口点;
鉴于5G网络基础架构和新功能的新特征,某些网络设备或功能变得越来越敏感,如基站或网络的关键技术管理功能。
因移动网络运营商对供应商的依赖而造成的越来越多的风险,将导致威胁行动者可利用越来越多的攻击路径并提高这类攻击的潜在影响程度。
在由供应商引发越来越多的风险暴露上下文中,个体供应商的风险资料将变得尤为重要,包括供应商遭非欧盟国家的干涉。
严重依赖供应商带来的风险越来越大:对某个供应商的严重依赖将可能引发供应链中断,比如因商业失败及其后果而造成的中断。
网络可用性和完整性威胁将成为主要的安全问题。
欧盟成员国在2019年联合发布的5G网络安全风险报告中还详细说明了漏洞详情、风险场景和缓解措施等。
CISA 和 NSA 发布的联合公告可见:
https://media.defense.gov/2021/Oct/28/2002881720/-1/-1/0/SECURITY_GUIDANCE_FOR_5G_CLOUD_INFRASTRUCTURES_PART_I_20211028.PDF
5G 协议新漏洞可追踪位置信息
移动互联网新协议 GTP 中被曝多个高危漏洞,影响4G和5G 用户
https://www.bleepingcomputer.com/news/security/nsa-and-cisa-share-guidance-on-securing-5g-cloud-infrastructure/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。