令美国闻风丧胆的5G网络究竟有哪些威胁?最新最全的“5G威胁图谱”来了!
2019加入学术plus丨2018学术大礼包丨2017不可以错过的重磅报告们
2019年11月,ENISA(欧盟网络信息安全局)在欧盟成员国、欧盟委员会和专家组的支持下,发布了题为《Threat Landscape of 5G Networks》的报告,分析了5G网络所存在的安全威胁。
报告根据国家级的风险评估,列出了10个高级风险场景。同时还描述了5G网络安全威胁图谱和5G网络在安全方面的挑战。具体包括:创建综合5G架构、识别重要资产(资产图表)、对影响5G的威胁进行评估(威胁图表)、识别资产暴露的程度(威胁-资产映射)、以及威胁源动机的初步评估。
ENISA发布网络5G网络威胁图谱
作者:学术plus高级评论员 张涛
进行威胁和风险识别所用的方法是基于ISO/IEC 27005:2008 信息安全技术风险管理国际标准的。
本报告中描述了资产(assets)、威胁(threats)和威胁源(threat agents)之间的关系。威胁在风险评估中处于关键位置,尤其是考虑了风险的不同部分。ISO 27005中的描述为:“威胁滥用资产的漏洞来产生对组织的破坏”。根据该方法,研究人员识别和分析了资产和网络威胁。
图:5G网络技术架构
传统ICT系统中,资产包括:
5G中的资产种类包括:
(5)协议(protocol)。该资产指5G网络基础设施使用的主要通信协议,包括网络通信、无线通信和安全中的协议。(6)数据网络(data network)。该资产表示与5G网络之外的外部数据、内容、服务和其他资源的连接。数据网络用于连接不同类型的5G网络、运营商和服务提供商。(7)切片(slicing)。该资产表示所有负责切片创建和管理的5G功能。(8)数据(data)。该资产包括所有的5G操作相关的数据,也就算是5G数据机密性和安全性相关的数据。
(9)人类资产(human assets)。这是最重要的资产种类,表示5G网络运行和使用中所有的参与者。(10)时间(time)。时间也是5G网络中的重要资产,在许多与时间相关的功能中起着非常重要的角色,比如QOS、网络管理、虚拟化管理。(11)法律相关(legal)。这类产品是与不同的合同协议和知识产权(IPR)相关的资产。(12)遗留资产(lagacy)。此类资产包括连接到5G网络或在从2G到5G演进过程中使用的遗留系统,具体包括物理网络功能、服务网关、管理实体、包网关、遗产协议、遗产加密基础设施等。
(13)数据仓库(data storage)。此类资产包括实现保存的5G数据的访问和持久性。(14)物理基础设施(physical infrastructure)。此类资产包括所有的5G物理资产,主要是IT组件、线缆和数据中心、以及用户设备。具体来说有网络硬件、云和运营数据中心、各类用户设备和无线访问硬件。
(15)管理和编排(Management and orchestration,MANO)。此类资产表示与管理和编排相关的所有资产。MANO负责管理整个5G网络功能、虚拟化和全生命周期相关的功能,因此被认为是5G基础设施最重要的部分。
(16)无线接入网(Radio Access Network,RAN)。RAN表示负责RAN的所有功能的逻辑组件,主要包括无线接入的分布单元和控制单元。(17)网络功能虚拟化(NFV)。这类资产含有所有总专用硬件中虚拟出来的的网络功能。NFV资产包括所有的安全功能,即负责处理所有必要的认证、监控和订阅。(18)软件定义网络(SDN)。是指与SDN网络控制器、虚拟网络交换机、数据层、应用层和控制层相关的资产。
(19)合法侦听(Lawful Interception,LI)。LI资产是指执行合法监听、提供对5G私有通信的合法访问的所有相关的5G功能。(20)传输(Transport)。Transport资产表示用于网络传输的所有通信信道。包括卫星、微波通信、以太网和NFC等。这类资产对于通信的可用性来说是非常重要的。(21)虚拟化(Virtualisation)。随着5G网络的虚拟化,虚拟化功能在5G中所处的角色非常重要。这类资产中包括与虚拟机技术和Hypervisor(虚拟机监视器)相关的所有技术。(22)云。云计算技术也5G架构中也有广泛的应用,包括通过SaaS和IaaS提供的服务。这类资产包括逻辑云服务,与云相关的硬件部分划分在物理基础设施资产部分。(23)移动多接入边缘计算(Multi-access Edge Computing,MEC)。这类资产是位于用户或边缘设备的与云功能相关的分布式资产。(24)应用程序接口(Application Programming Interfaces,APIs)。API在5G生态中也起着非常重要的作用。允许应用和服务来进行网络功能编程,与不同的网络和运营者进行交互。5G网络也在电信通信系统中引入了REST API。(25)安全控制。该类资产包含与通用通信网络和5G网络相关的一些安全控制。包括但不限于应急响应、DOS保护、入侵检测、防火墙、网络流量分析和安全边缘保护代理。
图:识别出的5G网络资产种类
图:资产与CIA的关系
滥用远程访问。有关键网络组件访问权限的恶意攻击者控制虚拟机来执行其他类型的攻击。
认证流量剧增。恶意攻击者短时间发送大量的认证请求。
滥用用户认证、授权数据。与泄露用于认证和安全控制的长期密钥有关的威胁。
滥用位于第三方服务的网络功能。由于核心网功能位于第三方云服务提供商系统所引发的可用性和敏感数据泄露威胁。
滥用合法监听功能。网络运营商、服务提供商、服务提供商滥用合法监听功能引发的威胁。
API利用。利用API接口来发起不同类型的攻击的威胁。
网络、服务和安全架构和规划不合理。不合理的设计、规划引发的非故意的危害。
错误配置或配置不充分的系统和网络引发的威胁。一般也被称之为安全漏洞。
网络、系统和设备的错误使用或管理。
与漫游互连相关的欺诈场景。
横向运动。
内存碎片。
网络流量操纵、网络监听和信息收集。
网络配置数据的操纵。
核心网组件的恶意洪泛攻击。
流量的恶意转移。
网络资源编排的恶意操纵。
审计工具误用。
共享资源的欺诈性使用。
恶意网络功能的注册。
流量嗅探。
侧信道攻击。
滥用频谱资源。 ARP污染(投毒)。 伪造的接入网节点。 洪泛攻击。 IMSI攻击。 感染无线电频率。 MAC欺骗。 接入网配置数据操纵。 无线电干扰。 无线流量操纵。 Session(会话)劫持。 信号欺骗。 信号风暴。
错误或伪造的MEC网关。 边缘节点过载。 滥用边界开放API接口。
滥用数据中心互联协议。
滥用云计算资源。
网络虚拟化绕过。
虚拟化主机滥用。
硬件设备操纵。 影响网络基础设施的自然灾害。 网络基础设施的物理破坏。 来自访问MMO设备的第三方人员的威胁。 UICC格式利用。 用户设备被黑的威胁。
DOS(拒绝服务攻击)。 数据泄露、窃取破坏和信息操纵。 窃听。 利用软件和硬件的漏洞。 恶意代码或恶意软件。 供应链、厂商和服务提供商被黑的威胁。 有针对性目标的威胁。 利用安全、管理和运营过程的漏洞。 滥用认证。 身份窃取或欺骗。
图:5G威胁图谱
基于识别的资产和存在的威胁,ENISA提出了欧盟级(欧盟成员国、欧盟委员会、ENISA)的建议:
在相关利益方之间共享现有的5G知识;为相关利益方建立桥梁;确保必要的循环来改善当前网络威胁的材料;参与欧盟范围内5G事务的讨论;引入有关经济/投资/市场渗透维度的知识。
在5G安全领域国家竞争主体之间的建议有:
共享和传播现有的5G资料;告知责任范围内的5G活动;提供可用的专家和人力资源。
未来ENISA将参与以下工作:
各类利益相关者传播当前资产和威胁状况的详细信息。根据5G发展步伐改进/修改现有材料。建立吸引和动员战略利益相关方参与的制度和方法。
(全文完)
张涛,学术plus高级评论员,专注研究人工智能产业技术与网络信息安全。
人工智能在国防领域的七大应用丨美国最新发布《国防部人工智能原则》看懂了吗?这就是军用AI的前期部署啊!丨美国国防部2019年消费账单出炉,竟频频打脸!丨欧盟发布《5G网络安全风险评估报告》,并未将中国列入威胁丨美国最新《2019空军人工智能战略》解析丨5G失利,美国想引领6G?丨美发布《5G市场份额和风险分析》简报丨【CNAS】美国战法转型丨欧盟AI发展不起来的原因丨我国的三艘航母丨特朗普签署《网络安全人才行政令》我国网络安全人才缺口超100万丨俄罗斯断网进行时,战斗种族也怕美国?丨欧盟最新《AI网络安全政策发展框架》丨中美AI竞赛,中国惜败?丨两会热点:人工智能立法丨美新一轮技术出口管制,或得不偿失丨美国国会发布《美国未来四大战略威胁》丨人工智能监管指南丨关于区块链你必须知道的:10个行业案例+核心问题与解决方案丨中美贸易战下,日本被这4个困境团团围住丨【Nature】如果AI可以预测和限制战争?丨【麦肯锡】政策制定者必读的AI报告:人工智能时代应解决这三件事丨美国发布《武器系统网络安全报告》丨欧盟发布国家网络安全战略评估工具,涵盖15个目标142个问题丨美国发布AI白皮书《机器崛起:人工智能及对美国政策不断增长的影响》丨网络战,没有规则!丨美国《国家网络安全应急措施》四大挑战与十项措施丨Deepfakes变脸术 竟成为美国国家安全的新威胁丨【布鲁金斯】2020-2040年军事技术变化预测丨【五眼情报联盟】最新发布:加密数据三原则丨机器学习的偏见丨牛津大学在思考:如何让AI成为一个好人?丨无人驾驶,法律你准备好了吗?
长按识别二维码查看更多观点或进入公众号“个人专栏”结识“学术plus”专家作者团队。
展望2019
人间不合逻辑,同志尚须努力丨2019年的世界与中国丨智库2019:救赎与涅槃丨2019 全球财经关键词丨2019 法学界大事件丨2019 全球财经关键词丨2019 后真相时代的痛点丨2019 世界战斗机如何发展?
点击领取:2018学术大礼包
声明:版权归原作者所有。文章观点不代表本机构立场。图片均来自与网络。
《中国电子科学研究院学报》欢迎各位专家、学者赐稿!投稿链接
http://kjpl.cbpt.cnki.net
学报电话:010-68893411
学报邮箱:dkyxuebao@vip.126.com