查看原文
其他

5G对物联网安全的8个关键影响

nana 数世咨询 2021-05-22
在5G环境中,每个物联网安全问题都会被大幅放大。部署5G之前,请解决好这8个方面的事宜。
超高速5G移动网络不仅可以提高人们相互联系的效率,还可以实现机器、物体和设备间更好的互连和控制。其高Gbps数据传输速率、低延迟和高容量,无论对消费者还是企业来说都是福音。但这一切伴随着新型重大安全风险,因为早期采用者仍处于学习和摸索阶段。
全球家电制造商惠而浦(Whirlpool)已经开始在旗下一家工厂开展5G部署工作。该公司使用物联网设备,利用传统局域WiFi网络进行预测性维护、环境控制和过程监控,但5G能使该公司做到使用WiFi无法完成的事:部署自动驾驶叉车和其他车辆。
惠而浦北美地区IT和OT制造基础设施应用经理道格拉斯·巴恩斯(Douglas Barnes)表示:“我的工厂里到处都是金属。金属会反射WiFi信号。即使我在工厂里用了网状WiFi,我们的金属还是太多了。但5G可以穿墙,而且不会被金属反射。”
这意味着,一旦5G在工厂车间安装到位,惠而浦可以做出巨大的改变。他说:“这将使我们能够在整个工厂里真正全面使用自动驾驶汽车,用于维护、交付和支持生产运营的所有事务。这个业务案例分量极重,能节省很多开支。5G的回报是非常有利的。”
他表示,公司已经做了测试,确保自动驾驶汽车能正常运行。资金将在本月到位,这些自动驾驶汽车今年年底前就能运行在5G上了。“只要我们能成功,自动驾驶汽车的业务案例将值回其他一切。”
巴恩斯敏锐地意识到,物联网已经给企业带来了新的网络安全问题,而所有这些问题在切换到5G时将会被大幅放大。惠而浦与其5G合作伙伴AT&T共同解决这些隐忧。巴恩斯称:“我们每天都在跟这些问题缠斗。在真正开始前,我们与AT&T谈论的第一个话题,就是怎么打造一个安全的5G网络。”
在创建5G实施计划时,惠而浦这样的公司企业需要考虑下列8个关键方面的问题。
1. 加密和保护5G网络流量
随着5G的发展,接入网络的智能设备数量预计将急剧增加,这些网络的流量也将显著增长。Gartner调查研究表明,明年企业和汽车物联网设备的数量将增长至58亿台,比今年预计的48亿台物联网端点设备增长21%。这就使得这些网络成为了攻击者的理想环境——可供选择的攻击目标比现在丰富得多。
巴恩斯表示,为解决此问题,惠而浦将加密5G流量,并将5G天线配置为仅接受经批准的流量。他说:“在添加设备的时候,我们在5G网络上将之配置为可接受的设备。只要不在白名单上,我们就不监听。而由于是加密的,我不担心有人试图捕获信号,因为捕获了也没什么用。”
一旦流量离开本地网络,进入到公共5G网络或互联网,通信将经由加密VPN隧道保证安全。他解释道:“因为可能不得不使用5G与外界通信,我们预先设置了这些加密信道。”
2. 保护并隔离易受攻击的设备
设备本身也是潜在脆弱点。业内安全意识其实不是很高。尤其是工业设备,这些设备通常采用专有操作系统,并且毫无安装补丁或许可堵上漏洞的能力,在设计时就没想过要预留补丁安装接口。
Barracuda Networks高级安全研究员乔纳森·坦纳(Jonathan Tanner)表示,事实上,大多数物联网安全问题尚未解决。他说,有些设备的问题无法通过固件更新来修复,或者就没有更新固件的机制。即使设备制造商在下一代设备中加装安全功能,那些不安全的旧型号仍然散落各处继续运行。
坦纳补充道,有些公司无视指出漏洞的安全研究人员。一些生产出脆弱设备的公司已经倒闭了。他们的设备里满是原来就有的各种漏洞也没人管。
如果被这种不安全的物联网设备绊住手脚,该怎么办呢?惠而浦的巴恩斯认为,网络隔离结合上其他网络安全技术,可以提供一定的保护。他说:“我们采取了双层方法:监控所有流量的网络安全层,以及执行深度包检测的二级安全层。第二层安全建立在协议层面上,查找协议中植入的那类恶意活动。”
此外,还有一般意义上的安全措施,比如尽可能打上补丁,定期对所有设备执行安全审计,全面清查统计网络上的所有设备。 
3. 为大型DDoS攻击做好准备
一般来说,5G并不意味着不如前几代无线技术安全。诺基亚威胁情报实验室主管凯文•麦克纳米(Kevin McNamee)表示:“5G确实带来了4G或3G无法提供的新安全功能。5G的整个控制面板已迁移至Web服务类型的环境,这种环境采用强身份验证,非常安全。这是安全上的进步。”
但与此同时,僵尸网络在5G环境中拥有更多发展壮大的机会,也可能会抵消掉这些安全上的改进。麦克纳米称:“5G将大大增加设备的可用带宽。而物联网僵尸主机也能利用这些大幅增加的带宽。”
增加的带宽可被用于查找更多脆弱设备和扩散感染,僵尸网络也可以找到更多脆弱设备加以利用。智能家居设备的销量逐年增长,且增长速度越来越快。与惠而浦一样,企业也是物联网设备的大用户。还有政府部门和其他类型的组织机构在不断购入物联网设备。
借助5G,难以维护的偏远地区也可以设置各种设备。ESET安全研究员,俄勒冈州无线互联网服务提供商协会联席主席卡梅隆•坎普(Cameron Camp)表示:“将会有大量传感器记录一切,从天气到空气质量到视频馈送。这意味着有许许多多的新机器可能被黑,被征召进僵尸网络中作恶。但由于这些传感器在很大程度上无人看管,我们将难以发现和响应此类黑客事件。”
此外,物联网设备通常更新没那么频繁。用户不会替换仍然可以实现预期功能的设备。攻击者也会保持低调,让僵尸网络不引起任何注意。即使有可用的补丁,或者制造商推出了更新、更安全的版本,客户也可能不会费心更新或升级换代。
同时,许多智能物联网设备运行的是嵌入式Linux之类真正的操作系统,这些设备几乎就是全功能的计算机。攻击者可利用被感染的设备托管非法内容、恶意软件、命令与控制(C2)数据,以及其他有价值的系统和服务。用户却不会将这些设备视为需要防病毒保护、修复和更新的计算机。许多物联网设备也不保留入站和出站流量的日志。因而,攻击者能够保持匿名,想关停僵尸网络也就更难了。
这构成了三重威胁。潜在可利用设备的数量、可用于扩散僵尸网络的带宽、僵尸主机执行DDoS攻击的可用带宽,统统增加了。由于很多设备依然不安全,有些设备还根本无法修复,相比当前状况,5G环境下公司企业需应对的DDoS攻击规模呈数量级上升。
4. 转向IPv6可能会令私有互联网地址变得公开
随着设备数量激增和通信速度提升,公司企业可能会想尝试使用IPv6代替当前常见的IPv4。IPv6是容纳更长IP地址的网际协议,于2017年成为互联网标准。
IPv4仅有43亿个网络地址可用,不能满足为激增的网络资源分配地址的需求。早在2011年,一些互联网注册管理机构就开始无址可分了,2012年开始,组织机构纷纷转向使用IPv6。但互联网协会(The Internet Society)的资料显示,直至今日,仅有不到30%的谷歌用户通过IPv6访问谷歌平台。
诺基亚的麦克纳米称,很多组织机构和几乎全部家用设备,还有很多手机网络,都在使用私有IPv4地址。这些私有地址为他们提供了天然的保护,因为在互联网上不可见。
随着5G时代的到来,为支持几十亿新增设备,运营商自然会迁移到IPv6。如果他们选择采用公共IPv6地址而不是私有地址,这些设备就会变得可见。这不是IPv6的问题,也不是5G的问题,但将设备从IPv4迁移到IPv6的企业,可能会将设备意外放到公共地址上。
5. 边缘计算助长攻击界面
公司企业想要为客户或自身分布式基础设施减少延迟、提升性能,他们将目光投向了边缘计算。借助5G,边缘计算的优势还能更大,因为端点设备将能拥有更强的通信能力。
但是,边缘计算也会大幅增加潜在的攻击界面。尚未开始转向零信任网络架构的公司企业,现在应该开始考虑这事儿了,要在大幅投入边缘计算基础设施之前完成向零信任网络的迁移。真正开始构建边缘计算基础设施的时候,安全应是首要考虑,而非事后补救。
6. 物联网供应商重视率先进入市场而轻安全
物联网淘金潮将激励一批新供应商进入这个领域,也将刺激现有供应商加快向市场推出新产品的脚步。Barracuda高级安全研究员坦纳称,寻找漏洞的安全研究人员已经赶不上物联网设备的推出速度了。随着新制造商的不断涌入,我们将见证新一轮的安全漏洞爆发。
据坦纳观察,同样的错误不断重现,物联网设备的漏洞报告一直在上升,从未下降。“前事不忘,后事之师”这句话,似乎并未在前赴后继的物联网供应商身上体现分毫。
A-lign Compliance and Security公司渗透测试主管乔·柯蒂斯(Joe Cortese)称:“供应商一点都不在意安全。今年早些时候,我买了5个与开关灯相关的设备,其中4个我从屋子外面就能访问。供应商从未移除设备中内置的测试模式。”
柯蒂斯表示,所有供应商都想首先进入市场。对很多供应商而言,推出设备的最快方式,就是使用嵌入式Linux等现成的平台。他说:“我以前在情报部门工作。最近,我经手的一个恶意软件只用7行代码就能搞定一台设备。不加固自身设备安全的制造商,对此类攻击毫无抵抗力。”
使用这类恶意软件,攻击者可以关停工厂或关键基础设施,或者劫持公司企业的系统索要赎金。柯蒂斯说:“我还没看到此类安全事件发生,但这仅仅是因为5G尚未广泛部署。随着5G采纳增加和物联网设备数量增长,我们很可能会看到制造业系统漏洞利用井喷。”
7. 小心假冒攻击
因为大多数5G网络不是独立组网,4G和更早些的协议中固有的一些缺陷,仍能影响到5G网络。在4G等早期网络上传输用户和控制流量的GTP协议就是其中一例。攻击者可以利用GTP协议中的一个漏洞拦截用户数据,进而实施假冒攻击。
Positive Technologies公司最近发布了一份报告,描述GTP协议漏洞及其对5G网络的影响。其中一个漏洞就是GTP不检查用户的位置,导致无法判断哪个流量才是合法的。攻击者冒充用户所需要的全部东西,仅仅是用户的IMSI用户识别码和TEID隧道标识。后者很容易获取,但攻击者有多条途径获得IMSI,最简单的办法就是在暗网上购买数据库了。
为方便用户而执行直通身份验证的服务,也常会方便攻击者开展假冒攻击。这一便利还可能会导致第三方合作伙伴遭遇未授权访问。
Positive Technologies的研究人员建议组织机构跟踪用户或设备位置,但又指出,大多数网络上并未部署执行跟踪所需的安全工具。
8. 应有人负责物联网安全
物联网安全最大的障碍并不是技术上的,而是心理上的。没人愿意承担责任。谁都想指责别人。买家指责供应商制造的设备不安全。供应商责怪买家选择廉价的不安全产品。在5G世界中,假设别人该为物联网安全负责的后果将会严重得多。
Radware去年发布的一份调查研究表明,34%的受访者认为设备制造商应为物联网安全负责,11%的受访者认为物联网安全的责任人应该是服务提供商,21%认为责任在私人消费者身上,还有35%认为公司企业应为此承担责任。Radware战略副总裁麦克·奥马利(Mike O’Malley)称:“换句话说,根本没有什么共识。而且,消费者也没有这方面的知识或技能。”企业雇不到足够的人手。制造商又是一盘散沙,各自为战,难以控制。
企业可以雇佣服务提供商来减轻一些负担,但问题依然存在,比如不安全的消费者设备、不想做出改变的制造商,还有不一致的全球监管和实施。
物联网安全人人有责。买家需保持所购买产品没有遗留默认密码或测试模式,采用经加密和身份验证的通信,并定期修复和更新设备。供应商需下架不安全设备,并在产品设计过程初期就引入安全,而不是在发生安全事件之后,更不是在安全事件见诸报端之后。
关键词:5G;物联网安全

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存