導(dǎo)讀:高速的5G移動網(wǎng)絡(luò)不僅可以使人們更高效地連接,而且還可以實現(xiàn)對機器、對象和設(shè)備更高的互連性和更好的控制。其更大帶寬、更高數(shù)據(jù)傳輸速率、低延遲和高容量將為企業(yè)帶來福音。但隨著5G的廣泛應(yīng)用,也將面臨一些重大安全風(fēng)險。
圖片來自“123RF”
5G帶來的高速移動網(wǎng)絡(luò)賦予企業(yè)更高效地處理信息和數(shù)據(jù)的能力;然而在實際應(yīng)用中,5G也帶來了許多挑戰(zhàn)。在本文中,作者以惠而浦、諾基亞等公司為例,主要分析了5G在于物聯(lián)網(wǎng)融合的過程中可能會帶來的安全問題,以及企業(yè)規(guī)避與化解這些問題的方法。
高速的5G移動網(wǎng)絡(luò)不僅可以使人們更高效地連接,而且還可以實現(xiàn)對機器、對象和設(shè)備更高的互連性和更好的控制。其更大帶寬、更高數(shù)據(jù)傳輸速率、低延遲和高容量將為消費者和企業(yè)帶來福音。隨著5G的廣泛應(yīng)用,也將面臨一些重大安全風(fēng)險。
例如,全球家電制造商惠而浦公司開始為旗下一家工廠推出5G,該公司在此過程使用物聯(lián)網(wǎng)設(shè)備進(jìn)行預(yù)測性維護(hù)、環(huán)境控制、使用傳統(tǒng)局域網(wǎng)WiFi網(wǎng)絡(luò)進(jìn)行流程監(jiān)控,但是5G可以使該公司能夠?qū)崿F(xiàn)WiFi不可能完成的事情:調(diào)度自動叉車和其他車輛。
惠而浦北美地區(qū)IT和OT制造基礎(chǔ)設(shè)施應(yīng)用程序經(jīng)理Douglas Barnes說:“我的工廠里有很多金屬物品,WiFi會被金屬產(chǎn)品反射。但是5G技術(shù)會穿透墻壁,并且不會被金屬反射。而一旦5G技術(shù)在工廠部署,我們的業(yè)務(wù)可能發(fā)生巨大的改變。這將使我們能夠在工廠使用真正的自動駕駛車輛進(jìn)行維護(hù)、交付,以及支持生產(chǎn)的一切工作。這個業(yè)務(wù)案例具有示范意義,并將節(jié)省大量成本。5G的回報非??捎^?!?/p>
他說,該公司已經(jīng)進(jìn)行了測試,以確保自動駕駛汽車能夠工作。并將在本月分配資金,自動駕駛車輛將在今年年底前采用5G技術(shù)。他說,“如果我們采用5G實現(xiàn)這些目標(biāo),那么自動駕駛汽車的商業(yè)案例將會獲得更大的成功?!?/p>
Barnes敏銳地意識到物聯(lián)網(wǎng)已經(jīng)為企業(yè)帶來的網(wǎng)絡(luò)安全問題,以及這些問題在多大程度上會因為采用5G技術(shù)而加劇?;荻止九c5G技術(shù)合作伙伴AT&T公司合作解決了這些問題。他說,“我們每天都在應(yīng)對網(wǎng)絡(luò)安全問題。因此在開始實施之前,我們和AT&T公司討論的第一件事就是它將如何成為一個安全的網(wǎng)絡(luò)。”
以下是惠而浦等公司在制定5G實施計劃時需要考慮的七個關(guān)鍵問題:
加密和保護(hù)5G網(wǎng)絡(luò)流量
借助5G,預(yù)計物聯(lián)網(wǎng)設(shè)備的數(shù)量將急劇增加,這些網(wǎng)絡(luò)上的流量也會隨之增加。根據(jù)調(diào)研機構(gòu)Gartner公司的調(diào)查,2020年全球物聯(lián)網(wǎng)設(shè)備的數(shù)量將增加到58億臺,比今年預(yù)計的48億臺物聯(lián)網(wǎng)設(shè)備總數(shù)增加21%。這使得這些網(wǎng)絡(luò)成為網(wǎng)絡(luò)攻擊者的一個目標(biāo)豐富的環(huán)境。
Barnes說,為了解決這個問題,惠而浦公司將加密所有5G數(shù)據(jù)流量,并將5G天線配置為只接受經(jīng)批準(zhǔn)的數(shù)據(jù)流量。他說,“當(dāng)我們添加設(shè)備時,將它們配置為5G上可接受的設(shè)備。如果沒有列入白名單,我們就不會添加。而且由于它是加密的,所以我不會擔(dān)心有人捕獲該信號,因為他們對此無能為力?!?/p>
他說,如果數(shù)據(jù)流量離開本地網(wǎng)絡(luò),并通過公共5G或全球互聯(lián)網(wǎng)傳輸,則將通過受保護(hù)的VPN隧道來保護(hù)通信。他說:“由于可能必須使用5G與外界進(jìn)行通信,因此我們預(yù)先進(jìn)行了設(shè)置?!?/p>
保護(hù)和隔離易受攻擊的設(shè)備
Barnes說,“下一個潛在的弱點是物聯(lián)網(wǎng)設(shè)備本身。物聯(lián)網(wǎng)的一些行業(yè)人士都沒有這樣的安全意識。尤其是通常具有專用操作系統(tǒng)的工業(yè)設(shè)備,這些設(shè)備無法安裝禁止其使用的補丁程序或許可證,它們在設(shè)計時并沒有考慮補丁?!?/p>
Barracuda Networks公司高級安全研究員Jonathan Tanner表示,事實上,大多數(shù)物聯(lián)網(wǎng)安全問題都沒有得到解決。他說,某些設(shè)備存在固件更新無法修復(fù)的問題,或者沒有更新固件的機制。即使設(shè)備制造商在下一代設(shè)備上增加了安全功能,那些不安全的原有設(shè)備仍然處于危險之中。
Tanner補充說,有些公司并不在意,并忽略了指出漏洞的安全研究人員的建議。他說,“設(shè)備存在很多漏洞并且易受攻擊的一些企業(yè)已經(jīng)倒閉?!?/p>
當(dāng)企業(yè)使用這些不安全的物聯(lián)網(wǎng)設(shè)備時應(yīng)該怎么辦?惠而浦公司的Barnes說,網(wǎng)絡(luò)隔離有助于保護(hù)它們,并與其他網(wǎng)絡(luò)安全技術(shù)結(jié)合使用。他說,“我們采用兩層方法。監(jiān)視所有流量的網(wǎng)絡(luò)安全性,以及更受協(xié)議驅(qū)動的二級安全性,可執(zhí)行深入的數(shù)據(jù)包檢查,查找協(xié)議中嵌入的惡意活動類型?!?/p>
除此之外,還有通用的安全衛(wèi)生措施,例如盡可能地打補丁,定期對所有設(shè)備進(jìn)行安全審計,所有物聯(lián)網(wǎng)設(shè)備都具有完整的設(shè)備清單。
為更大的DDoS攻擊做好準(zhǔn)備
一般來說,5G并不意味著比前幾代無線技術(shù)的安全性更弱。諾基亞威脅情報實驗室主任Kevin Mcnamee表示:“5G確實帶來了4G或3G所無法提供的新安全功能,有了5G,整個控制平臺都被轉(zhuǎn)移到了一種Web服務(wù)類型的環(huán)境中,在這種環(huán)境中,它經(jīng)過了嚴(yán)格的認(rèn)證,而且非常安全。”
McNamee說,僵尸網(wǎng)絡(luò)機會的增加將影響安全性的提高。他說,“5G將大大增加設(shè)備可用的帶寬。增加帶寬會增加物聯(lián)網(wǎng)機器人可用的帶寬。”
增加帶寬將用于解決的問題之一是查找更多易受攻擊的設(shè)備并傳播感染,并且僵尸網(wǎng)絡(luò)將會發(fā)現(xiàn)更多易受攻擊的設(shè)備。消費者正在大量購買智能家居設(shè)備。與惠而浦公司一樣,很多企業(yè)也是物聯(lián)網(wǎng)設(shè)備的大用戶,政府機構(gòu)和其他類型的組織也是如此。
5G將使物聯(lián)網(wǎng)設(shè)備可以放置在難以維護(hù)的偏遠(yuǎn)地區(qū)。ESET公司安全研究員、俄勒岡州無線互聯(lián)網(wǎng)服務(wù)提供商協(xié)會聯(lián)合主席Cameron Camp說,“將會有大量的傳感器記錄從天氣、空氣質(zhì)量到視頻饋送的所有內(nèi)容。這意味著有大量新的機器可能被黑客入侵。并加入僵尸網(wǎng)絡(luò)。由于這些傳感器大部分無人值守,黑客將難以發(fā)現(xiàn)和應(yīng)對?!?/p>
物聯(lián)網(wǎng)設(shè)備也往往會使用一段時間,用戶不會替換仍然可以實現(xiàn)預(yù)期功能的物聯(lián)網(wǎng)設(shè)備。網(wǎng)絡(luò)攻擊者希望對他們的僵尸網(wǎng)絡(luò)采取低調(diào)的方法,以使不會引起注意。即使提供可用的補丁程序,或制造商銷售更新的、更安全的設(shè)備版本,很多客戶也可能不會進(jìn)行更改。同時,許多智能物聯(lián)網(wǎng)設(shè)備正在運行諸如嵌入式Linux之類的真實操作系統(tǒng),從而使它們可以完全發(fā)揮作用。
被感染的設(shè)備可用于托管非法內(nèi)容、惡意軟件、命令和控制數(shù)據(jù)以及對攻擊者有價值的其他系統(tǒng)和服務(wù)。用戶不會將這些設(shè)備視為需要防病毒保護(hù)、修補和更新的計算機。許多物聯(lián)網(wǎng)設(shè)備沒有保留入站和出站流量的日志。這使攻擊者可以匿名,并使得關(guān)閉僵尸網(wǎng)絡(luò)更加困難。
這就構(gòu)成了三重威脅。潛在可利用設(shè)備的數(shù)量、僵尸網(wǎng)絡(luò)的可用帶寬,以及DDoS攻擊的可用帶寬增加。企業(yè)現(xiàn)在需要為5G環(huán)境中出現(xiàn)的DDoS攻擊做好準(zhǔn)備,因為許多設(shè)備仍然不安全,有些設(shè)備無法打補丁。
轉(zhuǎn)移到IPv6可能會使專用全球互聯(lián)網(wǎng)地址公開
隨著設(shè)備的激增和通信速度的提高,企業(yè)可能會傾向于使用IPv6代替當(dāng)今常見的IPv4。允許更長IP地址的IPv6在2017年成為互聯(lián)網(wǎng)標(biāo)準(zhǔn)。
現(xiàn)在只有43億個IPv4地址,今后沒有足夠的IPv4地址可以訪問。在2011年,一些注冊管理機構(gòu)的IP v4地址供不應(yīng)求,而組織于2012年開始使用IPv6地址。但是,根據(jù)國際互聯(lián)網(wǎng)協(xié)會的數(shù)據(jù),如今,只有不到30%的谷歌用戶通過IPv6訪問該平臺。
諾基亞公司的McNamee表示,許多組織以及幾乎所有住宅設(shè)備和許多移動電話網(wǎng)絡(luò)都沒有使用IPv6,而是使用私有IPv4地址。他說:“這為他們提供了免受攻擊的保護(hù)措施,因為它們在互聯(lián)網(wǎng)上不可見?!?/p>
隨著全球轉(zhuǎn)向5G,運營商自然會轉(zhuǎn)向IPv6,以支持?jǐn)?shù)十億臺新設(shè)備。如果他們選擇公共IPv6地址而不是私有地址,那么這些設(shè)備現(xiàn)在將是可見的。他說,這不是IPv6的問題,也不是5G的問題,但是將其設(shè)備從IPv4遷移到IPv6的企業(yè)可能會意外地將其放置在公共地址上。
邊緣計算增加了攻擊面
希望為客戶或他們自己分散的基礎(chǔ)設(shè)施減少延遲并提高性能的企業(yè)越來越多地關(guān)注邊緣計算。借助5G,端點設(shè)備將具有更多的通信能力,邊緣計算的優(yōu)勢將變得更大。
邊緣計算還大大增加了潛在的攻擊面。尚未開始使用零信任網(wǎng)絡(luò)架構(gòu)的企業(yè)應(yīng)該在考慮對邊緣計算基礎(chǔ)設(shè)施進(jìn)行大量投資之前就考慮這個問題。當(dāng)他們確實做到這一點時,安全性是首要考慮因素,而不是事后考慮。
新的物聯(lián)網(wǎng)廠商專注于快速進(jìn)入市場,而不是安全性
物聯(lián)網(wǎng)淘金熱將激勵新的物聯(lián)網(wǎng)供應(yīng)商進(jìn)入該領(lǐng)域,并鼓勵現(xiàn)有的供應(yīng)商將新設(shè)備推向市場。Barracuda公司的Tanner說,物聯(lián)網(wǎng)設(shè)備的數(shù)量已經(jīng)遠(yuǎn)遠(yuǎn)超過尋找漏洞的安全研究人員的處理能力。他說,隨著新制造商的加入,人們將看到一個全新的安全錯誤周期。
同樣的錯誤多次地出現(xiàn),物聯(lián)網(wǎng)設(shè)備的漏洞正在上升,而不是下降。他說,“一些物聯(lián)網(wǎng)廠商并沒有吸取他人的教訓(xùn)?!?/p>
A-lign公司法規(guī)遵從性和安全性部門的滲透測試實踐負(fù)責(zé)人Joe Cortese表示,“一些物聯(lián)網(wǎng)供應(yīng)商對此并不在乎。今年早些時候,我購買了五臺應(yīng)用物聯(lián)網(wǎng)設(shè)備的智能燈具,并且能夠從屋外訪問其中的四臺設(shè)備。這些設(shè)備內(nèi)置了測試模式,而供應(yīng)商方并沒有刪除?!?/p>
Cortese說,所有供應(yīng)商都希望成為第一個進(jìn)入物聯(lián)網(wǎng)市場的廠商。對于許多供應(yīng)商而言,最快推出設(shè)備的方法是使用嵌入式Linux之類的現(xiàn)成平臺。他說:“最近,我發(fā)現(xiàn)了一種物聯(lián)網(wǎng)惡意軟件,該惡意軟件可以破壞物聯(lián)網(wǎng)設(shè)備。沒有加強物聯(lián)網(wǎng)設(shè)備安全的制造商很容易受到這種攻擊”
網(wǎng)絡(luò)攻擊者可以使用它來關(guān)閉工廠或關(guān)鍵基礎(chǔ)設(shè)施,或攻擊企業(yè)的系統(tǒng)進(jìn)行勒索。Cortese說,“我現(xiàn)在還沒有看到這種事情的發(fā)生,但這只是因為5G尚未廣泛部署。隨著5G的更多采用和物聯(lián)網(wǎng)的增加,我們可能會看到諸如制造業(yè)等系統(tǒng)的利用大大增加。”
有人需要擁有物聯(lián)網(wǎng)安全性
物聯(lián)網(wǎng)安全的最大障礙不是技術(shù)而是心理。沒有人愿意承擔(dān)責(zé)任,他們都在責(zé)怪別人。買方責(zé)怪賣方未確保其設(shè)備安全,而賣方責(zé)怪買方選擇了更便宜、更不安全的產(chǎn)品。在5G世界中,忽視物聯(lián)網(wǎng)安全的后果將會更大。
根據(jù)Radware公司去年發(fā)布的一項調(diào)查,34%的受訪者認(rèn)為設(shè)備制造商應(yīng)對物聯(lián)網(wǎng)安全負(fù)責(zé),11%的受訪者認(rèn)為服務(wù)提供商應(yīng)該負(fù)責(zé),21%的受訪者認(rèn)為應(yīng)是個人消費者負(fù)責(zé),35%的受訪者認(rèn)為商業(yè)組織應(yīng)該負(fù)責(zé)。Radware公司戰(zhàn)略副總裁Mike O’Malley說,“換句話說,人們對于誰來承擔(dān)責(zé)任沒有達(dá)成共識?!彼硎荆霈F(xiàn)這種情況,通常因為消費者不具備這些知識或技能,企業(yè)的員工不夠,制造商不太協(xié)調(diào),無法控制等多方面因素。
企業(yè)可以與服務(wù)提供商合作來承擔(dān)一些負(fù)擔(dān),但這不能解決消費類設(shè)備不安全、制造商不愿進(jìn)行更改,以及缺乏一致的全球監(jiān)管法規(guī)和實施的問題。
每個人都應(yīng)對物聯(lián)網(wǎng)安全負(fù)責(zé)。買家需要堅持要求購買的產(chǎn)品沒有默認(rèn)密碼或測試模式,則必須對通信進(jìn)行加密和認(rèn)證,并且設(shè)備要定期進(jìn)行補丁和更新。供應(yīng)商需要將不安全的設(shè)備下架,在產(chǎn)品設(shè)計過程開始時就考慮安全問題,而不是在出現(xiàn)問題之后才開始考慮。
掃一掃在手機上閱讀本文章