5G對物聯網安全的8個關鍵影響
責編:gltian |2020-07-08 16:22:40在5G環境中,每個物聯網安全問題都會被大幅放大。部署5G之前,請解決好這8個方面的事宜。
超高速5G移動網絡不僅可以提高人們相互聯系的效率,還可以實現機器、物體和設備間更好的互連和控制。其高Gbps數據傳輸速率、低延遲和高容量,無論對消費者還是企業來說都是福音。但這一切伴隨著新型重大安全風險,因為早期采用者仍處于學習和摸索階段。
全球家電制造商惠而浦(Whirlpool)已經開始在旗下一家工廠開展5G部署工作。該公司使用物聯網設備,利用傳統局域WiFi網絡進行預測性維護、環境控制和過程監控,但5G能使該公司做到使用WiFi無法完成的事:部署自動駕駛叉車和其他車輛。
惠而浦北美地區IT和OT制造基礎設施應用經理道格拉斯·巴恩斯(Douglas Barnes)表示:“我的工廠里到處都是金屬。金屬會反射WiFi信號。即使我在工廠里用了網狀WiFi,我們的金屬還是太多了。但5G可以穿墻,而且不會被金屬反射。”
這意味著,一旦5G在工廠車間安裝到位,惠而浦可以做出巨大的改變。他說:“這將使我們能夠在整個工廠里真正全面使用自動駕駛汽車,用于維護、交付和支持生產運營的所有事務。這個業務案例分量極重,能節省很多開支。5G的回報是非常有利的。”
他表示,公司已經做了測試,確保自動駕駛汽車能正常運行。資金將在本月到位,這些自動駕駛汽車今年年底前就能運行在5G上了。“只要我們能成功,自動駕駛汽車的業務案例將值回其他一切。”
巴恩斯敏銳地意識到,物聯網已經給企業帶來了新的網絡安全問題,而所有這些問題在切換到5G時將會被大幅放大。惠而浦與其5G合作伙伴AT&T共同解決這些隱憂。巴恩斯稱:“我們每天都在跟這些問題纏斗。在真正開始前,我們與AT&T談論的第一個話題,就是怎么打造一個安全的5G網絡。”
在創建5G實施計劃時,惠而浦這樣的公司企業需要考慮下列8個關鍵方面的問題。
1. 加密和保護5G網絡流量
隨著5G的發展,接入網絡的智能設備數量預計將急劇增加,這些網絡的流量也將顯著增長。Gartner調查研究表明,明年企業和汽車物聯網設備的數量將增長至58億臺,比今年預計的48億臺物聯網端點設備增長21%。這就使得這些網絡成為了攻擊者的理想環境——可供選擇的攻擊目標比現在豐富得多。
巴恩斯表示,為解決此問題,惠而浦將加密5G流量,并將5G天線配置為僅接受經批準的流量。他說:“在添加設備的時候,我們在5G網絡上將之配置為可接受的設備。只要不在白名單上,我們就不監聽。而由于是加密的,我不擔心有人試圖捕獲信號,因為捕獲了也沒什么用。”
一旦流量離開本地網絡,進入到公共5G網絡或互聯網,通信將經由加密VPN隧道保證安全。他解釋道:“因為可能不得不使用5G與外界通信,我們預先設置了這些加密信道。”
2. 保護并隔離易受攻擊的設備
設備本身也是潛在脆弱點。業內安全意識其實不是很高。尤其是工業設備,這些設備通常采用專有操作系統,并且毫無安裝補丁或許可堵上漏洞的能力,在設計時就沒想過要預留補丁安裝接口。
Barracuda Networks高級安全研究員喬納森·坦納(Jonathan Tanner)表示,事實上,大多數物聯網安全問題尚未解決。他說,有些設備的問題無法通過固件更新來修復,或者就沒有更新固件的機制。即使設備制造商在下一代設備中加裝安全功能,那些不安全的舊型號仍然散落各處繼續運行。
坦納補充道,有些公司無視指出漏洞的安全研究人員。一些生產出脆弱設備的公司已經倒閉了。他們的設備里滿是原來就有的各種漏洞也沒人管。
如果被這種不安全的物聯網設備絆住手腳,該怎么辦呢?惠而浦的巴恩斯認為,網絡隔離結合上其他網絡安全技術,可以提供一定的保護。他說:“我們采取了雙層方法:監控所有流量的網絡安全層,以及執行深度包檢測的二級安全層。第二層安全建立在協議層面上,查找協議中植入的那類惡意活動。”
此外,還有一般意義上的安全措施,比如盡可能打上補丁,定期對所有設備執行安全審計,全面清查統計網絡上的所有設備。
3. 為大型DDoS攻擊做好準備
一般來說,5G并不意味著不如前幾代無線技術安全。諾基亞威脅情報實驗室主管凱文?麥克納米(Kevin McNamee)表示:“5G確實帶來了4G或3G無法提供的新安全功能。5G的整個控制面板已遷移至Web服務類型的環境,這種環境采用強身份驗證,非常安全。這是安全上的進步。”
但與此同時,僵尸網絡在5G環境中擁有更多發展壯大的機會,也可能會抵消掉這些安全上的改進。麥克納米稱:“5G將大大增加設備的可用帶寬。而物聯網僵尸主機也能利用這些大幅增加的帶寬。”
增加的帶寬可被用于查找更多脆弱設備和擴散感染,僵尸網絡也可以找到更多脆弱設備加以利用。智能家居設備的銷量逐年增長,且增長速度越來越快。與惠而浦一樣,企業也是物聯網設備的大用戶。還有政府部門和其他類型的組織機構在不斷購入物聯網設備。
借助5G,難以維護的偏遠地區也可以設置各種設備。ESET安全研究員,俄勒岡州無線互聯網服務提供商協會聯席主席卡梅隆?坎普(Cameron Camp)表示:“將會有大量傳感器記錄一切,從天氣到空氣質量到視頻饋送。這意味著有許許多多的新機器可能被黑,被征召進僵尸網絡中作惡。但由于這些傳感器在很大程度上無人看管,我們將難以發現和響應此類黑客事件。”
此外,物聯網設備通常更新沒那么頻繁。用戶不會替換仍然可以實現預期功能的設備。攻擊者也會保持低調,讓僵尸網絡不引起任何注意。即使有可用的補丁,或者制造商推出了更新、更安全的版本,客戶也可能不會費心更新或升級換代。
同時,許多智能物聯網設備運行的是嵌入式Linux之類真正的操作系統,這些設備幾乎就是全功能的計算機。攻擊者可利用被感染的設備托管非法內容、惡意軟件、命令與控制(C2)數據,以及其他有價值的系統和服務。用戶卻不會將這些設備視為需要防病毒保護、修復和更新的計算機。許多物聯網設備也不保留入站和出站流量的日志。因而,攻擊者能夠保持匿名,想關停僵尸網絡也就更難了。
這構成了三重威脅。潛在可利用設備的數量、可用于擴散僵尸網絡的帶寬、僵尸主機執行DDoS攻擊的可用帶寬,統統增加了。由于很多設備依然不安全,有些設備還根本無法修復,相比當前狀況,5G環境下公司企業需應對的DDoS攻擊規模呈數量級上升。
4. 轉向IPv6可能會令私有互聯網地址變得公開
隨著設備數量激增和通信速度提升,公司企業可能會想嘗試使用IPv6代替當前常見的IPv4。IPv6是容納更長IP地址的網際協議,于2017年成為互聯網標準。
IPv4僅有43億個網絡地址可用,不能滿足為激增的網絡資源分配地址的需求。早在2011年,一些互聯網注冊管理機構就開始無址可分了,2012年開始,組織機構紛紛轉向使用IPv6。但互聯網協會(The Internet Society)的資料顯示,直至今日,僅有不到30%的谷歌用戶通過IPv6訪問谷歌平臺。
諾基亞的麥克納米稱,很多組織機構和幾乎全部家用設備,還有很多手機網絡,都在使用私有IPv4地址。這些私有地址為他們提供了天然的保護,因為在互聯網上不可見。
隨著5G時代的到來,為支持幾十億新增設備,運營商自然會遷移到IPv6。如果他們選擇采用公共IPv6地址而不是私有地址,這些設備就會變得可見。這不是IPv6的問題,也不是5G的問題,但將設備從IPv4遷移到IPv6的企業,可能會將設備意外放到公共地址上。
5. 邊緣計算助長攻擊界面
公司企業想要為客戶或自身分布式基礎設施減少延遲、提升性能,他們將目光投向了邊緣計算。借助5G,邊緣計算的優勢還能更大,因為端點設備將能擁有更強的通信能力。
但是,邊緣計算也會大幅增加潛在的攻擊界面。尚未開始轉向零信任網絡架構的公司企業,現在應該開始考慮這事兒了,要在大幅投入邊緣計算基礎設施之前完成向零信任網絡的遷移。真正開始構建邊緣計算基礎設施的時候,安全應是首要考慮,而非事后補救。
6. 物聯網供應商重視率先進入市場而輕安全
物聯網淘金潮將激勵一批新供應商進入這個領域,也將刺激現有供應商加快向市場推出新產品的腳步。Barracuda高級安全研究員坦納稱,尋找漏洞的安全研究人員已經趕不上物聯網設備的推出速度了。隨著新制造商的不斷涌入,我們將見證新一輪的安全漏洞爆發。
據坦納觀察,同樣的錯誤不斷重現,物聯網設備的漏洞報告一直在上升,從未下降。“前事不忘,后事之師”這句話,似乎并未在前赴后繼的物聯網供應商身上體現分毫。
A-lign Compliance and Security公司滲透測試主管喬·柯蒂斯(Joe Cortese)稱:“供應商一點都不在意安全。今年早些時候,我買了5個與開關燈相關的設備,其中4個我從屋子外面就能訪問。供應商從未移除設備中內置的測試模式。”
柯蒂斯表示,所有供應商都想首先進入市場。對很多供應商而言,推出設備的最快方式,就是使用嵌入式Linux等現成的平臺。他說:“我以前在情報部門工作。最近,我經手的一個惡意軟件只用7行代碼就能搞定一臺設備。不加固自身設備安全的制造商,對此類攻擊毫無抵抗力。”
使用這類惡意軟件,攻擊者可以關停工廠或關鍵基礎設施,或者劫持公司企業的系統索要贖金。柯蒂斯說:“我還沒看到此類安全事件發生,但這僅僅是因為5G尚未廣泛部署。隨著5G采納增加和物聯網設備數量增長,我們很可能會看到制造業系統漏洞利用井噴。”
7. 小心假冒攻擊
因為大多數5G網絡不是獨立組網,4G和更早些的協議中固有的一些缺陷,仍能影響到5G網絡。在4G等早期網絡上傳輸用戶和控制流量的GTP協議就是其中一例。攻擊者可以利用GTP協議中的一個漏洞攔截用戶數據,進而實施假冒攻擊。
Positive Technologies公司最近發布了一份報告,描述GTP協議漏洞及其對5G網絡的影響。其中一個漏洞就是GTP不檢查用戶的位置,導致無法判斷哪個流量才是合法的。攻擊者冒充用戶所需要的全部東西,僅僅是用戶的IMSI用戶識別碼和TEID隧道標識。后者很容易獲取,但攻擊者有多條途徑獲得IMSI,最簡單的辦法就是在暗網上購買數據庫了。
為方便用戶而執行直通身份驗證的服務,也常會方便攻擊者開展假冒攻擊。這一便利還可能會導致第三方合作伙伴遭遇未授權訪問。
Positive Technologies的研究人員建議組織機構跟蹤用戶或設備位置,但又指出,大多數網絡上并未部署執行跟蹤所需的安全工具。
8. 應有人負責物聯網安全
物聯網安全最大的障礙并不是技術上的,而是心理上的。沒人愿意承擔責任。誰都想指責別人。買家指責供應商制造的設備不安全。供應商責怪買家選擇廉價的不安全產品。在5G世界中,假設別人該為物聯網安全負責的后果將會嚴重得多。
Radware去年發布的一份調查研究表明,34%的受訪者認為設備制造商應為物聯網安全負責,11%的受訪者認為物聯網安全的責任人應該是服務提供商,21%認為責任在私人消費者身上,還有35%認為公司企業應為此承擔責任。Radware戰略副總裁麥克·奧馬利(Mike O’Malley)稱:“換句話說,根本沒有什么共識。而且,消費者也沒有這方面的知識或技能。”企業雇不到足夠的人手。制造商又是一盤散沙,各自為戰,難以控制。
企業可以雇傭服務提供商來減輕一些負擔,但問題依然存在,比如不安全的消費者設備、不想做出改變的制造商,還有不一致的全球監管和實施。
物聯網安全人人有責。買家需保持所購買產品沒有遺留默認密碼或測試模式,采用經加密和身份驗證的通信,并定期修復和更新設備。供應商需下架不安全設備,并在產品設計過程初期就引入安全,而不是在發生安全事件之后,更不是在安全事件見諸報端之后。
轉載自:數世咨詢