CNCERT专家：5G安全的三大隐患及应对建议

作者：江苏分中心 董宏伟，国家互联网应急中心 张冰

5G有别于前几代移动通信，因为5G最终将带来技术和网络架构的重大变化，并为用户如何通过维护网络安全来保障其网络技术和网络架构提供了新的课题。定义下一代移动通信的规则在很大程度上是由3GPP制定的。5G不仅是速度的再次提升，它的最终目的是让网络具备新的功能，比如网络切片（网络切片为流量创建独立的场域，然后可以为用户分配具有可自定义带宽和服务质量的切片）。5G最终还将具有支持数百万终端设备的能力，这种密度将使大规模物联网（IoT）部署能够以超低延迟连接成为可能。5G与前几代移动通信不同，它正在设计内置的安全功能。增强的无线加密是3GPP 5G标准的一部分，网络供应商将能够使用最新的加密方案来增强安全性。用户身份隐私保护将有助于确保5G设备连接到正确的网络，从而降低盗窃移动用户身份（IMSI）号码的设备的风险。然而，仅靠5G还不足以满足所有业务安全需求，用户必须继续保持安全意识，并采取行动保护其网络。

从安全的角度来说，超大流量、数据爆炸，使得安全隐患更难以识别。这种风险来自于外部，也来自于内部。外部主要是安全漏洞，是否会成为黑客攻击的途径。5G时代，因为流量大和数据多，安全漏洞也可能更多，遭遇攻击后也可能造成更大的后果。 内部则是大流量海量数据对内部服务器的压力更大，服务器也增加了瘫痪的风险。海量多样化的终端，数以亿万计的终端接入，给这些终端的控制和管理带了新的难度。所有的设备都需要进行认证才能接入，这是一个基本原则。但是面对如此多的设备，而且很多设备尤其是物联网设备，都是弱终端。所谓弱终端，就是简单的设备，没有我们智能手机那么强大的CPU和内存以及网络能力，甚至就是一个小单片机带着传感器和窄带的基带芯片，所以计算能力有限，可能就进行简单认证。通常我们的智能设备的认证很多都是双向认证，认证的双方都要保证对方是可靠的才通过认证，但是在弱终端的情况下，为了保证接入的效率，可能就是单向认证，其中一方是可靠的，另一方就未必了，这下风险就来了。

一、虚拟化安全

随着5G技术的不断发展，虚拟化安全作为一项必备技术逐步浮出水面，企业应利用这项技术为5G发展提供优势，这包括软件定义的网络（SDN）和网络功能虚拟化（NFV）等。然而，当前绝大多数网络服务提供者暂未开始启动虚拟化安全技术。在5G发展过程中，配备虚拟化安全技术至关重要，因为虚拟化安全具有强大功能。虚拟化安全可以快速部署到任意网络位置，当发现一种新的攻击类型时，网络的“免疫系统”可以通过启动防火墙等安全元素立即做出响应，关键是该响应可以自动化，而减少了人工响应的时间。5G可能将更多的设备接入网络，从而增加新威胁的可能性，而依靠人工更新的系统安全将面临增加的挑战。在很大程度上，为了适应5G网络的使用范围和运行速度，安全防护是需要动态化和自动化的，这必然要求虚拟化安全的介入。此外，虚拟化安全有助于补充和实现对未知的未来威胁的灵活响应，并且可灵活更新安全策略以对抗新进化的攻击策略。虚拟化安全还能够确保5G系统在策略覆盖范围内对所应用的安全策略实现全方位的更改，这样可以避免出现在人工应对不及时的情况下，没有对所有区域内的新威胁和新漏洞进行加固，从而出现网络孤岛的情况。对于网络提供商及其企业客户而言，虚拟化安全可能是与5G安全相关的最关键的一步。当前，互联网企业变得越来越分散，网络安全防护需要遵循这一趋势。当然，对于初创型的互联网企业，可以通过购买服务进行网络托管的方式来将虚拟安全委托给安全服务商进行操作，这样可以减少初创型互联网企业布置相关技术所需要的经济成本。

二、终端安全

5G技术的大规模应用，可能会将更多设备连接到网络，从而使得终端安全变得更为突出。随着更多的设备接入到互联网，5G网络的拓扑结构正在发生改变。我们不能再假设流量是通过诸如Internet网关之类的关键点进入网络的。在设备设备认证方面，即使标准变得更严格，似乎大多数互联网企业都急于降低成本，只会满足最低限度的终端安全要求。我们可以预计，物联网设备将继续存在出厂默认密码等漏洞。因此，互联网企业需要承担一些防范恶意程序攻击的责任。值得注意的是，由于网络终端设备数量的增加，更强大的分布式拒绝服务（DDoS）攻击显然是多数互联网企业不太关心的问题。这可能是因为围绕DDoS攻击的媒体宣传铺天盖地，互联网企业可能已经用尽了他们的DDoS保护措施。即便如此，考虑到恶意行为者有更多的设备和带宽可供使用，密集攻击可能会达到新的峰值。如果还未部署相关安全策略，互联网企业应该无法确保他们的DDoS防御能够合理地处理难以预见的攻击。

三、身份认证安全

随着5G可能给网络带来的连接设备数量的增加，用户越来越担心身份认证问题，这引起了有关身份认证安全的问题。随着更多设备从更多位置访问网络，包括多接入边缘计算（MEC）节点，人们自然会担心谁可能在网络上，以及已授予他们哪些权限。零信任安全模型可以通过不断检查用户的存在和行为（无论该用户是人还是机器）来解决其中的一些问题。MEC的主要目的是通过消除地理距离来减少网络延迟，MEC将计算节点放置在客户端附近的网络的边缘，而不是远处的云端。该边缘可能位于服务提供商网络上、数据中心内部或者在企业场所中，但是这为数据泄露和恶意软件侵入提供了新的潜在位置，这个位置可能源于受信任用户的访问。此外，处于网络边缘的物联网设备可能会携带未注意和未修补的漏洞。与此相关的是，多因素身份验证（MFA）是进行身份管理的有效工具。但是，互联网用户采用它的速度很慢。为此，建议5G网络中的多边缘计算采用分布式安全控制，这再次强调了安全虚拟化的重要性，网络安全人员可以使用它避免遭受在网络边缘突然发起的攻击。同时，还要考虑到按需扩展网络防火墙，或者在早期阶段检测出并有效应对DDoS攻击。5G服务提供商也可以帮助确认设备身份，因为网络将获知设备的物理位置。

总而言之，5G有望为互联网用户带来令人兴奋的新机遇，但也将迎来新的安全风险。对此，我们应当审慎的预测新技术可能带来的安全风险，并积极的应对措施，创建一种可以适应5G网络速度下的安全态势，这意味着我们必须要预判潜在的新威胁并为此提供相应的解决方案。

声明：本文来自关键基础设施安全应急响应中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。