近日,美国网络安全与基础设施安全局(CISA)和国家安全局(NSA)共同发布《5G云基础设施安全指南》,以阻止寻求信息渗透或通过破坏云基础设施拒绝访问等攻击。
两家联邦机构向负责构建及配置5G云基础设施的服务商及系统集成商发布了具体建议,对象涵盖各云服务商、核心网络设备供应商以及移动网络运营商。
该指南分为四部分发布,此次发布的是第一部分。指南建立在2021年5月持久安全框架(ESF)在5G研究小组之后发布的白皮书《5G 基础设施的潜在威胁向量》上,该白皮书探讨了5G网络固有的潜在威胁载体和漏洞。
这份指南,也代表着政府与行业专家合作确定5G安全影响风险工作终于带来直接成果。
阻遏5G云网络中的横向移动
两家联邦机构强调,“5G网络是云原生的,对于那些希望拒绝或降低网络资源或以其他方式破坏信息的网络威胁者来说,将是一个有利可图的目标。”
“为了应对这一威胁,我们必须安全构建并配置5G云基础设施,保证其具备检测并响应威胁行为的能力,为安全网络功能的部署建立可靠环境。”
这次发布的指南第一部分,重点是在已遭入侵的5G云系统之内遏制恶意攻击者的横向移动企图。
CISA和NSA表示,5G服务商与系统集成商可以通过以下措施检测并阻止攻击者在5G云中的横向移动:
•在5G云中实现安全身份与访问管理(IdAM)
•使5G云软件保持最新状态并清除一切已知漏洞
•在5G云中安全配置网络
•锁定各隔离网络功能之间的通信内容
•监测恶意横向移动迹象
•开发并部署分析机制,检测是否存在复杂恶意活动
关于5G基础设施潜在威胁向量的更多信息,请参阅上文提及的《5G 基础设施的潜在威胁向量》,它是公私部门工作小组的重要研究成果。这份白皮书概述了5G威胁向量与相关政策,同时介绍了标准威胁场景、供应链威胁场景以及5G系统架构威胁场景等大量细节。
NSA网络安全总监Rob Joyce表示,“负责构建并配置5G云基础设施的服务供应商和系统集成商,应该参考本份指南为改善美国国家网络安全贡献自己的力量。”
5G云基础设施安全指南的剩下三部分包括:
•第二部分,安全隔离网络资源:确保客户资源之间保持安全隔离,重点保护支持虚拟网络功能且持续运行的容器堆栈。
•第三部分,保护传输中、使用中及静态数据:确保网络与客户数据在数据生命周期内的各个阶段(静态、传输中、处理中、销毁时)均得到保护。
•第四部分,确保基础设施完整性:确保5G云资源(包括容器镜像、模板、配置等)不受未经授权的篡改。
欧盟对5G安全风险的评估意见
2019年10月,欧盟各成员国曾经发布一份关于5G网络安全的联合风险评估报告。这份报告列举了主要威胁与威胁参与者、最为敏感的资产以及可被用于实施攻击的主要安全漏洞。
这份5G安全风险评估报告强调了使用单一设备供应商的负面影响。如果多家运营商使用来自同一高风险供应商的设备,则5G基础设施势必受到设备短缺及5G解决方案多样性匮乏问题的困扰。
与5G网络相关的安全挑战还包括欧盟网络与第三方系统间建立连接,以及第三方供应商对欧盟各国5G网络访问权限增加等问题。
欧盟这份报告概括了在各成员国之内推出5G网络可能产生的各项安全后果:
•增加遭受攻击的风险,并增加攻击者的潜在切入点。
•由于5G网络架构的新特点与新功能,某些网络设备或功能将变得更为敏感,例如网络基站或者各项关键技术管理功能。
•移动网络运营商对供应商的依赖性风险可能有所增加,导致恶意攻击者所能利用的攻击路径越来越多,甚至强化此类攻击行为造成的恶劣影响。
•在供应商在攻击风险中占据主导地位这一背景下,供应商自身的实际风险情况就变得至关重要,需要考虑厂商受到非欧盟国家侵扰的可能性。
•高度依赖特定供应商的风险:对单一供应商的高度依赖可能增加供应中断的潜在风险,例如该厂商经营失败以及相应后果。
•针对网络可用性与完整性的威胁将成为重大安全问题。
欧盟各成员国还在这份5G网络安全风险联合报告中提供了更多信息,包括关于安全漏洞、风险场景及缓解措施/安全基准的具体细节。
https://www.bleepingcomputer.com/news/security/nsa-and-cisa-share-guidance-on-securing-5g-cloud-infrastructure/
https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2825412/nsa-and-cisa-provide-cybersecurity-guidance-for-5g-cloud-infrastructures/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
