5G对物联网安全的8个关键影响

5G对物联网安全的8个关键影响

编程入门访客2021-10-11 13:18:0010574A+A-

在5G环境中,每个物联网安全问题都会被大幅放大。部署5G之前,请解决好这8个方面的事宜。

超高速5G移动网络不仅可以提高人们相互联系的效率,还可以实现机器、物体和设备间更好的互连和控制。其高Gbps数据传输速率、低延迟和高容量,无论对消费者还是企业来说都是福音。但这一切伴随着新型重大安全风险,因为早期采用者仍处于学习和摸索阶段。

全球家电制造商惠而浦(Whirlpool)已经开始在旗下一家工厂开展5G部署工作。该公司使用物联网设备,利用传统局域WiFi网络进行预测性维护、环境控制和过程监控,但5G能使该公司做到使用WiFi无法完成的事:部署自动驾驶叉车和其他车辆。

惠而浦北美地区IT和OT制造基础设施应用经理道格拉斯·巴恩斯(Douglas Barnes)表示:“我的工厂里到处都是金属。金属会反射WiFi信号。即使我在工厂里用了网状WiFi,我们的金属还是太多了。但5G可以穿墙,而且不会被金属反射。”

这意味着,一旦5G在工厂车间安装到位,惠而浦可以做出巨大的改变。他说:“这将使我们能够在整个工厂里真正全面使用自动驾驶汽车,用于维护、交付和支持生产运营的所有事务。这个业务案例分量极重,能节省很多开支。5G的回报是非常有利的。”

他表示,公司已经做了测试,确保自动驾驶汽车能正常运行。资金将在本月到位,这些自动驾驶汽车今年年底前就能运行在5G上了。“只要我们能成功,自动驾驶汽车的业务案例将值回其他一切。”

巴恩斯敏锐地意识到,物联网已经给企业带来了新的网络安全问题,而所有这些问题在切换到5G时将会被大幅放大。惠而浦与其5G合作伙伴AT&T共同解决这些隐忧。巴恩斯称:“我们每天都在跟这些问题缠斗。在真正开始前,我们与AT&T谈论的第一个话题,就是怎么打造一个安全的5G网络。”

在创建5G实施计划时,惠而浦这样的公司企业需要考虑下列8个关键方面的问题。

1. 加密和保护5G网络流量

随着5G的发展,接入网络的智能设备数量预计将急剧增加,这些网络的流量也将显著增长。Gartner调查研究表明,明年企业和汽车物联网设备的数量将增长至58亿台,比今年预计的48亿台物联网端点设备增长21%。这就使得这些网络成为了攻击者的理想环境——可供选择的攻击目标比现在丰富得多。

巴恩斯表示,为解决此问题,惠而浦将加密5G流量,并将5G天线配置为仅接受经批准的流量。他说:“在添加设备的时候,我们在5G网络上将之配置为可接受的设备。只要不在白名单上,我们就不监听。而由于是加密的,我不担心有人试图捕获信号,因为捕获了也没什么用。”

一旦流量离开本地网络,进入到公共5G网络或互联网,通信将经由加密VPN隧道保证安全。他解释道:“因为可能不得不使用5G与外界通信,我们预先设置了这些加密信道。”

2. 保护并隔离易受攻击的设备

设备本身也是潜在脆弱点。业内安全意识其实不是很高。尤其是工业设备,这些设备通常采用专有操作系统,并且毫无安装补丁或许可堵上漏洞的能力,在设计时就没想过要预留补丁安装接口。

Barracuda Networks高级安全研究员乔纳森·坦纳(Jonathan Tanner)表示,事实上,大多数物联网安全问题尚未解决。他说,有些设备的问题无法通过固件更新来修复,或者就没有更新固件的机制。即使设备制造商在下一代设备中加装安全功能,那些不安全的旧型号仍然散落各处继续运行。

坦纳补充道,有些公司无视指出漏洞的安全研究人员。一些生产出脆弱设备的公司已经倒闭了。他们的设备里满是原来就有的各种漏洞也没人管。

如果被这种不安全的物联网设备绊住手脚,该怎么办呢?惠而浦的巴恩斯认为,网络隔离结合上其他网络安全技术,可以提供一定的保护。他说:“我们采取了双层方法:监控所有流量的网络安全层,以及执行深度包检测的二级安全层。第二层安全建立在协议层面上,查找协议中植入的那类恶意活动。”

此外,还有一般意义上的安全措施,比如尽可能打上补丁,定期对所有设备执行安全审计,全面清查统计网络上的所有设备。

3. 为大型DDoS攻击做好准备

一般来说,5G并不意味着不如前几代无线技术安全。诺基亚威胁情报实验室主管凯文•麦克纳米(Kevin McNamee)表示:“5G确实带来了4G或3G无法提供的新安全功能。5G的整个控制面板已迁移至Web服务类型的环境,这种环境采用强身份验证,非常安全。这是安全上的进步。”

但与此同时,僵尸网络在5G环境中拥有更多发展壮大的机会,也可能会抵消掉这些安全上的改进。麦克纳米称:“5G将大大增加设备的可用带宽。而物联网僵尸主机也能利用这些大幅增加的带宽。”

增加的带宽可被用于查找更多脆弱设备和扩散感染,僵尸网络也可以找到更多脆弱设备加以利用。智能家居设备的销量逐年增长,且增长速度越来越快。与惠而浦一样,企业也是物联网设备的大用户。还有政府部门和其他类型的组织机构在不断购入物联网设备。

借助5G,难以维护的偏远地区也可以设置各种设备。ESET安全研究员,俄勒冈州无线互联网服务提供商协会联席主席卡梅隆•坎普(Cameron Camp)表示:“将会有大量传感器记录一切,从天气到空气质量到视频馈送。这意味着有许许多多的新机器可能被黑,被征召进僵尸网络中作恶。但由于这些传感器在很大程度上无人看管,我们将难以发现和响应此类黑客事件。”

此外,物联网设备通常更新没那么频繁。用户不会替换仍然可以实现预期功能的设备。攻击者也会保持低调,让僵尸网络不引起任何注意。即使有可用的补丁,或者制造商推出了更新、更安全的版本,客户也可能不会费心更新或升级换代。

同时,许多智能物联网设备运行的是嵌入式Linux之类真正的操作系统,这些设备几乎就是全功能的计算机。攻击者可利用被感染的设备托管非法内容、恶意软件、命令与控制(C2)数据,以及其他有价值的系统和服务。用户却不会将这些设备视为需要防病毒保护、修复和更新的计算机。许多物联网设备也不保留入站和出站流量的日志。因而,攻击者能够保持匿名,想关停僵尸网络也就更难了。

这构成了三重威胁。潜在可利用设备的数量、可用于扩散僵尸网络的带宽、僵尸主机执行DDoS攻击的可用带宽,统统增加了。由于很多设备依然不安全,有些设备还根本无法修复,相比当前状况,5G环境下公司企业需应对的DDoS攻击规模呈数量级上升。

4. 转向IPv6可能会令私有互联网地址变得公开

随着设备数量激增和通信速度提升,公司企业可能会想尝试使用IPv6代替当前常见的IPv4。IPv6是容纳更长IP地址的网际协议,于2017年成为互联网标准。

IPv4仅有43亿个网络地址可用,不能满足为激增的网络资源分配地址的需求。早在2011年,一些互联网注册管理机构就开始无址可分了,2012年开始,组织机构纷纷转向使用IPv6。但互联网协会(The Internet Society)的资料显示,直至今日,仅有不到30%的谷歌用户通过IPv6访问谷歌平台。

诺基亚的麦克纳米称,很多组织机构和几乎全部家用设备,还有很多手机网络,都在使用私有IPv4地址。这些私有地址为他们提供了天然的保护,因为在互联网上不可见。

随着5G时代的到来,为支持几十亿新增设备,运营商自然会迁移到IPv6。如果他们选择采用公共IPv6地址而不是私有地址,这些设备就会变得可见。这不是IPv6的问题,也不是5G的问题,但将设备从IPv4迁移到IPv6的企业,可能会将设备意外放到公共地址上。

5. 边缘计算助长攻击界面

公司企业想要为客户或自身分布式基础设施减少延迟、提升性能,他们将目光投向了边缘计算。借助5G,边缘计算的优势还能更大,因为端点设备将能拥有更强的通信能力。

但是,边缘计算也会大幅增加潜在的攻击界面。尚未开始转向零信任网络架构的公司企业,现在应该开始考虑这事儿了,要在大幅投入边缘计算基础设施之前完成向零信任网络的迁移。真正开始构建边缘计算基础设施的时候,安全应是首要考虑,而非事后补救。

6. 物联网供应商重视率先进入市场而轻安全

物联网淘金潮将激励一批新供应商进入这个领域,也将刺激现有供应商加快向市场推出新产品的脚步。Barracuda高级安全研究员坦纳称,寻找漏洞的安全研究人员已经赶不上物联网设备的推出速度了。随着新制造商的不断涌入,我们将见证新一轮的安全漏洞爆发。

据坦纳观察,同样的错误不断重现,物联网设备的漏洞报告一直在上升,从未下降。“前事不忘,后事之师”这句话,似乎并未在前赴后继的物联网供应商身上体现分毫。

A-lign Compliance and Security公司渗透测试主管乔·柯蒂斯(Joe Cortese)称:“供应商一点都不在意安全。今年早些时候,我买了5个与开关灯相关的设备,其中4个我从屋子外面就能访问。供应商从未移除设备中内置的测试模式。”

柯蒂斯表示,所有供应商都想首先进入市场。对很多供应商而言,推出设备的最快方式,就是使用嵌入式Linux等现成的平台。他说:“我以前在情报部门工作。最近,我经手的一个恶意软件只用7行代码就能搞定一台设备。不加固自身设备安全的制造商,对此类攻击毫无抵抗力。”

使用这类恶意软件,攻击者可以关停工厂或关键基础设施,或者劫持公司企业的系统索要赎金。柯蒂斯说:“我还没看到此类安全事件发生,但这仅仅是因为5G尚未广泛部署。随着5G采纳增加和物联网设备数量增长,我们很可能会看到制造业系统漏洞利用井喷。”

7. 小心假冒攻击

因为大多数5G网络不是独立组网,4G和更早些的协议中固有的一些缺陷,仍能影响到5G网络。在4G等早期网络上传输用户和控制流量的GTP协议就是其中一例。攻击者可以利用GTP协议中的一个漏洞拦截用户数据,进而实施假冒攻击。

Positive Technologies公司最近发布了一份报告,描述GTP协议漏洞及其对5G网络的影响。其中一个漏洞就是GTP不检查用户的位置,导致无法判断哪个流量才是合法的。攻击者冒充用户所需要的全部东西,仅仅是用户的IMSI用户识别码和TEID隧道标识。后者很容易获取,但攻击者有多条途径获得IMSI,最简单的办法就是在暗网上购买数据库了。

为方便用户而执行直通身份验证的服务,也常会方便攻击者开展假冒攻击。这一便利还可能会导致第三方合作伙伴遭遇未授权访问。

Positive Technologies的研究人员建议组织机构跟踪用户或设备位置,但又指出,大多数网络上并未部署执行跟踪所需的安全工具。

8. 应有人负责物联网安全

物联网安全最大的障碍并不是技术上的,而是心理上的。没人愿意承担责任。谁都想指责别人。买家指责供应商制造的设备不安全。供应商责怪买家选择廉价的不安全产品。在5G世界中,假设别人该为物联网安全负责的后果将会严重得多。

Radware去年发布的一份调查研究表明,34%的受访者认为设备制造商应为物联网安全负责,11%的受访者认为物联网安全的责任人应该是服务提供商,21%认为责任在私人消费者身上,还有35%认为公司企业应为此承担责任。Radware战略副总裁麦克·奥马利(Mike O’Malley)称:“换句话说,根本没有什么共识。而且,消费者也没有这方面的知识或技能。”企业雇不到足够的人手。制造商又是一盘散沙,各自为战,难以控制。

企业可以雇佣服务提供商来减轻一些负担,但问题依然存在,比如不安全的消费者设备、不想做出改变的制造商,还有不一致的全球监管和实施。

物联网安全人人有责。买家需保持所购买产品没有遗留默认密码或测试模式,采用经加密和身份验证的通信,并定期修复和更新设备。供应商需下架不安全设备,并在产品设计过程初期就引入安全,而不是在发生安全事件之后,更不是在安全事件见诸报端之后。

转载自:数世咨询

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 礼忱娇痞2022-05-30 03:26:22
  • 奥马利(Mike O’Malley)称:“换句话说,根本没有什么共识。而且,消费者也没有这方面的知识或技能。”企业雇不到足够的人手。制造商又是一盘散沙,各自为战,难以控制。企业可以雇佣服务提供商来减轻一些负担,但问题依然存在,比如不安全的消费者设备、不想做出改变的制造商,还有不一
  • 瑰颈勒言2022-05-30 07:18:48
  • 器在很大程度上无人看管,我们将难以发现和响应此类黑客事件。”此外,物联网设备通常更新没那么频繁。用户不会替换仍然可以实现预期功能的设备。攻击者也会保持低调,让僵尸网络不引起任何注意。即使有可用的补丁,或者制造商推出了更新、更安全的版本,客
  • 馥妴婉绾2022-05-30 06:34:08
  • 本无法修复,相比当前状况,5G环境下公司企业需应对的DDoS攻击规模呈数量级上升。4. 转向IPv6可能会令私有互联网地址变得公开随着设备数量激增和通信速度提升,公司企业可能会想尝试使用IPv6代替当前常见的IPv4。IPv6是容
  • 鸽吻绮筵2022-05-30 10:48:34
  • 部东西,仅仅是用户的IMSI用户识别码和TEID隧道标识。后者很容易获取,但攻击者有多条途径获得IMSI,最简单的办法就是在暗网上购买数据库了。为方便用户而执行直通身份验证的服务,也常会方便攻击者开展假

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理