《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > NSA和CISA發(fā)布關(guān)于保護(hù)5G云基礎(chǔ)設(shè)施的安全指南第一部分--預(yù)防和檢測橫向移動

NSA和CISA發(fā)布關(guān)于保護(hù)5G云基礎(chǔ)設(shè)施的安全指南第一部分--預(yù)防和檢測橫向移動

2021-11-01
來源:網(wǎng)空閑話
關(guān)鍵詞: 5G云 云基礎(chǔ)設(shè)施

  美國國家安全局和國土安全部的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 當(dāng)?shù)貢r間10月28日發(fā)布了保護(hù)5G云基礎(chǔ)設(shè)施的一系列指導(dǎo)文件中的第一份,,關(guān)于保護(hù)云原生5G網(wǎng)絡(luò)免受旨在通過拆除云基礎(chǔ)設(shè)施來破壞信息或拒絕訪問的攻擊的指南,,該第一部分的主題是防止和檢測橫向移動,。該指南來自于持久安全框架 (ESF),,ESF是一個由NSA,、CISA,、國防部,、情報界以及 IT,、通信和國防工業(yè)基礎(chǔ)公司之間的公私合作伙伴關(guān)系,。NSA表示,,該5G安全指南的另外三部分將在未來幾周內(nèi)發(fā)布。

  概要

  5G 網(wǎng)絡(luò)依靠云基礎(chǔ)設(shè)施來實(shí)現(xiàn)敏捷性,、彈性和可擴(kuò)展性,。這些網(wǎng)絡(luò)需要安全,,因?yàn)樗鼈儗⒊蔀橄M斐芍袛嗷蚱茐男畔⒌耐{行為者的誘人目標(biāo)。

  這一重大的安全挑戰(zhàn)源于多個移動網(wǎng)絡(luò)運(yùn)營商共享物理基礎(chǔ)設(shè)施,。CISA和NSA 強(qiáng)調(diào),,云提供商和移動運(yùn)營商需要分擔(dān)安全責(zé)任,運(yùn)營商負(fù)責(zé)保護(hù)他們的云租賃,。

  NSA指出,,雖然保護(hù)邊界很重要,但如果威脅行為者設(shè)法突破邊界,,采取措施限制橫向移動也很重要,。限制5G云網(wǎng)絡(luò)中橫向移動的建議包括實(shí)施安全身份和訪問管理、保持5G云軟件更新以確保其不受已知漏洞的影響,、安全配置網(wǎng)絡(luò),、鎖定隔離網(wǎng)絡(luò)功能之間的通信、監(jiān)控橫向移動跡象,,并開發(fā)和部署分析以檢測復(fù)雜威脅行為者的存在,。

  雖然這些建議主要針對云提供商和移動網(wǎng)絡(luò)運(yùn)營商,但有些也適用于客戶,。

  本指南的其他三個部分將重點(diǎn)關(guān)注隔離網(wǎng)絡(luò)資源,、在數(shù)據(jù)生命周期的所有階段(傳輸、使用和靜止)保護(hù)數(shù)據(jù),,以及確?;A(chǔ)設(shè)施的完整性。

  根據(jù)美國國家安全局(National security Agency)的新指導(dǎo)意見,,人工智能和機(jī)器學(xué)習(xí)系統(tǒng)可能幫助5G云提供商檢測出復(fù)雜的攻擊者和其他安全事件的存在,。盡管技術(shù)供應(yīng)商必須在數(shù)據(jù)保密要求和檢查網(wǎng)絡(luò)流量的能力之間取得平衡,但復(fù)雜的實(shí)時持續(xù)監(jiān)控在檢測惡意使用云資源方面可能至關(guān)重要,。

  “5G云堆棧各層的利益相關(guān)者應(yīng)該利用一個分析平臺來開發(fā)和部署分析,,處理該層可用的相關(guān)數(shù)據(jù)(云日志和其他遙測數(shù)據(jù))。分析應(yīng)該能夠檢測已知和預(yù)期的威脅,,但也應(yīng)設(shè)計(jì)為識別數(shù)據(jù)中的異常,,可能表明未預(yù)料的威脅,”該機(jī)構(gòu)在文件中說,。5G云是指與5G網(wǎng)絡(luò)的好處相匹配的云本地服務(wù),。

  美國國家安全局下屬的網(wǎng)絡(luò)安全理事會負(fù)責(zé)人羅布喬伊斯說:“這個系列體現(xiàn)了來自CISA、NSA和行業(yè)的ESF專家的共同努力,,及其對國家安全利益的考量,。” “應(yīng)用本指南構(gòu)建和配置5G云基礎(chǔ)設(shè)施的服務(wù)提供商和系統(tǒng)集成商將盡自己的一份力量來改善我們國家的網(wǎng)絡(luò)安全?!?/p>

  防范5G云網(wǎng)絡(luò)中的橫向移動

  “5G網(wǎng)絡(luò)是云原生的,,對于希望拒絕或降低網(wǎng)絡(luò)資源或以其他方式破壞信息的網(wǎng)絡(luò)威脅行為者來說,將是一個有利可圖的目標(biāo),,”聯(lián)合咨詢說,。

  “為了應(yīng)對這種威脅,必須安全地構(gòu)建和配置5G云基礎(chǔ)設(shè)施,,具備檢測和響應(yīng)威脅的能力,,為部署安全網(wǎng)絡(luò)功能提供強(qiáng)化的環(huán)境?!?/p>

  CISA和NSA表示,,5G 服務(wù)提供商和系統(tǒng)集成商可以實(shí)施以下措施來阻止和檢測 5G 云中的橫向移動:

  在5G云中實(shí)施安全身份和訪問管理 (IdAM)

  使5G云軟件保持最新狀態(tài)并避免已知漏洞

  在5G云中安全配置網(wǎng)絡(luò)

  鎖定隔離網(wǎng)絡(luò)功能之間的通信

  監(jiān)測對抗性橫向運(yùn)動的跡象

  開發(fā)和部署分析系統(tǒng)以檢測復(fù)雜的攻擊對手的存在

  有關(guān)5G基礎(chǔ)設(shè)施潛在威脅載體的更多信息可以在CISA與NSA和國家情報總監(jiān)辦公室協(xié)調(diào)發(fā)布的5月份發(fā)布的白皮書中找到。

  5G網(wǎng)絡(luò)的主要威脅

  該系列包含了預(yù)防和處理對5G基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊的廣泛指南,,是以CISA,、NSA和國家情報總監(jiān)辦公室在5月份發(fā)布的《5G基礎(chǔ)設(shè)施潛在的威脅向量》報告為基礎(chǔ)的。除了對連接5G網(wǎng)絡(luò)的云基礎(chǔ)設(shè)施的潛在攻擊之外,,5月份的這份報告列出了對美國5G網(wǎng)絡(luò)可能構(gòu)成的威脅,例如:

  假冒組件——更容易受到網(wǎng)絡(luò)攻擊,,并且更容易因?yàn)橘|(zhì)量差而損壞,。它們也可以被安裝后門。

  繼承組件——受損或安全性較弱的組件可能會通過復(fù)雜的供應(yīng)鏈進(jìn)入美國 5G 網(wǎng)絡(luò),,這需要進(jìn)行調(diào)查,。

  開放標(biāo)準(zhǔn)——敵對國家可能會為開放標(biāo)準(zhǔn)做出貢獻(xiàn),以要求包含專有或不受信任的技術(shù),。

  可選控制——標(biāo)準(zhǔn)可能附帶一些網(wǎng)絡(luò)運(yùn)營商可能不愿意使用的可選安全控制,。

  軟件/配置——指 5G 設(shè)備中的漏洞,攻擊者可能會利用這些漏洞來破壞設(shè)備及其配置,。

  網(wǎng)絡(luò)安全——對網(wǎng)絡(luò)設(shè)備的攻擊可能允許威脅行為者訪問 5G 基礎(chǔ)設(shè)施,。

  網(wǎng)絡(luò)切片——網(wǎng)絡(luò)運(yùn)營商能夠根據(jù)連接設(shè)備的類型將其 5G 網(wǎng)絡(luò)劃分為多個區(qū)域。威脅行為者可以突破這些區(qū)域并訪問關(guān)鍵基礎(chǔ)設(shè)施,。

  傳統(tǒng)通信集成——威脅行為者可以利用傳統(tǒng)協(xié)議中的漏洞來訪問 5G 基礎(chǔ)設(shè)施,。

  頻譜共享——可能為惡意行為者提供機(jī)會干擾或干擾非關(guān)鍵通信路徑,從而對更關(guān)鍵的通信網(wǎng)絡(luò)產(chǎn)生不利影響,。

  指南的另外三部分

  5G云基礎(chǔ)設(shè)施安全指南的另外三個部分將重點(diǎn)關(guān)注:

  n第二部分:安全隔離網(wǎng)絡(luò)資源:確??蛻糍Y源之間有安全隔離,重點(diǎn)是保護(hù)支持虛擬網(wǎng)絡(luò)功能運(yùn)行的容器堆棧,。

  n第三部分:保護(hù)傳輸中,、使用中和靜態(tài)數(shù)據(jù):確保網(wǎng)絡(luò)和客戶數(shù)據(jù)在數(shù)據(jù)生命周期的所有階段(靜態(tài)、傳輸中、處理中,、銷毀時)都得到保護(hù),。

  n第四部分:確保基礎(chǔ)設(shè)施的完整性:確保 5G 云資源(例如容器鏡像,、模板,、配置)不被未經(jīng)授權(quán)修改。

  延伸閱讀:歐盟對5G安全風(fēng)險的評估

  兩年前,,即2019年10月,,歐盟(EU)成員國還發(fā)布了一份關(guān)于5G網(wǎng)絡(luò)安全的協(xié)調(diào)風(fēng)險評估。該報告確定了主要威脅和威脅參與者,、最敏感的資產(chǎn)以及可用于破壞它們的主要安全漏洞,。

  5G安全風(fēng)險評估報告強(qiáng)調(diào)了使用單一設(shè)備供應(yīng)商背后的危害,如果大量運(yùn)營商使用來自高風(fēng)險供應(yīng)商的設(shè)備,,設(shè)備短缺和5G解決方案的多樣性極大地?cái)U(kuò)大了5G基礎(chǔ)設(shè)施的整體脆弱性,。

  與 5G 網(wǎng)絡(luò)相關(guān)的安全挑戰(zhàn)還與網(wǎng)絡(luò)和第三方系統(tǒng)之間的連接以及第三方供應(yīng)商對國家 5G 網(wǎng)絡(luò)的訪問權(quán)限增加有關(guān)。

  歐盟的報告概述了在歐盟成員國內(nèi)推出5G網(wǎng)絡(luò)所產(chǎn)生的以下安全后果:

  n增加遭受攻擊的機(jī)會,,并為攻擊者提供更多潛在的入口點(diǎn),。

  n由于5G網(wǎng)絡(luò)架構(gòu)的新特點(diǎn)和新功能,某些網(wǎng)絡(luò)設(shè)備或功能變得更加敏感,,例如基站或網(wǎng)絡(luò)的關(guān)鍵技術(shù)管理功能,。

  n與移動網(wǎng)絡(luò)運(yùn)營商對供應(yīng)商的依賴相關(guān)的風(fēng)險增加,這將導(dǎo)致可能被威脅行為者利用的攻擊路徑數(shù)量增加,,并增加此類攻擊影響的潛在嚴(yán)重性,。

  n在供應(yīng)商推動的攻擊風(fēng)險增加的背景下,個別供應(yīng)商的風(fēng)險狀況將變得尤為重要,,包括供應(yīng)商受到非歐盟國家干擾的可能性,。

  n對供應(yīng)商的主要依賴增加了風(fēng)險:對單一供應(yīng)商的主要依賴增加了潛在供應(yīng)中斷的風(fēng)險,例如,,由于商業(yè)失敗及其后果,。

  n對網(wǎng)絡(luò)可用性和完整性的威脅 將成為主要的安全問題。

  歐盟成員國關(guān)于 5G 網(wǎng)絡(luò)安全風(fēng)險的聯(lián)合報告中提供了更多信息,,包括有關(guān)漏洞,、風(fēng)險情景和緩解措施/安全基線的詳細(xì)信息。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。