圖片來自“123RF”
5G帶來的高速移動網絡賦予企業(yè)更高效地處理信息和數(shù)據的能力;然而在實際應用中�����,5G也帶來了許多挑戰(zhàn)����。在本文中����,作者以惠而浦����、諾基亞等公司為例��,主要分析了5G在于物聯(lián)網融合的過程中可能會帶來的安全問題���,以及企業(yè)規(guī)避與化解這些問題的方法����。
高速的5G移動網絡不僅可以使人們更高效地連接���,而且還可以實現(xiàn)對機器���、對象和設備更高的互連性和更好的控制。其更大帶寬���、更高數(shù)據傳輸速率�、低延遲和高容量將為消費者和企業(yè)帶來福音��。隨著5G的廣泛應用�,也將面臨一些重大安全風險。
例如����,全球家電制造商惠而浦公司開始為旗下一家工廠推出5G,該公司在此過程使用物聯(lián)網設備進行預測性維護�����、環(huán)境控制�����、使用傳統(tǒng)局域網WiFi網絡進行流程監(jiān)控�����,但是5G可以使該公司能夠實現(xiàn)WiFi不可能完成的事情:調度自動叉車和其他車輛����。
惠而浦北美地區(qū)IT和OT制造基礎設施應用程序經理Douglas
Barnes說:“我的工廠里有很多金屬物品��,WiFi會被金屬產品反射�����。但是5G技術會穿透墻壁���,并且不會被金屬反射��。而一旦5G技術在工廠部署�,我們的業(yè)務可能發(fā)生巨大的改變。這將使我們能夠在工廠使用真正的自動駕駛車輛進行維護���、交付�����,以及支持生產的一切工作。這個業(yè)務案例具有示范意義���,并將節(jié)省大量成本。5G的回報非常可觀���。”
他說,該公司已經進行了測試��,以確保自動駕駛汽車能夠工作���。并將在本月分配資金,自動駕駛車輛將在今年年底前采用5G技術��。他說�����,“如果我們采用5G實現(xiàn)這些目標��,那么自動駕駛汽車的商業(yè)案例將會獲得更大的成功����?�!?/p>
Barnes敏銳地意識到物聯(lián)網已經為企業(yè)帶來的網絡安全問題�,以及這些問題在多大程度上會因為采用5G技術而加劇。惠而浦公司與5G技術合作伙伴AT&T公司合作解決了這些問題����。他說,“我們每天都在應對網絡安全問題�����。因此在開始實施之前�,我們和AT&T公司討論的第一件事就是它將如何成為一個安全的網絡?����!?/p>
以下是惠而浦等公司在制定5G實施計劃時需要考慮的七個關鍵問題:
加密和保護5G網絡流量
借助5G�,預計物聯(lián)網設備的數(shù)量將急劇增加,這些網絡上的流量也會隨之增加�。根據調研機構Gartner公司的調查,2020年全球物聯(lián)網設備的數(shù)量將增加到58億臺��,比今年預計的48億臺物聯(lián)網設備總數(shù)增加21%�����。這使得這些網絡成為網絡攻擊者的一個目標豐富的環(huán)境����。
Barnes說����,為了解決這個問題�����,惠而浦公司將加密所有5G數(shù)據流量���,并將5G天線配置為只接受經批準的數(shù)據流量。他說�,“當我們添加設備時,將它們配置為5G上可接受的設備�����。如果沒有列入白名單����,我們就不會添加。而且由于它是加密的,所以我不會擔心有人捕獲該信號,因為他們對此無能為力。”
他說���,如果數(shù)據流量離開本地網絡,并通過公共5G或全球互聯(lián)網傳輸�,則將通過受保護的VPN隧道來保護通信���。他說:“由于可能必須使用5G與外界進行通信��,因此我們預先進行了設置��?�!?/p>
保護和隔離易受攻擊的設備
Barnes說��,“下一個潛在的弱點是物聯(lián)網設備本身��。物聯(lián)網的一些行業(yè)人士都沒有這樣的安全意識�。尤其是通常具有專用操作系統(tǒng)的工業(yè)設備�,這些設備無法安裝禁止其使用的補丁程序或許可證�����,它們在設計時并沒有考慮補丁�����?!?/p>
Barracuda Networks公司高級安全研究員Jonathan
Tanner表示,事實上���,大多數(shù)物聯(lián)網安全問題都沒有得到解決。他說�����,某些設備存在固件更新無法修復的問題����,或者沒有更新固件的機制。即使設備制造商在下一代設備上增加了安全功能�����,那些不安全的原有設備仍然處于危險之中�����。
Tanner補充說����,有些公司并不在意,并忽略了指出漏洞的安全研究人員的建議�����。他說��,“設備存在很多漏洞并且易受攻擊的一些企業(yè)已經倒閉���?��!?/p>
當企業(yè)使用這些不安全的物聯(lián)網設備時應該怎么辦?惠而浦公司的Barnes說,網絡隔離有助于保護它們�����,并與其他網絡安全技術結合使用�。他說,“我們采用兩層方法�����。監(jiān)視所有流量的網絡安全性�,以及更受協(xié)議驅動的二級安全性����,可執(zhí)行深入的數(shù)據包檢查���,查找協(xié)議中嵌入的惡意活動類型?��!?/p>
除此之外����,還有通用的安全衛(wèi)生措施��,例如盡可能地打補丁��,定期對所有設備進行安全審計��,所有物聯(lián)網設備都具有完整的設備清單�。
為更大的DDoS攻擊做好準備
一般來說,5G并不意味著比前幾代無線技術的安全性更弱����。諾基亞威脅情報實驗室主任Kevin
Mcnamee表示:“5G確實帶來了4G或3G所無法提供的新安全功能,有了5G����,整個控制平臺都被轉移到了一種Web服務類型的環(huán)境中,在這種環(huán)境中�,它經過了嚴格的認證����,而且非常安全���?!?/p>
McNamee說�����,僵尸網絡機會的增加將影響安全性的提高�����。他說����,“5G將大大增加設備可用的帶寬。增加帶寬會增加物聯(lián)網機器人可用的帶寬�。”
增加帶寬將用于解決的問題之一是查找更多易受攻擊的設備并傳播感染��,并且僵尸網絡將會發(fā)現(xiàn)更多易受攻擊的設備��。消費者正在大量購買智能家居設備���。與惠而浦公司一樣����,很多企業(yè)也是物聯(lián)網設備的大用戶�,政府機構和其他類型的組織也是如此。
5G將使物聯(lián)網設備可以放置在難以維護的偏遠地區(qū)��。ESET公司安全研究員����、俄勒岡州無線互聯(lián)網服務提供商協(xié)會聯(lián)合主席Cameron
Camp說,“將會有大量的傳感器記錄從天氣�����、空氣質量到視頻饋送的所有內容��。這意味著有大量新的機器可能被黑客入侵�����。并加入僵尸網絡�。由于這些傳感器大部分無人值守,黑客將難以發(fā)現(xiàn)和應對?�!?/p>
物聯(lián)網設備也往往會使用一段時間���,用戶不會替換仍然可以實現(xiàn)預期功能的物聯(lián)網設備�����。網絡攻擊者希望對他們的僵尸網絡采取低調的方法����,以使不會引起注意�。即使提供可用的補丁程序,或制造商銷售更新的�����、更安全的設備版本��,很多客戶也可能不會進行更改��。同時�����,許多智能物聯(lián)網設備正在運行諸如嵌入式Linux之類的真實操作系統(tǒng),從而使它們可以完全發(fā)揮作用���。
被感染的設備可用于托管非法內容、惡意軟件��、命令和控制數(shù)據以及對攻擊者有價值的其他系統(tǒng)和服務����。用戶不會將這些設備視為需要防病毒保護、修補和更新的計算機����。許多物聯(lián)網設備沒有保留入站和出站流量的日志。這使攻擊者可以匿名���,并使得關閉僵尸網絡更加困難�。
這就構成了三重威脅��。潛在可利用設備的數(shù)量��、僵尸網絡的可用帶寬�����,以及DDoS攻擊的可用帶寬增加。企業(yè)現(xiàn)在需要為5G環(huán)境中出現(xiàn)的DDoS攻擊做好準備����,因為許多設備仍然不安全,有些設備無法打補丁���。
轉移到IPv6可能會使專用全球互聯(lián)網地址公開
隨著設備的激增和通信速度的提高��,企業(yè)可能會傾向于使用IPv6代替當今常見的IPv4�。允許更長IP地址的IPv6在2017年成為互聯(lián)網標準�。
現(xiàn)在只有43億個IPv4地址,今后沒有足夠的IPv4地址可以訪問����。在2011年,一些注冊管理機構的IP
v4地址供不應求�����,而組織于2012年開始使用IPv6地址�。但是,根據國際互聯(lián)網協(xié)會的數(shù)據�����,如今,只有不到30%的谷歌用戶通過IPv6訪問該平臺����。
諾基亞公司的McNamee表示,許多組織以及幾乎所有住宅設備和許多移動電話網絡都沒有使用IPv6�,而是使用私有IPv4地址�。他說:“這為他們提供了免受攻擊的保護措施,因為它們在互聯(lián)網上不可見�。”
隨著全球轉向5G���,運營商自然會轉向IPv6����,以支持數(shù)十億臺新設備��。如果他們選擇公共IPv6地址而不是私有地址�,那么這些設備現(xiàn)在將是可見的。他說���,這不是IPv6的問題����,也不是5G的問題,但是將其設備從IPv4遷移到IPv6的企業(yè)可能會意外地將其放置在公共地址上�。
邊緣計算增加了攻擊面
希望為客戶或他們自己分散的基礎設施減少延遲并提高性能的企業(yè)越來越多地關注邊緣計算。借助5G�,端點設備將具有更多的通信能力,邊緣計算的優(yōu)勢將變得更大�����。
邊緣計算還大大增加了潛在的攻擊面���。尚未開始使用零信任網絡架構的企業(yè)應該在考慮對邊緣計算基礎設施進行大量投資之前就考慮這個問題�。當他們確實做到這一點時���,安全性是首要考慮因素�����,而不是事后考慮�����。
新的物聯(lián)網廠商專注于快速進入市場���,而不是安全性
物聯(lián)網淘金熱將激勵新的物聯(lián)網供應商進入該領域���,并鼓勵現(xiàn)有的供應商將新設備推向市場。Barracuda公司的Tanner說�����,物聯(lián)網設備的數(shù)量已經遠遠超過尋找漏洞的安全研究人員的處理能力��。他說�,隨著新制造商的加入�,人們將看到一個全新的安全錯誤周期。
同樣的錯誤多次地出現(xiàn)��,物聯(lián)網設備的漏洞正在上升�,而不是下降。他說�,“一些物聯(lián)網廠商并沒有吸取他人的教訓?!?/p>
A-lign公司法規(guī)遵從性和安全性部門的滲透測試實踐負責人Joe
Cortese表示,“一些物聯(lián)網供應商對此并不在乎���。今年早些時候�����,我購買了五臺應用物聯(lián)網設備的智能燈具����,并且能夠從屋外訪問其中的四臺設備。這些設備內置了測試模式�����,而供應商方并沒有刪除���?����!?/p>
Cortese說���,所有供應商都希望成為第一個進入物聯(lián)網市場的廠商。對于許多供應商而言����,最快推出設備的方法是使用嵌入式Linux之類的現(xiàn)成平臺。他說:“最近����,我發(fā)現(xiàn)了一種物聯(lián)網惡意軟件�����,該惡意軟件可以破壞物聯(lián)網設備���。沒有加強物聯(lián)網設備安全的制造商很容易受到這種攻擊”
網絡攻擊者可以使用它來關閉工廠或關鍵基礎設施,或攻擊企業(yè)的系統(tǒng)進行勒索�。Cortese說,“我現(xiàn)在還沒有看到這種事情的發(fā)生���,但這只是因為5G尚未廣泛部署���。隨著5G的更多采用和物聯(lián)網的增加�����,我們可能會看到諸如制造業(yè)等系統(tǒng)的利用大大增加�����?!?/p>
有人需要擁有物聯(lián)網安全性
物聯(lián)網安全的最大障礙不是技術而是心理。沒有人愿意承擔責任���,他們都在責怪別人���。買方責怪賣方未確保其設備安全���,而賣方責怪買方選擇了更便宜、更不安全的產品��。在5G世界中��,忽視物聯(lián)網安全的后果將會更大�。
根據Radware公司去年發(fā)布的一項調查,34%的受訪者認為設備制造商應對物聯(lián)網安全負責����,11%的受訪者認為服務提供商應該負責,21%的受訪者認為應是個人消費者負責����,35%的受訪者認為商業(yè)組織應該負責。Radware公司戰(zhàn)略副總裁Mike
O’Malley說���,“換句話說�����,人們對于誰來承擔責任沒有達成共識�����?����!彼硎?�,出現(xiàn)這種情況����,通常因為消費者不具備這些知識或技能,企業(yè)的員工不夠���,制造商不太協(xié)調�����,無法控制等多方面因素。
企業(yè)可以與服務提供商合作來承擔一些負擔�����,但這不能解決消費類設備不安全、制造商不愿進行更改�����,以及缺乏一致的全球監(jiān)管法規(guī)和實施的問題�。
每個人都應對物聯(lián)網安全負責。買家需要堅持要求購買的產品沒有默認密碼或測試模式�,則必須對通信進行加密和認證,并且設備要定期進行補丁和更新�����。供應商需要將不安全的設備下架�����,在產品設計過程開始時就考慮安全問題���,而不是在出現(xiàn)問題之后才開始考慮��。
