技術(shù)
導(dǎo)讀:高速的5G移動(dòng)網(wǎng)絡(luò)不僅可以使人們更高效地連接,而且還可以實(shí)現(xiàn)對(duì)機(jī)器、對(duì)象和設(shè)備更高的互連性和更好的控制。其更大帶寬、更高數(shù)據(jù)傳輸速率、低延遲和高容量將為企業(yè)帶來(lái)福音。但隨著5G的廣泛應(yīng)用,也將面臨一些重大安全風(fēng)險(xiǎn)。
圖片來(lái)自“123RF”
5G帶來(lái)的高速移動(dòng)網(wǎng)絡(luò)賦予企業(yè)更高效地處理信息和數(shù)據(jù)的能力;然而在實(shí)際應(yīng)用中,5G也帶來(lái)了許多挑戰(zhàn)。在本文中,作者以惠而浦、諾基亞等公司為例,主要分析了5G在于物聯(lián)網(wǎng)融合的過(guò)程中可能會(huì)帶來(lái)的安全問(wèn)題,以及企業(yè)規(guī)避與化解這些問(wèn)題的方法。
高速的5G移動(dòng)網(wǎng)絡(luò)不僅可以使人們更高效地連接,而且還可以實(shí)現(xiàn)對(duì)機(jī)器、對(duì)象和設(shè)備更高的互連性和更好的控制。其更大帶寬、更高數(shù)據(jù)傳輸速率、低延遲和高容量將為消費(fèi)者和企業(yè)帶來(lái)福音。隨著5G的廣泛應(yīng)用,也將面臨一些重大安全風(fēng)險(xiǎn)。
例如,全球家電制造商惠而浦公司開始為旗下一家工廠推出5G,該公司在此過(guò)程使用物聯(lián)網(wǎng)設(shè)備進(jìn)行預(yù)測(cè)性維護(hù)、環(huán)境控制、使用傳統(tǒng)局域網(wǎng)WiFi網(wǎng)絡(luò)進(jìn)行流程監(jiān)控,但是5G可以使該公司能夠?qū)崿F(xiàn)WiFi不可能完成的事情:調(diào)度自動(dòng)叉車和其他車輛。
惠而浦北美地區(qū)IT和OT制造基礎(chǔ)設(shè)施應(yīng)用程序經(jīng)理Douglas Barnes說(shuō):“我的工廠里有很多金屬物品,WiFi會(huì)被金屬產(chǎn)品反射。但是5G技術(shù)會(huì)穿透墻壁,并且不會(huì)被金屬反射。而一旦5G技術(shù)在工廠部署,我們的業(yè)務(wù)可能發(fā)生巨大的改變。這將使我們能夠在工廠使用真正的自動(dòng)駕駛車輛進(jìn)行維護(hù)、交付,以及支持生產(chǎn)的一切工作。這個(gè)業(yè)務(wù)案例具有示范意義,并將節(jié)省大量成本。5G的回報(bào)非??捎^?!?/p>
他說(shuō),該公司已經(jīng)進(jìn)行了測(cè)試,以確保自動(dòng)駕駛汽車能夠工作。并將在本月分配資金,自動(dòng)駕駛車輛將在今年年底前采用5G技術(shù)。他說(shuō),“如果我們采用5G實(shí)現(xiàn)這些目標(biāo),那么自動(dòng)駕駛汽車的商業(yè)案例將會(huì)獲得更大的成功?!?/p>
Barnes敏銳地意識(shí)到物聯(lián)網(wǎng)已經(jīng)為企業(yè)帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題,以及這些問(wèn)題在多大程度上會(huì)因?yàn)椴捎?G技術(shù)而加劇?;荻止九c5G技術(shù)合作伙伴AT&T公司合作解決了這些問(wèn)題。他說(shuō),“我們每天都在應(yīng)對(duì)網(wǎng)絡(luò)安全問(wèn)題。因此在開始實(shí)施之前,我們和AT&T公司討論的第一件事就是它將如何成為一個(gè)安全的網(wǎng)絡(luò)。”
以下是惠而浦等公司在制定5G實(shí)施計(jì)劃時(shí)需要考慮的七個(gè)關(guān)鍵問(wèn)題:
加密和保護(hù)5G網(wǎng)絡(luò)流量
借助5G,預(yù)計(jì)物聯(lián)網(wǎng)設(shè)備的數(shù)量將急劇增加,這些網(wǎng)絡(luò)上的流量也會(huì)隨之增加。根據(jù)調(diào)研機(jī)構(gòu)Gartner公司的調(diào)查,2020年全球物聯(lián)網(wǎng)設(shè)備的數(shù)量將增加到58億臺(tái),比今年預(yù)計(jì)的48億臺(tái)物聯(lián)網(wǎng)設(shè)備總數(shù)增加21%。這使得這些網(wǎng)絡(luò)成為網(wǎng)絡(luò)攻擊者的一個(gè)目標(biāo)豐富的環(huán)境。
Barnes說(shuō),為了解決這個(gè)問(wèn)題,惠而浦公司將加密所有5G數(shù)據(jù)流量,并將5G天線配置為只接受經(jīng)批準(zhǔn)的數(shù)據(jù)流量。他說(shuō),“當(dāng)我們添加設(shè)備時(shí),將它們配置為5G上可接受的設(shè)備。如果沒有列入白名單,我們就不會(huì)添加。而且由于它是加密的,所以我不會(huì)擔(dān)心有人捕獲該信號(hào),因?yàn)樗麄儗?duì)此無(wú)能為力?!?/p>
他說(shuō),如果數(shù)據(jù)流量離開本地網(wǎng)絡(luò),并通過(guò)公共5G或全球互聯(lián)網(wǎng)傳輸,則將通過(guò)受保護(hù)的VPN隧道來(lái)保護(hù)通信。他說(shuō):“由于可能必須使用5G與外界進(jìn)行通信,因此我們預(yù)先進(jìn)行了設(shè)置。”
保護(hù)和隔離易受攻擊的設(shè)備
Barnes說(shuō),“下一個(gè)潛在的弱點(diǎn)是物聯(lián)網(wǎng)設(shè)備本身。物聯(lián)網(wǎng)的一些行業(yè)人士都沒有這樣的安全意識(shí)。尤其是通常具有專用操作系統(tǒng)的工業(yè)設(shè)備,這些設(shè)備無(wú)法安裝禁止其使用的補(bǔ)丁程序或許可證,它們?cè)谠O(shè)計(jì)時(shí)并沒有考慮補(bǔ)丁?!?/p>
Barracuda Networks公司高級(jí)安全研究員Jonathan Tanner表示,事實(shí)上,大多數(shù)物聯(lián)網(wǎng)安全問(wèn)題都沒有得到解決。他說(shuō),某些設(shè)備存在固件更新無(wú)法修復(fù)的問(wèn)題,或者沒有更新固件的機(jī)制。即使設(shè)備制造商在下一代設(shè)備上增加了安全功能,那些不安全的原有設(shè)備仍然處于危險(xiǎn)之中。
Tanner補(bǔ)充說(shuō),有些公司并不在意,并忽略了指出漏洞的安全研究人員的建議。他說(shuō),“設(shè)備存在很多漏洞并且易受攻擊的一些企業(yè)已經(jīng)倒閉?!?/p>
當(dāng)企業(yè)使用這些不安全的物聯(lián)網(wǎng)設(shè)備時(shí)應(yīng)該怎么辦?惠而浦公司的Barnes說(shuō),網(wǎng)絡(luò)隔離有助于保護(hù)它們,并與其他網(wǎng)絡(luò)安全技術(shù)結(jié)合使用。他說(shuō),“我們采用兩層方法。監(jiān)視所有流量的網(wǎng)絡(luò)安全性,以及更受協(xié)議驅(qū)動(dòng)的二級(jí)安全性,可執(zhí)行深入的數(shù)據(jù)包檢查,查找協(xié)議中嵌入的惡意活動(dòng)類型?!?/p>
除此之外,還有通用的安全衛(wèi)生措施,例如盡可能地打補(bǔ)丁,定期對(duì)所有設(shè)備進(jìn)行安全審計(jì),所有物聯(lián)網(wǎng)設(shè)備都具有完整的設(shè)備清單。
為更大的DDoS攻擊做好準(zhǔn)備
一般來(lái)說(shuō),5G并不意味著比前幾代無(wú)線技術(shù)的安全性更弱。諾基亞威脅情報(bào)實(shí)驗(yàn)室主任Kevin Mcnamee表示:“5G確實(shí)帶來(lái)了4G或3G所無(wú)法提供的新安全功能,有了5G,整個(gè)控制平臺(tái)都被轉(zhuǎn)移到了一種Web服務(wù)類型的環(huán)境中,在這種環(huán)境中,它經(jīng)過(guò)了嚴(yán)格的認(rèn)證,而且非常安全?!?/p>
McNamee說(shuō),僵尸網(wǎng)絡(luò)機(jī)會(huì)的增加將影響安全性的提高。他說(shuō),“5G將大大增加設(shè)備可用的帶寬。增加帶寬會(huì)增加物聯(lián)網(wǎng)機(jī)器人可用的帶寬。”
增加帶寬將用于解決的問(wèn)題之一是查找更多易受攻擊的設(shè)備并傳播感染,并且僵尸網(wǎng)絡(luò)將會(huì)發(fā)現(xiàn)更多易受攻擊的設(shè)備。消費(fèi)者正在大量購(gòu)買智能家居設(shè)備。與惠而浦公司一樣,很多企業(yè)也是物聯(lián)網(wǎng)設(shè)備的大用戶,政府機(jī)構(gòu)和其他類型的組織也是如此。
5G將使物聯(lián)網(wǎng)設(shè)備可以放置在難以維護(hù)的偏遠(yuǎn)地區(qū)。ESET公司安全研究員、俄勒岡州無(wú)線互聯(lián)網(wǎng)服務(wù)提供商協(xié)會(huì)聯(lián)合主席Cameron Camp說(shuō),“將會(huì)有大量的傳感器記錄從天氣、空氣質(zhì)量到視頻饋送的所有內(nèi)容。這意味著有大量新的機(jī)器可能被黑客入侵。并加入僵尸網(wǎng)絡(luò)。由于這些傳感器大部分無(wú)人值守,黑客將難以發(fā)現(xiàn)和應(yīng)對(duì)?!?/p>
物聯(lián)網(wǎng)設(shè)備也往往會(huì)使用一段時(shí)間,用戶不會(huì)替換仍然可以實(shí)現(xiàn)預(yù)期功能的物聯(lián)網(wǎng)設(shè)備。網(wǎng)絡(luò)攻擊者希望對(duì)他們的僵尸網(wǎng)絡(luò)采取低調(diào)的方法,以使不會(huì)引起注意。即使提供可用的補(bǔ)丁程序,或制造商銷售更新的、更安全的設(shè)備版本,很多客戶也可能不會(huì)進(jìn)行更改。同時(shí),許多智能物聯(lián)網(wǎng)設(shè)備正在運(yùn)行諸如嵌入式Linux之類的真實(shí)操作系統(tǒng),從而使它們可以完全發(fā)揮作用。
被感染的設(shè)備可用于托管非法內(nèi)容、惡意軟件、命令和控制數(shù)據(jù)以及對(duì)攻擊者有價(jià)值的其他系統(tǒng)和服務(wù)。用戶不會(huì)將這些設(shè)備視為需要防病毒保護(hù)、修補(bǔ)和更新的計(jì)算機(jī)。許多物聯(lián)網(wǎng)設(shè)備沒有保留入站和出站流量的日志。這使攻擊者可以匿名,并使得關(guān)閉僵尸網(wǎng)絡(luò)更加困難。
這就構(gòu)成了三重威脅。潛在可利用設(shè)備的數(shù)量、僵尸網(wǎng)絡(luò)的可用帶寬,以及DDoS攻擊的可用帶寬增加。企業(yè)現(xiàn)在需要為5G環(huán)境中出現(xiàn)的DDoS攻擊做好準(zhǔn)備,因?yàn)樵S多設(shè)備仍然不安全,有些設(shè)備無(wú)法打補(bǔ)丁。
轉(zhuǎn)移到IPv6可能會(huì)使專用全球互聯(lián)網(wǎng)地址公開
隨著設(shè)備的激增和通信速度的提高,企業(yè)可能會(huì)傾向于使用IPv6代替當(dāng)今常見的IPv4。允許更長(zhǎng)IP地址的IPv6在2017年成為互聯(lián)網(wǎng)標(biāo)準(zhǔn)。
現(xiàn)在只有43億個(gè)IPv4地址,今后沒有足夠的IPv4地址可以訪問(wèn)。在2011年,一些注冊(cè)管理機(jī)構(gòu)的IP v4地址供不應(yīng)求,而組織于2012年開始使用IPv6地址。但是,根據(jù)國(guó)際互聯(lián)網(wǎng)協(xié)會(huì)的數(shù)據(jù),如今,只有不到30%的谷歌用戶通過(guò)IPv6訪問(wèn)該平臺(tái)。
諾基亞公司的McNamee表示,許多組織以及幾乎所有住宅設(shè)備和許多移動(dòng)電話網(wǎng)絡(luò)都沒有使用IPv6,而是使用私有IPv4地址。他說(shuō):“這為他們提供了免受攻擊的保護(hù)措施,因?yàn)樗鼈冊(cè)诨ヂ?lián)網(wǎng)上不可見。”
隨著全球轉(zhuǎn)向5G,運(yùn)營(yíng)商自然會(huì)轉(zhuǎn)向IPv6,以支持?jǐn)?shù)十億臺(tái)新設(shè)備。如果他們選擇公共IPv6地址而不是私有地址,那么這些設(shè)備現(xiàn)在將是可見的。他說(shuō),這不是IPv6的問(wèn)題,也不是5G的問(wèn)題,但是將其設(shè)備從IPv4遷移到IPv6的企業(yè)可能會(huì)意外地將其放置在公共地址上。
邊緣計(jì)算增加了攻擊面
希望為客戶或他們自己分散的基礎(chǔ)設(shè)施減少延遲并提高性能的企業(yè)越來(lái)越多地關(guān)注邊緣計(jì)算。借助5G,端點(diǎn)設(shè)備將具有更多的通信能力,邊緣計(jì)算的優(yōu)勢(shì)將變得更大。
邊緣計(jì)算還大大增加了潛在的攻擊面。尚未開始使用零信任網(wǎng)絡(luò)架構(gòu)的企業(yè)應(yīng)該在考慮對(duì)邊緣計(jì)算基礎(chǔ)設(shè)施進(jìn)行大量投資之前就考慮這個(gè)問(wèn)題。當(dāng)他們確實(shí)做到這一點(diǎn)時(shí),安全性是首要考慮因素,而不是事后考慮。
新的物聯(lián)網(wǎng)廠商專注于快速進(jìn)入市場(chǎng),而不是安全性
物聯(lián)網(wǎng)淘金熱將激勵(lì)新的物聯(lián)網(wǎng)供應(yīng)商進(jìn)入該領(lǐng)域,并鼓勵(lì)現(xiàn)有的供應(yīng)商將新設(shè)備推向市場(chǎng)。Barracuda公司的Tanner說(shuō),物聯(lián)網(wǎng)設(shè)備的數(shù)量已經(jīng)遠(yuǎn)遠(yuǎn)超過(guò)尋找漏洞的安全研究人員的處理能力。他說(shuō),隨著新制造商的加入,人們將看到一個(gè)全新的安全錯(cuò)誤周期。
同樣的錯(cuò)誤多次地出現(xiàn),物聯(lián)網(wǎng)設(shè)備的漏洞正在上升,而不是下降。他說(shuō),“一些物聯(lián)網(wǎng)廠商并沒有吸取他人的教訓(xùn)?!?/p>
A-lign公司法規(guī)遵從性和安全性部門的滲透測(cè)試實(shí)踐負(fù)責(zé)人Joe Cortese表示,“一些物聯(lián)網(wǎng)供應(yīng)商對(duì)此并不在乎。今年早些時(shí)候,我購(gòu)買了五臺(tái)應(yīng)用物聯(lián)網(wǎng)設(shè)備的智能燈具,并且能夠從屋外訪問(wèn)其中的四臺(tái)設(shè)備。這些設(shè)備內(nèi)置了測(cè)試模式,而供應(yīng)商方并沒有刪除?!?/p>
Cortese說(shuō),所有供應(yīng)商都希望成為第一個(gè)進(jìn)入物聯(lián)網(wǎng)市場(chǎng)的廠商。對(duì)于許多供應(yīng)商而言,最快推出設(shè)備的方法是使用嵌入式Linux之類的現(xiàn)成平臺(tái)。他說(shuō):“最近,我發(fā)現(xiàn)了一種物聯(lián)網(wǎng)惡意軟件,該惡意軟件可以破壞物聯(lián)網(wǎng)設(shè)備。沒有加強(qiáng)物聯(lián)網(wǎng)設(shè)備安全的制造商很容易受到這種攻擊”
網(wǎng)絡(luò)攻擊者可以使用它來(lái)關(guān)閉工廠或關(guān)鍵基礎(chǔ)設(shè)施,或攻擊企業(yè)的系統(tǒng)進(jìn)行勒索。Cortese說(shuō),“我現(xiàn)在還沒有看到這種事情的發(fā)生,但這只是因?yàn)?G尚未廣泛部署。隨著5G的更多采用和物聯(lián)網(wǎng)的增加,我們可能會(huì)看到諸如制造業(yè)等系統(tǒng)的利用大大增加?!?/p>
有人需要擁有物聯(lián)網(wǎng)安全性
物聯(lián)網(wǎng)安全的最大障礙不是技術(shù)而是心理。沒有人愿意承擔(dān)責(zé)任,他們都在責(zé)怪別人。買方責(zé)怪賣方未確保其設(shè)備安全,而賣方責(zé)怪買方選擇了更便宜、更不安全的產(chǎn)品。在5G世界中,忽視物聯(lián)網(wǎng)安全的后果將會(huì)更大。
根據(jù)Radware公司去年發(fā)布的一項(xiàng)調(diào)查,34%的受訪者認(rèn)為設(shè)備制造商應(yīng)對(duì)物聯(lián)網(wǎng)安全負(fù)責(zé),11%的受訪者認(rèn)為服務(wù)提供商應(yīng)該負(fù)責(zé),21%的受訪者認(rèn)為應(yīng)是個(gè)人消費(fèi)者負(fù)責(zé),35%的受訪者認(rèn)為商業(yè)組織應(yīng)該負(fù)責(zé)。Radware公司戰(zhàn)略副總裁Mike O’Malley說(shuō),“換句話說(shuō),人們對(duì)于誰(shuí)來(lái)承擔(dān)責(zé)任沒有達(dá)成共識(shí)。”他表示,出現(xiàn)這種情況,通常因?yàn)橄M(fèi)者不具備這些知識(shí)或技能,企業(yè)的員工不夠,制造商不太協(xié)調(diào),無(wú)法控制等多方面因素。
企業(yè)可以與服務(wù)提供商合作來(lái)承擔(dān)一些負(fù)擔(dān),但這不能解決消費(fèi)類設(shè)備不安全、制造商不愿進(jìn)行更改,以及缺乏一致的全球監(jiān)管法規(guī)和實(shí)施的問(wèn)題。
每個(gè)人都應(yīng)對(duì)物聯(lián)網(wǎng)安全負(fù)責(zé)。買家需要堅(jiān)持要求購(gòu)買的產(chǎn)品沒有默認(rèn)密碼或測(cè)試模式,則必須對(duì)通信進(jìn)行加密和認(rèn)證,并且設(shè)備要定期進(jìn)行補(bǔ)丁和更新。供應(yīng)商需要將不安全的設(shè)備下架,在產(chǎn)品設(shè)計(jì)過(guò)程開始時(shí)就考慮安全問(wèn)題,而不是在出現(xiàn)問(wèn)題之后才開始考慮。