保護 2023 年及以後的 5G 安全
雖然行動技術已經存在幾十年,不過目前這一代 5G 由於為企業、中小企業和公共部門組織帶來 的絕佳新優勢而愈來愈獲得肯定。具體而言,超高速、高可用性、龐大網路容量和超低延遲等 5G 功能如果得到妥善保護,將支援專用網路、網路切片和多存取邊緣運算 (MEC) 等全新使用案 例的數位轉型獲得突破。
由於這些創新高的可靠性、效能和連接性,許多企業被 5G 所吸引。不過,由於 5G 成為企業完成工作的方式,因 此更強調在開放系統互連 (OSI) 模型的所有層保護網路。對於網路營運商、服務供應商以及設備和解決方案供應商 而言,僅僅保護管道第 3 層 (網路層) 和第 4 層 (傳輸層) 的語音和數據並不足夠。我們必須確保包括第 7 層 (應用 程式層) 在內的安全,藉以確保業務在這個全天候運作的環境中持續進行。5G 專為行動通訊而設計。安全性需要 跟上 5G 的速度。
隨著這項技術在全世界普及,PwC 預測,到 2030 年,5G 對全球經濟的影響將超過 1.3 萬億美元。1 隨著轉向新世 代連線,企業也需要面對潛在的新安全風險。任何改用 5G 的企業必須一開始就在部署中整合安全措施,了解 5G 網路是現今的業務經營方式,而不僅僅是推動因素。
為什麼保護 5G 很困難
5G 是重大的轉型技術,可實現整個業界的數位轉型並支撐整個經濟。裝置的激增、網路邊緣智慧的大幅增加以及 網路核心關鍵功能的彙總帶來挑戰,這些挑戰共同導致 5G 部署中的安全風險形成完美風暴。
前幾代行動技術的安全性並不著重於偵測和防禦對所有層、所有位置/介面、所有攻擊途徑和所有軟體生命週期階 段的攻擊。由於 5G 涉及影響公共 和私人生活各方面的關鍵任務應用程式,因此必須確保 5G 部署 受到無處不在的 安全保護,如此的安全性會檢視攻擊範圍的所有層並提供有助於降低風險的控制。企業級安全性可供企業對 5G 網 路採取零信任方法,包括在各層套用安全性,直到識別每個裝置、訂戶和網路切片。
5G 的新興威脅從何而來?
針對 5G 的威脅可能來自一些不同的途徑,因為攻擊者試圖找到最薄弱的連結來獲得存取權限。5G 基礎結構涉及 多個元件,各個元件代表存在潛在風險的區域。
- 虛擬化基礎結構。 5G 服務將在虛擬機器 (VM) 以及雲端和數據中心中基於 Kubernetes 的容器基礎結構上執 行。針對虛擬化的威脅包括拒絕服務攻擊以及錯誤設定等。另外也存在側通道攻擊的風險,攻擊者能夠藉此存 取虛擬化基礎結構堆疊的一部分,然後橫向移動以利用其他連接的裝置。
- 網路和管理介面。網路層存在針對傳訊和數據介面的攻擊風險。針對這些介面的攻擊可能包括位址詐騙、訊息 竄改和潛在的中間人竊聽攻擊。
- 應用程式和服務威脅。應用程式和服務也存在特定威脅的風險。這包括進階惡意軟體、命令與控制殭屍網路、程式碼插入和應用程式弱點。
- 無線電惡意基地台。5G 是無線通訊協定,無線電接入網 (RAN) 存在可用於攻擊網路的惡意基地台風險。 至於新興威脅,我們將數據平面視為下一個新興威脅。以往,大部分安全重點都集中在傳訊平面。不過,有鑑於攻 擊範圍擴大,攻擊者更容易在數據平面上利用弱點、API 操縱和存取控制等。
領導者如何改善 5G 安全性
雖然企業將面臨 5G 帶來的新興威脅,不過也可以採取一些措施來降低風險。
- 採用零信任。藉由 零信任架構 ,對於愈來愈多使用 5G 的裝置和使用案例,沒有隱含信任的概念。所有裝置和 使用者反而以一種在 5G 堆疊的所有層中實施最低權限的方法持續進行驗證。
- 採用自動化和人工智慧。 5G 部署的複雜度和大量裝置連接將需要更加快速、更加可重複的安全部署方法。5G 安全將受益於人工智慧支援的方法,這種方法可以識別裝置並啟用自動化政策驅動的方法來降低風險。
- 採取平台方法。 5G 是企業為了啟用應用程式而部署的較大堆疊之中的一部分。對於考量所有攻擊途徑的安全 措施必須採用 。平台方法也應該提供精細的應用程式識別政策,並針對來自任何地方的進階威脅進行 防護。
共同設計我們的安全進程
隨著企業為了啟用新功能而擴展連線選項,5G 代表一種典範轉移。新介面和針對虛擬化網路基礎結構的側通道攻 擊威脅也造成攻擊範圍擴大。必須將風險視為 5G 計劃的一部分,並且一開始就在部署中整合安全措施。
隨著企業改用新世代連線,安全性不可以後知後覺。必須從一開始將安全建構到 5G 網路中。5G 安全性應該能夠 在任何雲端平台 (私有或公有)、多雲端和多廠商環境以及服務供應商的 5G 核心網路或 MEC 上部署。
像 5G 這樣的進步有助於我們所有人實現願景,不過前提是我們共同努力建立能夠支援這段旅程的安全性和網路安 全性。讓我們一起為這段旅程做好準備。
1. “Health and social care to gain the most from 5G productivity and efficiency gains, which will add US$1.3 trillion to global GDP by 2030,” PwC Global, February 2, 2021