美国CISA和NSA联合发布《5G云基础设施安全指南》
2021-11-07
来源:祺印说信安
2021年10月28日,美国网络安全与关键基础设施安全局(CISA)和国家安全局(NSA)联合发布了《5G云基础设施安全指南》的第一部分《防止和检测横向移动》,提供了减少已获得云基础设施初始访问权限的威胁行为者的横向移动尝试的建议。该指南共有四部分组成。《5G云基础设施安全指南》由关键基础设施合作伙伴咨询委员会(CIPAC)跨部门持久安全框架工作组创建,该工作组是一个公有及私营部门合作工作组,可提供网络安全指导,以解决对国家关键基础设施的高优先级网络威胁。
CISA和NSA联合发布《5G云基础设施安全指南》第一部分《防止和检测横向移动》
美国网络安全与关键基础设施安全局推荐采取六项措施阻止和检测对手在5G云中的横向移动
美国网络安全与关键基础设施安全局鼓励5G核心网络设备供应商、云服务提供商、系统集成商和移动网络运营商等构建和配置5G云基础设施的服务提供商审查指南并提出建议。
该指南指出:“5G网络是云原生的,对于希望消耗或阻塞网络资源,或以其他方式破坏信息的网络威胁行为者来说,将是一个有利可图的目标。”“为了应对这种威胁,必须安全地构建和配置5G云基础设施,具备检测和响应威胁的能力,为部署安全网络功能提供强化环境。”
“
美国网络安全与关键基础设施安全局和国家安全局表示,5G服务提供商和系统集成商可以实施以下六项措施来阻止和检测5G云中的横向移动:
1、在5G云中实施安全身份和访问管理(IdAM)。
2、使5G云软件保持最新状态并避免已知漏洞。
3、在5G云中安全配置网络。
4、锁定隔离网络功能之间的通信。
5、监测对手横向运动的迹象。
6、开发和部署分析以检测复杂的对抗性存在。
”
5G基础设施面临的三大威胁场景
《5G云基础设施安全指南》建立在2021年5月发布的《5G基础设施的潜在威胁向量》白皮书基础上,该白皮书特别关注适用于5G云基础设施部署的威胁、漏洞和缓解措施。白皮书提供了5G面临的三大威胁场景的详细信息:政策和标准威胁场景、供应链威胁场景和5G系统架构威胁场景。
政策和标准
5G政策和标准的制定是确保5G未来通信基础设施安全的基础。通过全球标准制定机构,如第三代合作伙伴项目、互联网工程任务组和国际电信联盟,电信标准开发组织正在制定技术标准和安全控制,这些标准和安全控制将影响到设计和新技术的架构,如自动驾驶汽车、边缘计算和远程医疗。鉴于这些决定对实施和采用5G技术的影响,国际标准和政策必须是公开、透明和共识驱动的。
随着新的5G政策和标准的发布,仍然存在影响最终用户的潜在威胁。例如,国家可能试图对有利于其专有技术的标准施加不适当的影响,并限制客户使用其他设备或软件的选择。还存在与标准制定相关的风险,标准机构可能会制定可选的控制措施,而这些控制措施不是由运营商实施的。
如果不实施这些主观的安全措施,运营商可能会在网络中引入漏洞,并为恶意威胁行为打开大门。
供应链
供应链风险是指威胁者利用信息和通信技术(ICTs)及其相关供应链进行间谍活动、破坏活动、外国干涉和犯罪活动等等。
5G供应链也同样容易受到恶意软件和硬件、假冒组件、不良设计、制造工艺和维护程序等风险的影响。由于5G技术的广泛吸引力和由此带来的急于部署,这些风险的暴露更加严重。
这可能会导致负面的后果,如数据和知识产权被盗,对5G网络的完整性失去信心,或被利用来造成系统和网络故障。
随着数十亿台5G设备的潜在连接,5G供应链中引入不可信或假冒组件的风险增加。这可能包括最终影响最终用户设备(如计算机、电话和其他设备)的受损设备或基础设施。不受信任的公司或政府支持的供应商也会导致供应链风险,特别是那些在电信网络中拥有相当大国际市场份额的公司。例如,那些从供应链受损的公司购买5G设备的国家可能容易受到数据的拦截、操纵、破坏或破坏。这在向国际合作伙伴发送数据时会带来挑战,因为一个国家的安全网络可能会因为另一个国家的不受信任的电信网络而容易受到威胁。
5G系统架构
设计和开发5G系统架构,以满足日益增长的数据、容量和通信需求。尽管5G组件制造商和服务提供商正在通过技术改进来增强安全性,但传统漏洞和新漏洞都可能被恶意行为者利用。此外,与前几代无线网络相比,5G网络将使用更多ICT组件,这可能会为恶意攻击者提供截取、操纵、破坏和销毁关键数据的其他载体。5G容量的增加促进了物联网的扩散,物联网为5G网络增加了大量可能不那么安全的设备。组件多样性的增加可能会导致5G架构内的复杂性,并可能带来不可预见的整体系统弱点或漏洞。
随着新5G组件和技术的开发和部署,必然有新的弱点被发现。未来的5G系统架构(例如,软件定义网络、云本地基础设施、网络切片、边缘计算)可能会增加恶意行为者可利用的攻击面。例如,4G传统架构和5G架构的重叠可能为恶意行为者提供实施降级攻击的机会,其中5G网络上的用户可能会被迫使用4G,从而允许恶意行为者利用已知的4G漏洞进行攻击。恶意威胁行为者可能利用这些威胁和漏洞对组织和用户造成负面影响。如果不持续关注5G威胁向量和及早发现系统架构中的弱点,新的漏洞将增加网络事件造成的影响。
美国政府和军方发布的5G战略报告
美国尤为重视5G发展和5G安全相关问题,先后发布多个战略报告,为5G技术明确发展方向。
国家层面,2018年10月,白宫在《美国将赢得5G全球竞赛》报告中提出,将借鉴4G成功经验,重塑美国5G领域优势。2018年,白宫发布了《为美国未来制定可持续频谱战略的总统备忘录》,强调了要让美国领导5G,增强公共和私营部门的安全。2019年4月,美国无线通信和互联网协会发布了《引领5G的国家频谱战略》,该战略通过3项行动计划帮助美国引领未来5G产业的发展,以保持其全球无线通信的领导地位。同年4月,美国联邦通信委员会发布《5G加速计划》,采取3个策略促进美国5G技术优势:一是提供更多频谱供商业使用,二是简化批准5G基础设施的政府流程,三是更新法规以促进5G回传的部署。2020年3月,美白宫发布《美国5G安全国家战略》。该战略强调要保护美国人民免受电信网络和5G技术的网络威胁,并提出四项战略措施,包括:加快5G的部署和推广;评估风险并确定5G基础设施的核心安全原则;管理使用5G基础设施对美国经济和国家安全带来的风险;促进全球5G基础设施开发和部署。该战略体现出美国对5G网络部署的重视程度,将5G安全上升到国家战略,战略目标是与其合作伙伴和盟国一起制定政策和结构,共同在全球领导安全可靠的5G通信基础设施的开发、部署和管理,表明美国谋求与盟友合作引领5G技术发展和部署的主导权,领先于全球行业竞争对手。
国防部层面,2019年4月,美国国防创新委员会发布《5G生态系统:国防部的风险与机遇》研究报告。报告直指中国,认为如果中国在5G发展中处于领先地位,将对美国政治经济地位带来严重威胁。报告重点分析了全球5G竞争发展态势,5G技术对国防部的影响与挑战。中国在5G领域的发展情况以及未来对国防安全的影响,并在频谱政策、供应链和基础设施安全等方面提出了建议。报告建议拖慢中国5G产业发展速度,全力提升美国在5G供应链中的控制能力,确保其全球国防系统的安全性。同年6月,美国防科学委员会发布《5G网络技术国防应用》,对5G相关技术和通信进行了广泛的技术审查,为国防部提出十条战略建议,建议美在激烈竞争的环境中将5G应用于军事用途,制定国防部5G供应链管理战略,制定5G+科技路线图等。2020年5月,国防部发布公开版5G战略,将5G技术视为关键战略技术,掌握先进通信技术的国家将拥有长期经济和军事优势。战略指出,国防部5G核心挑战是加快5G能力开发和部署,同时确保系统稳健、韧性、可靠。该战略为国防部实施《国家5G安全战略》提供了途径,在关键领域引领大国竞争,确保5G对未来战场网络的影响。
除了推出系列5G战略报告之外,美国还试图抓住5G技术标准制定权。2021年2月,NIST(美国国家标准与技术研究院)下属美国国家网络安全卓越中心(NCCoE)发布了《5G网络安全实践指南》初步草案以征求意见,这是即将出版的《5G网络安全的实践指南》三册中的第一册。AT&T、诺基亚、CISCO等有12家企业参与了《草案》的制定,与NIST组成联盟,提供产品组件和功能来开发5G网络安全示范解决方案。中国企业没有参与。