美國(guó)國(guó)家安全局和國(guó)土安全部的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 （CISA） 當(dāng)?shù)貢r(shí)間10月28日發(fā)布了保護(hù)5G云基礎(chǔ)設(shè)施的一系列指導(dǎo)文件中的第一份,，關(guān)于保護(hù)云原生5G網(wǎng)絡(luò)免受旨在通過(guò)拆除云基礎(chǔ)設(shè)施來(lái)破壞信息或拒絕訪問(wèn)的攻擊的指南,，該第一部分的主題是防止和檢測(cè)橫向移動(dòng),。該指南來(lái)自于持久安全框架 （ESF），ESF是一個(gè)由NSA,、CISA,、國(guó)防部、情報(bào)界以及 IT,、通信和國(guó)防工業(yè)基礎(chǔ)公司之間的公私合作伙伴關(guān)系,。NSA表示，該5G安全指南的另外三部分將在未來(lái)幾周內(nèi)發(fā)布,。

　　概要

　　5G 網(wǎng)絡(luò)依靠云基礎(chǔ)設(shè)施來(lái)實(shí)現(xiàn)敏捷性,、彈性和可擴(kuò)展性。這些網(wǎng)絡(luò)需要安全,，因?yàn)樗鼈儗⒊蔀橄Ｍ斐芍袛嗷蚱茐男畔⒌耐{行為者的誘人目標(biāo),。

　　這一重大的安全挑戰(zhàn)源于多個(gè)移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商共享物理基礎(chǔ)設(shè)施。CISA和NSA 強(qiáng)調(diào),，云提供商和移動(dòng)運(yùn)營(yíng)商需要分擔(dān)安全責(zé)任,，運(yùn)營(yíng)商負(fù)責(zé)保護(hù)他們的云租賃。

　　NSA指出,，雖然保護(hù)邊界很重要，但如果威脅行為者設(shè)法突破邊界,，采取措施限制橫向移動(dòng)也很重要,。限制5G云網(wǎng)絡(luò)中橫向移動(dòng)的建議包括實(shí)施安全身份和訪問(wèn)管理、保持5G云軟件更新以確保其不受已知漏洞的影響,、安全配置網(wǎng)絡(luò),、鎖定隔離網(wǎng)絡(luò)功能之間的通信、監(jiān)控橫向移動(dòng)跡象,，并開(kāi)發(fā)和部署分析以檢測(cè)復(fù)雜威脅行為者的存在,。

　　雖然這些建議主要針對(duì)云提供商和移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商，但有些也適用于客戶。

　　本指南的其他三個(gè)部分將重點(diǎn)關(guān)注隔離網(wǎng)絡(luò)資源,、在數(shù)據(jù)生命周期的所有階段（傳輸,、使用和靜止）保護(hù)數(shù)據(jù)，以及確?；A(chǔ)設(shè)施的完整性,。

　　根據(jù)美國(guó)國(guó)家安全局（National security Agency）的新指導(dǎo)意見(jiàn)，人工智能和機(jī)器學(xué)習(xí)系統(tǒng)可能幫助5G云提供商檢測(cè)出復(fù)雜的攻擊者和其他安全事件的存在,。盡管技術(shù)供應(yīng)商必須在數(shù)據(jù)保密要求和檢查網(wǎng)絡(luò)流量的能力之間取得平衡,，但復(fù)雜的實(shí)時(shí)持續(xù)監(jiān)控在檢測(cè)惡意使用云資源方面可能至關(guān)重要。

　　“5G云堆棧各層的利益相關(guān)者應(yīng)該利用一個(gè)分析平臺(tái)來(lái)開(kāi)發(fā)和部署分析,，處理該層可用的相關(guān)數(shù)據(jù)（云日志和其他遙測(cè)數(shù)據(jù)）,。分析應(yīng)該能夠檢測(cè)已知和預(yù)期的威脅，但也應(yīng)設(shè)計(jì)為識(shí)別數(shù)據(jù)中的異常,，可能表明未預(yù)料的威脅,，”該機(jī)構(gòu)在文件中說(shuō)。5G云是指與5G網(wǎng)絡(luò)的好處相匹配的云本地服務(wù),。

　　美國(guó)國(guó)家安全局下屬的網(wǎng)絡(luò)安全理事會(huì)負(fù)責(zé)人羅布喬伊斯說(shuō)：“這個(gè)系列體現(xiàn)了來(lái)自CISA,、NSA和行業(yè)的ESF專家的共同努力，及其對(duì)國(guó)家安全利益的考量,?！?“應(yīng)用本指南構(gòu)建和配置5G云基礎(chǔ)設(shè)施的服務(wù)提供商和系統(tǒng)集成商將盡自己的一份力量來(lái)改善我們國(guó)家的網(wǎng)絡(luò)安全?！?/p>

　　防范5G云網(wǎng)絡(luò)中的橫向移動(dòng)

　　“5G網(wǎng)絡(luò)是云原生的,，對(duì)于希望拒絕或降低網(wǎng)絡(luò)資源或以其他方式破壞信息的網(wǎng)絡(luò)威脅行為者來(lái)說(shuō)，將是一個(gè)有利可圖的目標(biāo),，”聯(lián)合咨詢說(shuō),。

　　“為了應(yīng)對(duì)這種威脅，必須安全地構(gòu)建和配置5G云基礎(chǔ)設(shè)施,，具備檢測(cè)和響應(yīng)威脅的能力,，為部署安全網(wǎng)絡(luò)功能提供強(qiáng)化的環(huán)境?！?/p>

　　CISA和NSA表示,，5G 服務(wù)提供商和系統(tǒng)集成商可以實(shí)施以下措施來(lái)阻止和檢測(cè) 5G 云中的橫向移動(dòng)：

　　在5G云中實(shí)施安全身份和訪問(wèn)管理 （IdAM）

　　使5G云軟件保持最新?tīng)顟B(tài)并避免已知漏洞

　　在5G云中安全配置網(wǎng)絡(luò)

　　鎖定隔離網(wǎng)絡(luò)功能之間的通信

　　監(jiān)測(cè)對(duì)抗性橫向運(yùn)動(dòng)的跡象

　　開(kāi)發(fā)和部署分析系統(tǒng)以檢測(cè)復(fù)雜的攻擊對(duì)手的存在

　　有關(guān)5G基礎(chǔ)設(shè)施潛在威脅載體的更多信息可以在CISA與NSA和國(guó)家情報(bào)總監(jiān)辦公室協(xié)調(diào)發(fā)布的5月份發(fā)布的白皮書(shū)中找到。

　　5G網(wǎng)絡(luò)的主要威脅

　　該系列包含了預(yù)防和處理對(duì)5G基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊的廣泛指南,，是以CISA,、NSA和國(guó)家情報(bào)總監(jiān)辦公室在5月份發(fā)布的《5G基礎(chǔ)設(shè)施潛在的威脅向量》報(bào)告為基礎(chǔ)的。除了對(duì)連接5G網(wǎng)絡(luò)的云基礎(chǔ)設(shè)施的潛在攻擊之外,，5月份的這份報(bào)告列出了對(duì)美國(guó)5G網(wǎng)絡(luò)可能構(gòu)成的威脅,，例如：

　　假冒組件——更容易受到網(wǎng)絡(luò)攻擊,，并且更容易因?yàn)橘|(zhì)量差而損壞。它們也可以被安裝后門(mén),。

　　繼承組件——受損或安全性較弱的組件可能會(huì)通過(guò)復(fù)雜的供應(yīng)鏈進(jìn)入美國(guó) 5G 網(wǎng)絡(luò),，這需要進(jìn)行調(diào)查。

　　開(kāi)放標(biāo)準(zhǔn)——敵對(duì)國(guó)家可能會(huì)為開(kāi)放標(biāo)準(zhǔn)做出貢獻(xiàn),，以要求包含專有或不受信任的技術(shù),。

　　可選控制——標(biāo)準(zhǔn)可能附帶一些網(wǎng)絡(luò)運(yùn)營(yíng)商可能不愿意使用的可選安全控制。

　　軟件/配置——指 5G 設(shè)備中的漏洞,，攻擊者可能會(huì)利用這些漏洞來(lái)破壞設(shè)備及其配置,。

　　網(wǎng)絡(luò)安全——對(duì)網(wǎng)絡(luò)設(shè)備的攻擊可能允許威脅行為者訪問(wèn) 5G 基礎(chǔ)設(shè)施。

　　網(wǎng)絡(luò)切片——網(wǎng)絡(luò)運(yùn)營(yíng)商能夠根據(jù)連接設(shè)備的類型將其 5G 網(wǎng)絡(luò)劃分為多個(gè)區(qū)域,。威脅行為者可以突破這些區(qū)域并訪問(wèn)關(guān)鍵基礎(chǔ)設(shè)施,。

　　傳統(tǒng)通信集成——威脅行為者可以利用傳統(tǒng)協(xié)議中的漏洞來(lái)訪問(wèn) 5G 基礎(chǔ)設(shè)施。

　　頻譜共享——可能為惡意行為者提供機(jī)會(huì)干擾或干擾非關(guān)鍵通信路徑,，從而對(duì)更關(guān)鍵的通信網(wǎng)絡(luò)產(chǎn)生不利影響,。

　　指南的另外三部分

　　5G云基礎(chǔ)設(shè)施安全指南的另外三個(gè)部分將重點(diǎn)關(guān)注：

　　n第二部分：安全隔離網(wǎng)絡(luò)資源：確保客戶資源之間有安全隔離,，重點(diǎn)是保護(hù)支持虛擬網(wǎng)絡(luò)功能運(yùn)行的容器堆棧,。

　　n第三部分：保護(hù)傳輸中、使用中和靜態(tài)數(shù)據(jù)：確保網(wǎng)絡(luò)和客戶數(shù)據(jù)在數(shù)據(jù)生命周期的所有階段（靜態(tài),、傳輸中,、處理中、銷毀時(shí)）都得到保護(hù),。

　　n第四部分：確?；A(chǔ)設(shè)施的完整性：確保 5G 云資源（例如容器鏡像、模板,、配置）不被未經(jīng)授權(quán)修改,。

　　延伸閱讀：歐盟對(duì)5G安全風(fēng)險(xiǎn)的評(píng)估

　　兩年前，即2019年10月,，歐盟（EU）成員國(guó)還發(fā)布了一份關(guān)于5G網(wǎng)絡(luò)安全的協(xié)調(diào)風(fēng)險(xiǎn)評(píng)估,。該報(bào)告確定了主要威脅和威脅參與者、最敏感的資產(chǎn)以及可用于破壞它們的主要安全漏洞,。

　　5G安全風(fēng)險(xiǎn)評(píng)估報(bào)告強(qiáng)調(diào)了使用單一設(shè)備供應(yīng)商背后的危害,，如果大量運(yùn)營(yíng)商使用來(lái)自高風(fēng)險(xiǎn)供應(yīng)商的設(shè)備，設(shè)備短缺和5G解決方案的多樣性極大地?cái)U(kuò)大了5G基礎(chǔ)設(shè)施的整體脆弱性,。

　　與 5G 網(wǎng)絡(luò)相關(guān)的安全挑戰(zhàn)還與網(wǎng)絡(luò)和第三方系統(tǒng)之間的連接以及第三方供應(yīng)商對(duì)國(guó)家 5G 網(wǎng)絡(luò)的訪問(wèn)權(quán)限增加有關(guān)。

　　歐盟的報(bào)告概述了在歐盟成員國(guó)內(nèi)推出5G網(wǎng)絡(luò)所產(chǎn)生的以下安全后果：

　　n增加遭受攻擊的機(jī)會(huì),，并為攻擊者提供更多潛在的入口點(diǎn),。

　　n由于5G網(wǎng)絡(luò)架構(gòu)的新特點(diǎn)和新功能，某些網(wǎng)絡(luò)設(shè)備或功能變得更加敏感，例如基站或網(wǎng)絡(luò)的關(guān)鍵技術(shù)管理功能,。

　　n與移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商對(duì)供應(yīng)商的依賴相關(guān)的風(fēng)險(xiǎn)增加,，這將導(dǎo)致可能被威脅行為者利用的攻擊路徑數(shù)量增加，并增加此類攻擊影響的潛在嚴(yán)重性,。

　　n在供應(yīng)商推動(dòng)的攻擊風(fēng)險(xiǎn)增加的背景下,，個(gè)別供應(yīng)商的風(fēng)險(xiǎn)狀況將變得尤為重要，包括供應(yīng)商受到非歐盟國(guó)家干擾的可能性,。

　　n對(duì)供應(yīng)商的主要依賴增加了風(fēng)險(xiǎn)：對(duì)單一供應(yīng)商的主要依賴增加了潛在供應(yīng)中斷的風(fēng)險(xiǎn),，例如，由于商業(yè)失敗及其后果,。

　　n對(duì)網(wǎng)絡(luò)可用性和完整性的威脅 將成為主要的安全問(wèn)題,。

　　歐盟成員國(guó)關(guān)于 5G 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的聯(lián)合報(bào)告中提供了更多信息，包括有關(guān)漏洞,、風(fēng)險(xiǎn)情景和緩解措施/安全基線的詳細(xì)信息,。