2021年10月28日,,美國網絡安全與關鍵基礎設施安全局(CISA)和國家安全局(NSA)聯(lián)合發(fā)布了《5G云基礎設施安全指南》的第一部分《防止和檢測橫向移動》,提供了減少已獲得云基礎設施初始訪問權限的威脅行為者的橫向移動嘗試的建議,。該指南共有四部分組成,。《5G云基礎設施安全指南》由關鍵基礎設施合作伙伴咨詢委員會(CIPAC)跨部門持久安全框架工作組創(chuàng)建,該工作組是一個公有及私營部門合作工作組,可提供網絡安全指導,,以解決對國家關鍵基礎設施的高優(yōu)先級網絡威脅。
CISA和NSA聯(lián)合發(fā)布《5G云基礎設施安全指南》第一部分《防止和檢測橫向移動》
美國網絡安全與關鍵基礎設施安全局推薦采取六項措施阻止和檢測對手在5G云中的橫向移動
美國網絡安全與關鍵基礎設施安全局鼓勵5G核心網絡設備供應商,、云服務提供商,、系統(tǒng)集成商和移動網絡運營商等構建和配置5G云基礎設施的服務提供商審查指南并提出建議,。
該指南指出:“5G網絡是云原生的,,對于希望消耗或阻塞網絡資源,或以其他方式破壞信息的網絡威脅行為者來說,,將是一個有利可圖的目標,。”“為了應對這種威脅,,必須安全地構建和配置5G云基礎設施,,具備檢測和響應威脅的能力,為部署安全網絡功能提供強化環(huán)境,?!?/p>
“
美國網絡安全與關鍵基礎設施安全局和國家安全局表示,5G服務提供商和系統(tǒng)集成商可以實施以下六項措施來阻止和檢測5G云中的橫向移動:
1,、在5G云中實施安全身份和訪問管理(IdAM),。
2、使5G云軟件保持最新狀態(tài)并避免已知漏洞,。
3,、在5G云中安全配置網絡。
4,、鎖定隔離網絡功能之間的通信,。
5、監(jiān)測對手橫向運動的跡象,。
6,、開發(fā)和部署分析以檢測復雜的對抗性存在。
”
5G基礎設施面臨的三大威脅場景
《5G云基礎設施安全指南》建立在2021年5月發(fā)布的《5G基礎設施的潛在威脅向量》白皮書基礎上,,該白皮書特別關注適用于5G云基礎設施部署的威脅,、漏洞和緩解措施。白皮書提供了5G面臨的三大威脅場景的詳細信息:政策和標準威脅場景,、供應鏈威脅場景和5G系統(tǒng)架構威脅場景,。
政策和標準
5G政策和標準的制定是確保5G未來通信基礎設施安全的基礎。通過全球標準制定機構,,如第三代合作伙伴項目,、互聯(lián)網工程任務組和國際電信聯(lián)盟,電信標準開發(fā)組織正在制定技術標準和安全控制,這些標準和安全控制將影響到設計和新技術的架構,,如自動駕駛汽車,、邊緣計算和遠程醫(yī)療。鑒于這些決定對實施和采用5G技術的影響,,國際標準和政策必須是公開,、透明和共識驅動的。
隨著新的5G政策和標準的發(fā)布,,仍然存在影響最終用戶的潛在威脅,。例如,國家可能試圖對有利于其專有技術的標準施加不適當?shù)挠绊?,并限制客戶使用其他設備或軟件的選擇,。還存在與標準制定相關的風險,標準機構可能會制定可選的控制措施,,而這些控制措施不是由運營商實施的,。
如果不實施這些主觀的安全措施,運營商可能會在網絡中引入漏洞,,并為惡意威脅行為打開大門,。
供應鏈
供應鏈風險是指威脅者利用信息和通信技術(ICTs)及其相關供應鏈進行間諜活動、破壞活動,、外國干涉和犯罪活動等等,。
5G供應鏈也同樣容易受到惡意軟件和硬件、假冒組件,、不良設計,、制造工藝和維護程序等風險的影響。由于5G技術的廣泛吸引力和由此帶來的急于部署,,這些風險的暴露更加嚴重,。
這可能會導致負面的后果,如數(shù)據和知識產權被盜,,對5G網絡的完整性失去信心,,或被利用來造成系統(tǒng)和網絡故障。
隨著數(shù)十億臺5G設備的潛在連接,,5G供應鏈中引入不可信或假冒組件的風險增加,。這可能包括最終影響最終用戶設備(如計算機、電話和其他設備)的受損設備或基礎設施,。不受信任的公司或政府支持的供應商也會導致供應鏈風險,,特別是那些在電信網絡中擁有相當大國際市場份額的公司。例如,,那些從供應鏈受損的公司購買5G設備的國家可能容易受到數(shù)據的攔截,、操縱,、破壞或破壞。這在向國際合作伙伴發(fā)送數(shù)據時會帶來挑戰(zhàn),,因為一個國家的安全網絡可能會因為另一個國家的不受信任的電信網絡而容易受到威脅,。
5G系統(tǒng)架構
設計和開發(fā)5G系統(tǒng)架構,以滿足日益增長的數(shù)據,、容量和通信需求,。盡管5G組件制造商和服務提供商正在通過技術改進來增強安全性,但傳統(tǒng)漏洞和新漏洞都可能被惡意行為者利用,。此外,,與前幾代無線網絡相比,5G網絡將使用更多ICT組件,,這可能會為惡意攻擊者提供截取,、操縱,、破壞和銷毀關鍵數(shù)據的其他載體,。5G容量的增加促進了物聯(lián)網的擴散,物聯(lián)網為5G網絡增加了大量可能不那么安全的設備,。組件多樣性的增加可能會導致5G架構內的復雜性,,并可能帶來不可預見的整體系統(tǒng)弱點或漏洞。
隨著新5G組件和技術的開發(fā)和部署,,必然有新的弱點被發(fā)現(xiàn),。未來的5G系統(tǒng)架構(例如,軟件定義網絡,、云本地基礎設施,、網絡切片、邊緣計算)可能會增加惡意行為者可利用的攻擊面,。例如,,4G傳統(tǒng)架構和5G架構的重疊可能為惡意行為者提供實施降級攻擊的機會,其中5G網絡上的用戶可能會被迫使用4G,,從而允許惡意行為者利用已知的4G漏洞進行攻擊,。惡意威脅行為者可能利用這些威脅和漏洞對組織和用戶造成負面影響。如果不持續(xù)關注5G威脅向量和及早發(fā)現(xiàn)系統(tǒng)架構中的弱點,,新的漏洞將增加網絡事件造成的影響,。
美國政府和軍方發(fā)布的5G戰(zhàn)略報告
美國尤為重視5G發(fā)展和5G安全相關問題,先后發(fā)布多個戰(zhàn)略報告,,為5G技術明確發(fā)展方向,。
國家層面,2018年10月,,白宮在《美國將贏得5G全球競賽》報告中提出,,將借鑒4G成功經驗,,重塑美國5G領域優(yōu)勢。2018年,,白宮發(fā)布了《為美國未來制定可持續(xù)頻譜戰(zhàn)略的總統(tǒng)備忘錄》,,強調了要讓美國領導5G,增強公共和私營部門的安全,。2019年4月,,美國無線通信和互聯(lián)網協(xié)會發(fā)布了《引領5G的國家頻譜戰(zhàn)略》,該戰(zhàn)略通過3項行動計劃幫助美國引領未來5G產業(yè)的發(fā)展,,以保持其全球無線通信的領導地位,。同年4月,美國聯(lián)邦通信委員會發(fā)布《5G加速計劃》,,采取3個策略促進美國5G技術優(yōu)勢:一是提供更多頻譜供商業(yè)使用,,二是簡化批準5G基礎設施的政府流程,三是更新法規(guī)以促進5G回傳的部署,。2020年3月,,美白宮發(fā)布《美國5G安全國家戰(zhàn)略》。該戰(zhàn)略強調要保護美國人民免受電信網絡和5G技術的網絡威脅,,并提出四項戰(zhàn)略措施,,包括:加快5G的部署和推廣;評估風險并確定5G基礎設施的核心安全原則,;管理使用5G基礎設施對美國經濟和國家安全帶來的風險,;促進全球5G基礎設施開發(fā)和部署。該戰(zhàn)略體現(xiàn)出美國對5G網絡部署的重視程度,,將5G安全上升到國家戰(zhàn)略,,戰(zhàn)略目標是與其合作伙伴和盟國一起制定政策和結構,共同在全球領導安全可靠的5G通信基礎設施的開發(fā),、部署和管理,,表明美國謀求與盟友合作引領5G技術發(fā)展和部署的主導權,領先于全球行業(yè)競爭對手,。
國防部層面,,2019年4月,美國國防創(chuàng)新委員會發(fā)布《5G生態(tài)系統(tǒng):國防部的風險與機遇》研究報告,。報告直指中國,,認為如果中國在5G發(fā)展中處于領先地位,將對美國政治經濟地位帶來嚴重威脅,。報告重點分析了全球5G競爭發(fā)展態(tài)勢,,5G技術對國防部的影響與挑戰(zhàn)。中國在5G領域的發(fā)展情況以及未來對國防安全的影響,,并在頻譜政策,、供應鏈和基礎設施安全等方面提出了建議,。報告建議拖慢中國5G產業(yè)發(fā)展速度,全力提升美國在5G供應鏈中的控制能力,,確保其全球國防系統(tǒng)的安全性,。同年6月,美國防科學委員會發(fā)布《5G網絡技術國防應用》,,對5G相關技術和通信進行了廣泛的技術審查,,為國防部提出十條戰(zhàn)略建議,建議美在激烈競爭的環(huán)境中將5G應用于軍事用途,,制定國防部5G供應鏈管理戰(zhàn)略,,制定5G+科技路線圖等。2020年5月,,國防部發(fā)布公開版5G戰(zhàn)略,,將5G技術視為關鍵戰(zhàn)略技術,掌握先進通信技術的國家將擁有長期經濟和軍事優(yōu)勢,。戰(zhàn)略指出,,國防部5G核心挑戰(zhàn)是加快5G能力開發(fā)和部署,同時確保系統(tǒng)穩(wěn)健,、韌性,、可靠。該戰(zhàn)略為國防部實施《國家5G安全戰(zhàn)略》提供了途徑,,在關鍵領域引領大國競爭,確保5G對未來戰(zhàn)場網絡的影響,。
除了推出系列5G戰(zhàn)略報告之外,,美國還試圖抓住5G技術標準制定權。2021年2月,,NIST(美國國家標準與技術研究院)下屬美國國家網絡安全卓越中心(NCCoE)發(fā)布了《5G網絡安全實踐指南》初步草案以征求意見,,這是即將出版的《5G網絡安全的實踐指南》三冊中的第一冊。AT&T,、諾基亞,、CISCO等有12家企業(yè)參與了《草案》的制定,與NIST組成聯(lián)盟,,提供產品組件和功能來開發(fā)5G網絡安全示范解決方案,。中國企業(yè)沒有參與。