美国国家安全局 (NSA)、网络安全和基础设施安全局 (CISA) 以及国家情报总监办公室 (ODNI) 发布了有关与 5G 网络切片和缓解策略相关的安全风险的指南。
该文件解释说,“网络切片是一个端到端的逻辑网络,提供特定的网络功能和特性以满足用户的需求”,并且它可以与其他切片在同一物理网络上运行,尽管用户经过身份验证仅限网络区域。
跨越网络的物理组件——包括计算、存储和基础设施——网络切片提供组件虚拟化,并通过将用户身份验证限制在特定网络区域来实现数据和安全隔离。
“值得注意的是,网络切片组件可以跨越多个运营商,因此互操作性、安全性和稳健性成为需要解决的重要挑战。从安全的角度来看,一个网络切片的资源应该与其他网络切片隔离,以确保机密性、完整性和可用性,”该指南写道。
该架构依赖于网络即服务 (NaaS) 模型,其中基础设施即服务与网络和安全服务相结合,以提高 5G 基础设施的效率和弹性。这三个机构表示,移动网络运营商需要使用管理和网络编排 (MANO) 系统来创建端到端网络切片并对其进行运营。
根据持久安全框架 (ESF),网络切片增加了网络的复杂性,网络切片管理不当可能允许威胁参与者访问其他网络切片中的数据或拒绝访问它。
NSA、CISA 和 ODNI 提到拒绝服务 (DoS)、中间人 (MitM) 和配置攻击代表网络切片的三种高严重性风险,因为它们会影响可用性、机密性,以及网络切片的完整性。
这些机构还指出,网络切片的一个潜在风险是网络功能虚拟化 (NFV),这实际上是网络切片的基础,因为它消除了对专用硬件的需求——允许使用基于云的服务器。NFV 还将网络功能移至云端、优化性能并增加监控和日志记录选项。
中等严重性风险包括饱和攻击、用户身份盗用、渗透攻击、TCP 级别攻击、IP 欺骗、会话重放攻击、国际移动用户身份 (IMSI) 缓存攻击、NAS 信号风暴和 IoT 的流量突发。
预计将在自动驾驶汽车和其他新兴技术中发挥关键作用,网络切片很容易受到 IMSI 缓存攻击,威胁行为者可能会暴露自动驾驶汽车的地理位置,以及有关货物和交通路线的信息。
“从这里开始,攻击者可以对网络信号平面发起 DoS 攻击,从而导致自动驾驶汽车与其授权控制器之间发生中断。假设恶意行为者可以访问用户身份,该行为者还可以单独发起配置攻击来篡改安全功能和虚拟网络功能 (VNF) 策略,”这三个机构指出。
NSA、CISA 和 ODNI 表示,适当的管理和持续监控对于网络切片安全至关重要,并且都应应用于四个逻辑层,即网络切片子网管理功能(NSSMF)、网络切片管理功能(NSMF)、通信服务管理功能 (CSMF),以及提供标准应用程序编程接口和自我管理门户的能力公开平台。
“除了适当的网络切片管理外,持续监控对于检测恶意活动至关重要。移动网络监控和安全工具通常侧重于网络性能、欺诈检测、收入保证或影响网络性能的设备行为,而不是检测敌对的恶意活动,”指南中写道。
更高级的缓解措施包括采用零信任架构、多层安全、跨域解决方案、后量子密码学和隔离,包括多因素身份验证、访问控制、高级加密、沙箱、虚拟机或硬件和物理隔离。
“虽然网络切片并非 5G 独有,但它是一个关键组件,因为 5G 规范要求将网络切片作为一个基本组件,因此要求网络运营商采用可以减轻本文中描述的威胁的安全实践,DoS,MitM攻击和配置攻击,”NSA、CISA 和 ODNI 指出。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...