执行摘要
第五代(5G)无线技术彻底改变了电信网络,引入了大量新的连接、能力和服务。这些进步将为数十亿台设备提供连接,为应用铺平道路,从而在世界各地实现新创新、新市场和经济增长。然而,这些发展也带来了重大风险,威胁国家安全和经济安全,影响其他国家和全球利益。鉴于这些威胁,5G网络将成为诱人目标,成为犯罪分子和国外攻击者获取宝贵信息和情报的渠道。
为了解决这些问题,美国国家电信和信息管理局(NTIA)制定了《美国5G安全国家战略》,这是一份战略文件,详细阐述了美国政府将如何确保国内外5G基础设施的安全。《美国5G安全国家战略》与《美国国家安全战略》保持一致,明确了四条工作路线:
- 促进国内推出5G;
- 评估5G能力和基础设施面临的网络安全风险,明确其核心的安全原则;
- 防范全球5G基础设施的开发和部署过程中的美国经济和国家安全的风险;
- 促进以负责任的方式在全球开发和部署安全可靠的5G基础设施。
根据《美国5G安全国家战略》中的第2条工作路线,确定持久安全框架(ESF),协助评估5G基础设施的风险和漏洞,包括利用现有能力评估和管理供应链风险。为此,成立了ESF 5G威胁模型工作小组(ESF是一个跨部门工作组,在关键基础设施伙伴关系咨询委员会(CIPAC)的支持下运作,旨在防范影响美国国家安全系统的安全性和稳定性的威胁和风险。该工作组由来自美国政府的专家以及来自信息技术和通信领域以及国防工业基地的代表组成。ESF负责将公私部门的代表联合起来,共同应对情报驱动的网络安全挑战)。
5G威胁模型工作小组的初步工作重点是探索5G非独立(NSA)网络相关的潜在威胁向量,对其进行优先级排序。工作小组对现有工作部门进行了分析以确定和生成5G环境中已知和潜在威胁的汇总清单,明确并制定了5G示例应用场景,并评估了5G核心技术的风险。该分析报告表明工作小组开始思考美国部署5G会引入哪些类型的风险,并非最终定论。本文并非对风险进行详尽总结或对攻击方法的技术评审,而是基于该方面的大量分析(包括公共和私人的研究和分析)对5G基础设施的攻击向量进行阐述。
介绍
虽然5G转型带来了大量机会和能力,但也引入了新的漏洞和威胁。ESF和5G威胁模型工作小组确定的以下威胁向量构成了跨各种5G域的初始威胁列表。在这三个威胁向量中,子威胁描述了威胁源起方可利用的其他脆弱点。虽然这些威胁只是其中一部分,但随着美国向5G转型,这些威胁可能会给美国带来更多风险。
威胁向量概述
政策和标准
制定5G政策和标准是保护5G的未来通信基础设施的基础。全球电信标准制定组织,如第三代合作伙伴计划(3GPP)、互联网工程任务组和国际电信联盟等正在制定技术标准和安全控制措施,会影响新技术的设计和架构,例如无人驾驶汽车、边缘计算和远程医疗。
鉴于这些决定会对5G技术的利用和落实产生影响,国际标准和政策必须公开、透明,且需各方达成共识。
随着新的5G政策和标准的发布,仍可能存在威胁影响最终用户。例如,国家可能试图对那些有利于其专有技术的标准施加不适当影响,并限制客户选择使用其他设备或软件。标准的制定也存在风险,标准机构可能制定可选的控制措施,而运营商未落实这些措施。运营商若不实施这些可选的安全措施,可能会在网络中引入漏洞,为恶意的威胁源起方提供机会。
供应链
供应链风险指威胁源起方利用信息和通信技术(ICT)及其相关供应链开展间谍、破坏、境外干预和犯罪活动。5G供应链同样容易引入恶意软件和硬件、假冒组件、不良设计、制造流程和维护过程等风险。5G技术广受欢迎以及由此进行的大张旗鼓的部署加剧了这些风险的暴露,可能导致负面影响,例如数据和知识产权盗窃、对5G网络的完整性失去信心,或非法利用导致系统和网络故障。
由于5G供应链可能会连接数十亿台5G设备,同时也可能引入更多的不可信或假冒组件。这可能包括入侵的设备或基础设施,最终对计算机、电话和其他设备等最终用户设备产生影响。不受信任的公司或政府支持的供应商也会为供应链带来风险,尤其是那些在电信网络国际市场占有较大份额的公司。例如,那些从被入侵的供应链中的公司购买5G设备的国家可能容易遭遇数据的拦截、操纵、中断或破坏。这将在向国际合作伙伴发送数据时构成挑战,因为一个国家的电信网络不受信任会对另一个国家的安全的网络带来威胁。
5G系统架构
目前,正在设计和开发5G系统架构,以满足日益增长的数据、容量和通信需求。尽管5G组件制造商和服务提供商正在提升技术,增强安全性,但传统和新增的漏洞都可能被恶意攻击者利用。此外,5G网络利用的ICT组件比前几代无线网络都要多,这可能为恶意攻击者提供其他向量,用于拦截、操纵、破坏和损害关键数据。5G设备的容量增加促进了物联网的普及,为5G网络引入了许多可能不太安全的设备。组件日益多样化会使5G架构变得更加复杂,会对整个系统引入不可预见的缺陷或漏洞。
随着新的5G组件和技术的开发和部署,新缺陷将浮出水面。未来的5G系统架构(例如,软件定义网络、云原生基础设施、网络切片、边缘计算)可能会为恶意攻击者带来更大攻击面。例如,4G传统架构和5G架构的叠加可能为恶意攻击者提供进行降级攻击的机会,其中5G网络上的用户可能被迫使用4G,从而允许恶意攻击者利用已知的4G漏洞。
恶意威胁源起方可能利用这些威胁和漏洞对组织和用户带来负面影响。如果不持续关注5G威胁向量,尽早识别系统架构中的缺陷,基于新漏洞的网络事件将产生更大影响。
5G威胁向量
本节围绕政策和标准、供应链和5G系统架构这三个威胁向量详细介绍了每个主要的威胁向量的子威胁。
政策和标准的子威胁向量
开放式标准
由于敌对国家协助开发技术标准,因此这些技术标准可能涉及其系统特有的不受信任的技术和设备。这些专有技术和设备可能会限制竞争且迫使客户采用不受信任的新技术。若受信任的公司不与这些不受信任的专有技术互联互通,可能在5G市场上缺乏竞争能力。这些不符合互联互通标准的5G自定义技术可能不容易更新、修复和更换,也可能对客户完全不可见。如果设备需更换,可能会增加产品的生命周期成本并延迟5G部署。
可选的控制措施
标准机构开发移动电信协议,其中一些包含必需或可选的安全控制措施。若网络运营商未采取可选的安全控制措施,其网络可能较为脆弱,面临更大的网络攻击风险。
供应链子威胁向量
假冒组件
假冒组件更容易受到网络攻击,而且质量较差更容易损坏。通过入侵假冒组件,恶意攻击者者可影响设备传输的数据的机密性、完整性或可用性,并横向移动至网络的其他更敏感部分。
继承的组件
继承的组件可能来自由第三方供应商、厂商和服务提供商组成的扩展的供应链。供应链可能会因供应商(包括供应商的供应商)遭遇攻击而受到入侵,这些供应商可能未对其开发、生产或交付渠道进行充分的安全控制和审计。开发阶段早期嵌入的缺陷或恶意软件更难以检测,开发人员可能基于数字签名或其他检测结果将组件标记为正常。随后,这些漏洞可能会被恶意行为者利用。
5G系统架构的子威胁向量
软件配置
若恶意攻击者可在未经授权情况下访问软件或网络组件,便有机会修改配置减少安全控制措施、在系统上安装恶意软件或识别产品缺陷。攻击者可利用这些漏洞来增加系统或网络上的持久性,实现特权访问。
网络安全
5G 技术可实现数十亿个网络设备联网,支持大量新功能和创新。这些设备和基础设施功能,例如蜂窝塔、波束成型传输、小型蜂窝和移动设备,使恶意攻击者可在越来越多的威胁向量中暴露漏洞。
若通过网络层攻击程序入侵网络设备,恶意攻击者可在未经授权的情况下对 5G 网络进行访问,可能导致运营中断,对关键数据进行拦截、操纵和破坏。
网络切片
网络切片可让用户仅对某个网络区域进行身份验证,实现数据和安全隔离。不过,网络切片可能难以管理,而且切片增加了网络复杂性。虽然有标准规定了运营商应如何构建5G网络,但对于网络运营商应如何开发和实施网络切片的安全性没有明确的规范。
网络切片若管理不当可能允许恶意攻击者访问来自不同切片的数据或拒绝对优先用户的访问。
传统的通信基础设施
虽然5G网络基础设施旨在提升安全性,但5G网络支持4G传统通信基础设施的许多安全规范和协议。这些传统的通信基础设施存在固有的漏洞,如果不加以解决,可能会被恶意攻击者利用。
多接入边缘计算
多接入边缘计算 (MEC)将一些核心网络功能移至网络边缘更靠近最终用户的位置,而不是依赖数百英里之外的中心位置。
将不受信任的5G组件引入MEC可能会使核心网络元素置于各种风险之中,包括软硬件的漏洞、假冒组件以及不完善的制造流程或维护过程中的组件缺陷带来的风险。
频谱共享
为了发挥其潜力,5G系统需补充频谱频率(低、中和高),因为每种频率类型都有独特的优势和挑战。随着越来越多的设备争相访问同一频谱,频谱共享变得越来越普遍。通过频谱共享,恶意攻击者可能会阻塞或干扰非关键通信路径,从而对更关键的通信网络产生不利影响。
软件定义网络
软件定义网络(SDN)是一种主要通过SDN控制器实现网络路由自动化配置的架构。虽然 SDN 提高了网络灵活性并简化了管理,但恶意攻击者可能会在SDN控制器应用程序中嵌入代码限制带宽并对操作产生不利影响。
政策和标准的威胁场景
国家对 5G 标准的影响
概述
民族国家对特定行业或新兴的技术标准(例如自动驾驶汽车、边缘计算、远程医疗)的不当影响可能会损害5G市场的竞争平衡,致使可信赖的供应商处于不利竞争地位而使不可信的供应商成为唯一的选择。民族国家可能会寻求尽早采用新兴技术,提升对5G技术的全球影响力,并导致美国公司被迫在其网络中使用不受信任的组件的环境。
场景
医疗保健和公共卫生部门被迫采用民族国家制定的标准,这些标准有助于提升其制造能力和网络能力,却对美国带来不利影响。美国医院开始采用远程手术为农村和弱势社区提供更好的支持,并满足对新兴服务不断增长的需求。该国家几年前开始开发远程手术硬件和软件,现在是该领域的全球领导者。美国医院要么被迫使用他们不信任的技术,要么使用可信赖的供应商基于民族国家的业界标准开发的类似技术。民族国家可能对这些公司施加影响,让其开发或利用一些技术致使美国处于不利地位,抑制市场增长。
大学对可选的5G安全控制措施的实施
概述
组织和通信提供商若选择不实施可选安全控制措施可能存在更多漏洞,面临更大的网络攻击风险。在这些情况下,若民族国家层面的攻击者协助开发安全控制措施或知晓系统若不采取这些措施可能存在哪些漏洞,可能会攻击这些实体。因此,恶意攻击者可确定哪些专用网络未采取可选的控制措施,并利用这些专用网络。
场景
在美国各地,5G开始取代家庭、办公室和大型专用网络中的Wi-Fi。一所大学在其大校园内部署了5G网络,但并未充分配置或维护所有推荐的可选安全控制措施。主要标准机构列出的许多可选的安全控制措施都被电信公司和其他企业所采用。该大学决定只采取其中一部分安全控制措施,导致其网络存在重大安全漏洞。恶意攻击者对该大学的网络进行探测,了解到缺乏的控制措施,并在该大学的5G网络中进行利用。
供应链威胁场景
部署假冒组件
概述
在供应链的组件制造或分销环节嵌入假冒组件,对交付给一部分下游客户(可能是一部分目标客户)的组件产生影响。假冒零件看起来与普通零件没多大差别,是一种欺诈形式。伪造者对那些寻求从信誉良好的制造商那里采购高质量零件的客户,却在不知不觉中购买了不合格或有缺陷的零件。伪造者的“欺骗意图”是模糊假冒零件和有缺陷零件之间的区别,在零件中嵌入制造商或分销商未知的恶意功能。
场景
恶意攻击者识别提供 ICT 组件的政府承包商,并试图以折扣价向他们出售修改或假冒产品。虽然承包商是合法的且因假冒产品遭受的损失最大,但他们不知道潜在的问题,也未对其行业内可能存在的假冒风险进行初步分析。为了节约成本,承包商从恶意攻击者那里购买假冒组件并嵌入其产品中。假冒零件在可用性和功能测试中未被发现,并投入了生产,可能会对整个系统和最终客户带来多种影响,例如降低系统性能、损害关键服务的可用性或造成数据外泄。
无意间采用不受信任的组件
概述
当恶意代码被蓄意添加到组件发送给目标用户时会发生软件供应链攻击。代码可通过多种不同的方式添加到组件,例如通过破坏源代码存储库、窃取签名密钥或对分发站点和渠道进行渗透。作为授权和正常分销渠道的一部分,客户在毫不知情的情况下获取这些入侵的组件并部署在他们的系统和网络上。高级恶意代码通常不会破坏正常操作,并且可能在数天或数周内不会激活,因此在常见的应用程序和软件测试实践中处于隐藏状态。
场景
一家电信公司从可信赖的供应商处购买核心的网络系统管理软件;然而,受信任的提供商并不知道其产品中的一个组件已被入侵,嵌入了恶意代码。这是由于继承供应链中的供应商做出的风险决策导致的威胁,会对最终产品或服务的最终用户产生影响。该威胁在供应链中存在的层级越深,就越难以提前发现。恶意攻击者可能将这个嵌入的漏洞用于更大攻击链,该攻击链使用恶意代码获得电信核心网络的访问权并转而利用其他攻击向量。
5G系统架构威胁场景
从4G网络继承的漏洞
概述
5G是在前几代无线网络的基础上建立的,最初将与包含传统漏洞的 4G 长期演进 (LTE) 网络集成。虽然 5G 技术旨在比前几代移动网络更安全,但可能容易受到某些传统漏洞的攻击,例如七号信令系统(SS7)和Diameter 协议漏洞,因为这些漏洞最初在现有4G LTE 网络上存在。
场景
威胁源起方可访问美国政府(USG)办公室附近的5G小型基地台,并将该小型基地台配置为允许4G欺骗。然后,威胁源起方强制将 5G 网络降级为易受攻击的 4G 配置,从而利用 SS7 中的漏洞访问附近 USG 办公室的员工正在使用的 ICT 组件。然后,威胁源起方可利用该信息进一步访问更安全的网络,从而有可能获得敏感数据。
多接入边缘计算中的固件漏洞
概述
与传统网络配置不同,多接入边缘计算(MEC)在电信网络的最后一英里内提供核心流量功能,如数据处理和存储。各系统组件,如虚拟机监控程序、操作系统和MEC 中的管理程序可能为恶意攻击者提供额外的攻击媒介用于拦截、操纵和破坏关键数据。MEC中插入的不受信任的组件或恶意软件可能会使恶意攻击者克隆设备、冒充最终用户拨打电话、发送文本和使用数据,从而影响用户隐私。恶意攻击者可使用不受信任的组件或恶意软件访问 MEC 和最终用户组件,利用它们访问更广泛的无线电接入网络 (RAN)。
场景
MEC中的固件漏洞允许威胁源起方在MEC系统中获得持久的立足点,使他们能够拒绝访问数据并影响许多 5G 用例所需的超低延迟。恶意攻者可窃取敏感的传感器和用户设备的数据、修改数据流以及拒绝访问某些数据或传感器流,从而影响网络的机密性、完整性和可用性。恶意攻击者现在拥有完全访问 RAN 的带宽,可对最终用户的设备进行克隆。
译者声明
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。