圖片來(lái)自“123RF”
5G帶來(lái)的高速移動(dòng)網(wǎng)絡(luò)賦予企業(yè)更高效地處理信息和數(shù)據(jù)的能力;然而在實(shí)際應(yīng)用中����,5G也帶來(lái)了許多挑戰(zhàn)。在本文中���,作者以惠而浦���、諾基亞等公司為例����,主要分析了5G在于物聯(lián)網(wǎng)融合的過(guò)程中可能會(huì)帶來(lái)的安全問(wèn)題,以及企業(yè)規(guī)避與化解這些問(wèn)題的方法��。
高速的5G移動(dòng)網(wǎng)絡(luò)不僅可以使人們更高效地連接�,而且還可以實(shí)現(xiàn)對(duì)機(jī)器、對(duì)象和設(shè)備更高的互連性和更好的控制�。其更大帶寬、更高數(shù)據(jù)傳輸速率����、低延遲和高容量將為消費(fèi)者和企業(yè)帶來(lái)福音��。隨著5G的廣泛應(yīng)用�,也將面臨一些重大安全風(fēng)險(xiǎn)��。
例如,全球家電制造商惠而浦公司開(kāi)始為旗下一家工廠推出5G�����,該公司在此過(guò)程使用物聯(lián)網(wǎng)設(shè)備進(jìn)行預(yù)測(cè)性維護(hù)、環(huán)境控制����、使用傳統(tǒng)局域網(wǎng)WiFi網(wǎng)絡(luò)進(jìn)行流程監(jiān)控���,但是5G可以使該公司能夠?qū)崿F(xiàn)WiFi不可能完成的事情:調(diào)度自動(dòng)叉車(chē)和其他車(chē)輛。
惠而浦北美地區(qū)IT和OT制造基礎(chǔ)設(shè)施應(yīng)用程序經(jīng)理Douglas
Barnes說(shuō):“我的工廠里有很多金屬物品�,WiFi會(huì)被金屬產(chǎn)品反射。但是5G技術(shù)會(huì)穿透墻壁����,并且不會(huì)被金屬反射。而一旦5G技術(shù)在工廠部署�,我們的業(yè)務(wù)可能發(fā)生巨大的改變。這將使我們能夠在工廠使用真正的自動(dòng)駕駛車(chē)輛進(jìn)行維護(hù)�����、交付�����,以及支持生產(chǎn)的一切工作����。這個(gè)業(yè)務(wù)案例具有示范意義�,并將節(jié)省大量成本。5G的回報(bào)非?���?捎^�����?���!?/p>
他說(shuō),該公司已經(jīng)進(jìn)行了測(cè)試,以確保自動(dòng)駕駛汽車(chē)能夠工作���。并將在本月分配資金�����,自動(dòng)駕駛車(chē)輛將在今年年底前采用5G技術(shù)���。他說(shuō)��,“如果我們采用5G實(shí)現(xiàn)這些目標(biāo),那么自動(dòng)駕駛汽車(chē)的商業(yè)案例將會(huì)獲得更大的成功���。”
Barnes敏銳地意識(shí)到物聯(lián)網(wǎng)已經(jīng)為企業(yè)帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題,以及這些問(wèn)題在多大程度上會(huì)因?yàn)椴捎?G技術(shù)而加劇?��;荻止九c5G技術(shù)合作伙伴AT&T公司合作解決了這些問(wèn)題。他說(shuō)�����,“我們每天都在應(yīng)對(duì)網(wǎng)絡(luò)安全問(wèn)題。因此在開(kāi)始實(shí)施之前�,我們和AT&T公司討論的第一件事就是它將如何成為一個(gè)安全的網(wǎng)絡(luò)。”
以下是惠而浦等公司在制定5G實(shí)施計(jì)劃時(shí)需要考慮的七個(gè)關(guān)鍵問(wèn)題:
加密和保護(hù)5G網(wǎng)絡(luò)流量
借助5G�����,預(yù)計(jì)物聯(lián)網(wǎng)設(shè)備的數(shù)量將急劇增加,這些網(wǎng)絡(luò)上的流量也會(huì)隨之增加�����。根據(jù)調(diào)研機(jī)構(gòu)Gartner公司的調(diào)查,2020年全球物聯(lián)網(wǎng)設(shè)備的數(shù)量將增加到58億臺(tái)���,比今年預(yù)計(jì)的48億臺(tái)物聯(lián)網(wǎng)設(shè)備總數(shù)增加21%。這使得這些網(wǎng)絡(luò)成為網(wǎng)絡(luò)攻擊者的一個(gè)目標(biāo)豐富的環(huán)境�。
Barnes說(shuō)�,為了解決這個(gè)問(wèn)題�����,惠而浦公司將加密所有5G數(shù)據(jù)流量��,并將5G天線配置為只接受經(jīng)批準(zhǔn)的數(shù)據(jù)流量�����。他說(shuō),“當(dāng)我們添加設(shè)備時(shí)��,將它們配置為5G上可接受的設(shè)備。如果沒(méi)有列入白名單���,我們就不會(huì)添加�����。而且由于它是加密的����,所以我不會(huì)擔(dān)心有人捕獲該信號(hào)���,因?yàn)樗麄儗?duì)此無(wú)能為力�����?!?/p>
他說(shuō),如果數(shù)據(jù)流量離開(kāi)本地網(wǎng)絡(luò)�����,并通過(guò)公共5G或全球互聯(lián)網(wǎng)傳輸����,則將通過(guò)受保護(hù)的VPN隧道來(lái)保護(hù)通信�。他說(shuō):“由于可能必須使用5G與外界進(jìn)行通信����,因此我們預(yù)先進(jìn)行了設(shè)置?���!?/p>
保護(hù)和隔離易受攻擊的設(shè)備
Barnes說(shuō),“下一個(gè)潛在的弱點(diǎn)是物聯(lián)網(wǎng)設(shè)備本身�。物聯(lián)網(wǎng)的一些行業(yè)人士都沒(méi)有這樣的安全意識(shí)。尤其是通常具有專(zhuān)用操作系統(tǒng)的工業(yè)設(shè)備��,這些設(shè)備無(wú)法安裝禁止其使用的補(bǔ)丁程序或許可證���,它們?cè)谠O(shè)計(jì)時(shí)并沒(méi)有考慮補(bǔ)丁����。”
Barracuda Networks公司高級(jí)安全研究員Jonathan
Tanner表示�����,事實(shí)上���,大多數(shù)物聯(lián)網(wǎng)安全問(wèn)題都沒(méi)有得到解決���。他說(shuō)����,某些設(shè)備存在固件更新無(wú)法修復(fù)的問(wèn)題,或者沒(méi)有更新固件的機(jī)制�。即使設(shè)備制造商在下一代設(shè)備上增加了安全功能,那些不安全的原有設(shè)備仍然處于危險(xiǎn)之中�����。
Tanner補(bǔ)充說(shuō)�,有些公司并不在意,并忽略了指出漏洞的安全研究人員的建議�����。他說(shuō),“設(shè)備存在很多漏洞并且易受攻擊的一些企業(yè)已經(jīng)倒閉��?!?/p>
當(dāng)企業(yè)使用這些不安全的物聯(lián)網(wǎng)設(shè)備時(shí)應(yīng)該怎么辦?惠而浦公司的Barnes說(shuō),網(wǎng)絡(luò)隔離有助于保護(hù)它們����,并與其他網(wǎng)絡(luò)安全技術(shù)結(jié)合使用。他說(shuō)�,“我們采用兩層方法。監(jiān)視所有流量的網(wǎng)絡(luò)安全性�,以及更受協(xié)議驅(qū)動(dòng)的二級(jí)安全性,可執(zhí)行深入的數(shù)據(jù)包檢查����,查找協(xié)議中嵌入的惡意活動(dòng)類(lèi)型?���!?/p>
除此之外,還有通用的安全衛(wèi)生措施�,例如盡可能地打補(bǔ)丁,定期對(duì)所有設(shè)備進(jìn)行安全審計(jì)����,所有物聯(lián)網(wǎng)設(shè)備都具有完整的設(shè)備清單。
為更大的DDoS攻擊做好準(zhǔn)備
一般來(lái)說(shuō),5G并不意味著比前幾代無(wú)線技術(shù)的安全性更弱�����。諾基亞威脅情報(bào)實(shí)驗(yàn)室主任Kevin
Mcnamee表示:“5G確實(shí)帶來(lái)了4G或3G所無(wú)法提供的新安全功能�,有了5G,整個(gè)控制平臺(tái)都被轉(zhuǎn)移到了一種Web服務(wù)類(lèi)型的環(huán)境中��,在這種環(huán)境中�����,它經(jīng)過(guò)了嚴(yán)格的認(rèn)證�,而且非常安全���?!?/p>
McNamee說(shuō)��,僵尸網(wǎng)絡(luò)機(jī)會(huì)的增加將影響安全性的提高�����。他說(shuō)��,“5G將大大增加設(shè)備可用的帶寬。增加帶寬會(huì)增加物聯(lián)網(wǎng)機(jī)器人可用的帶寬��?!?/p>
增加帶寬將用于解決的問(wèn)題之一是查找更多易受攻擊的設(shè)備并傳播感染,并且僵尸網(wǎng)絡(luò)將會(huì)發(fā)現(xiàn)更多易受攻擊的設(shè)備����。消費(fèi)者正在大量購(gòu)買(mǎi)智能家居設(shè)備。與惠而浦公司一樣�����,很多企業(yè)也是物聯(lián)網(wǎng)設(shè)備的大用戶�����,政府機(jī)構(gòu)和其他類(lèi)型的組織也是如此����。
5G將使物聯(lián)網(wǎng)設(shè)備可以放置在難以維護(hù)的偏遠(yuǎn)地區(qū)。ESET公司安全研究員�����、俄勒岡州無(wú)線互聯(lián)網(wǎng)服務(wù)提供商協(xié)會(huì)聯(lián)合主席Cameron
Camp說(shuō)���,“將會(huì)有大量的傳感器記錄從天氣����、空氣質(zhì)量到視頻饋送的所有內(nèi)容。這意味著有大量新的機(jī)器可能被黑客入侵�����。并加入僵尸網(wǎng)絡(luò)����。由于這些傳感器大部分無(wú)人值守,黑客將難以發(fā)現(xiàn)和應(yīng)對(duì)��?����!?/p>
物聯(lián)網(wǎng)設(shè)備也往往會(huì)使用一段時(shí)間���,用戶不會(huì)替換仍然可以實(shí)現(xiàn)預(yù)期功能的物聯(lián)網(wǎng)設(shè)備。網(wǎng)絡(luò)攻擊者希望對(duì)他們的僵尸網(wǎng)絡(luò)采取低調(diào)的方法���,以使不會(huì)引起注意��。即使提供可用的補(bǔ)丁程序��,或制造商銷(xiāo)售更新的��、更安全的設(shè)備版本���,很多客戶也可能不會(huì)進(jìn)行更改��。同時(shí)����,許多智能物聯(lián)網(wǎng)設(shè)備正在運(yùn)行諸如嵌入式Linux之類(lèi)的真實(shí)操作系統(tǒng)���,從而使它們可以完全發(fā)揮作用�。
被感染的設(shè)備可用于托管非法內(nèi)容���、惡意軟件���、命令和控制數(shù)據(jù)以及對(duì)攻擊者有價(jià)值的其他系統(tǒng)和服務(wù)。用戶不會(huì)將這些設(shè)備視為需要防病毒保護(hù)����、修補(bǔ)和更新的計(jì)算機(jī)��。許多物聯(lián)網(wǎng)設(shè)備沒(méi)有保留入站和出站流量的日志����。這使攻擊者可以匿名����,并使得關(guān)閉僵尸網(wǎng)絡(luò)更加困難。
這就構(gòu)成了三重威脅��。潛在可利用設(shè)備的數(shù)量����、僵尸網(wǎng)絡(luò)的可用帶寬,以及DDoS攻擊的可用帶寬增加�����。企業(yè)現(xiàn)在需要為5G環(huán)境中出現(xiàn)的DDoS攻擊做好準(zhǔn)備�����,因?yàn)樵S多設(shè)備仍然不安全�����,有些設(shè)備無(wú)法打補(bǔ)丁�。
轉(zhuǎn)移到IPv6可能會(huì)使專(zhuān)用全球互聯(lián)網(wǎng)地址公開(kāi)
隨著設(shè)備的激增和通信速度的提高,企業(yè)可能會(huì)傾向于使用IPv6代替當(dāng)今常見(jiàn)的IPv4�����。允許更長(zhǎng)IP地址的IPv6在2017年成為互聯(lián)網(wǎng)標(biāo)準(zhǔn)�����。
現(xiàn)在只有43億個(gè)IPv4地址����,今后沒(méi)有足夠的IPv4地址可以訪問(wèn)。在2011年����,一些注冊(cè)管理機(jī)構(gòu)的IP
v4地址供不應(yīng)求,而組織于2012年開(kāi)始使用IPv6地址����。但是,根據(jù)國(guó)際互聯(lián)網(wǎng)協(xié)會(huì)的數(shù)據(jù)����,如今�,只有不到30%的谷歌用戶通過(guò)IPv6訪問(wèn)該平臺(tái)�。
諾基亞公司的McNamee表示,許多組織以及幾乎所有住宅設(shè)備和許多移動(dòng)電話網(wǎng)絡(luò)都沒(méi)有使用IPv6��,而是使用私有IPv4地址�����。他說(shuō):“這為他們提供了免受攻擊的保護(hù)措施���,因?yàn)樗鼈冊(cè)诨ヂ?lián)網(wǎng)上不可見(jiàn)�����?���!?/p>
隨著全球轉(zhuǎn)向5G����,運(yùn)營(yíng)商自然會(huì)轉(zhuǎn)向IPv6,以支持?jǐn)?shù)十億臺(tái)新設(shè)備����。如果他們選擇公共IPv6地址而不是私有地址,那么這些設(shè)備現(xiàn)在將是可見(jiàn)的�����。他說(shuō)��,這不是IPv6的問(wèn)題��,也不是5G的問(wèn)題���,但是將其設(shè)備從IPv4遷移到IPv6的企業(yè)可能會(huì)意外地將其放置在公共地址上����。
邊緣計(jì)算增加了攻擊面
希望為客戶或他們自己分散的基礎(chǔ)設(shè)施減少延遲并提高性能的企業(yè)越來(lái)越多地關(guān)注邊緣計(jì)算����。借助5G,端點(diǎn)設(shè)備將具有更多的通信能力�����,邊緣計(jì)算的優(yōu)勢(shì)將變得更大�。
邊緣計(jì)算還大大增加了潛在的攻擊面。尚未開(kāi)始使用零信任網(wǎng)絡(luò)架構(gòu)的企業(yè)應(yīng)該在考慮對(duì)邊緣計(jì)算基礎(chǔ)設(shè)施進(jìn)行大量投資之前就考慮這個(gè)問(wèn)題。當(dāng)他們確實(shí)做到這一點(diǎn)時(shí)�,安全性是首要考慮因素,而不是事后考慮�。
新的物聯(lián)網(wǎng)廠商專(zhuān)注于快速進(jìn)入市場(chǎng),而不是安全性
物聯(lián)網(wǎng)淘金熱將激勵(lì)新的物聯(lián)網(wǎng)供應(yīng)商進(jìn)入該領(lǐng)域��,并鼓勵(lì)現(xiàn)有的供應(yīng)商將新設(shè)備推向市場(chǎng)��。Barracuda公司的Tanner說(shuō)����,物聯(lián)網(wǎng)設(shè)備的數(shù)量已經(jīng)遠(yuǎn)遠(yuǎn)超過(guò)尋找漏洞的安全研究人員的處理能力。他說(shuō)�����,隨著新制造商的加入�,人們將看到一個(gè)全新的安全錯(cuò)誤周期。
同樣的錯(cuò)誤多次地出現(xiàn)�����,物聯(lián)網(wǎng)設(shè)備的漏洞正在上升���,而不是下降�����。他說(shuō)����,“一些物聯(lián)網(wǎng)廠商并沒(méi)有吸取他人的教訓(xùn)�。”
A-lign公司法規(guī)遵從性和安全性部門(mén)的滲透測(cè)試實(shí)踐負(fù)責(zé)人Joe
Cortese表示�,“一些物聯(lián)網(wǎng)供應(yīng)商對(duì)此并不在乎。今年早些時(shí)候��,我購(gòu)買(mǎi)了五臺(tái)應(yīng)用物聯(lián)網(wǎng)設(shè)備的智能燈具��,并且能夠從屋外訪問(wèn)其中的四臺(tái)設(shè)備��。這些設(shè)備內(nèi)置了測(cè)試模式�,而供應(yīng)商方并沒(méi)有刪除?����!?/p>
Cortese說(shuō)���,所有供應(yīng)商都希望成為第一個(gè)進(jìn)入物聯(lián)網(wǎng)市場(chǎng)的廠商�����。對(duì)于許多供應(yīng)商而言�����,最快推出設(shè)備的方法是使用嵌入式Linux之類(lèi)的現(xiàn)成平臺(tái)��。他說(shuō):“最近��,我發(fā)現(xiàn)了一種物聯(lián)網(wǎng)惡意軟件�,該惡意軟件可以破壞物聯(lián)網(wǎng)設(shè)備。沒(méi)有加強(qiáng)物聯(lián)網(wǎng)設(shè)備安全的制造商很容易受到這種攻擊”
網(wǎng)絡(luò)攻擊者可以使用它來(lái)關(guān)閉工廠或關(guān)鍵基礎(chǔ)設(shè)施�����,或攻擊企業(yè)的系統(tǒng)進(jìn)行勒索��。Cortese說(shuō)���,“我現(xiàn)在還沒(méi)有看到這種事情的發(fā)生����,但這只是因?yàn)?G尚未廣泛部署����。隨著5G的更多采用和物聯(lián)網(wǎng)的增加�,我們可能會(huì)看到諸如制造業(yè)等系統(tǒng)的利用大大增加�。”
有人需要擁有物聯(lián)網(wǎng)安全性
物聯(lián)網(wǎng)安全的最大障礙不是技術(shù)而是心理����。沒(méi)有人愿意承擔(dān)責(zé)任,他們都在責(zé)怪別人�����。買(mǎi)方責(zé)怪賣(mài)方未確保其設(shè)備安全��,而賣(mài)方責(zé)怪買(mǎi)方選擇了更便宜���、更不安全的產(chǎn)品。在5G世界中��,忽視物聯(lián)網(wǎng)安全的后果將會(huì)更大�。
根據(jù)Radware公司去年發(fā)布的一項(xiàng)調(diào)查,34%的受訪者認(rèn)為設(shè)備制造商應(yīng)對(duì)物聯(lián)網(wǎng)安全負(fù)責(zé)�,11%的受訪者認(rèn)為服務(wù)提供商應(yīng)該負(fù)責(zé),21%的受訪者認(rèn)為應(yīng)是個(gè)人消費(fèi)者負(fù)責(zé)�,35%的受訪者認(rèn)為商業(yè)組織應(yīng)該負(fù)責(zé)�。Radware公司戰(zhàn)略副總裁Mike
O’Malley說(shuō)�,“換句話說(shuō),人們對(duì)于誰(shuí)來(lái)承擔(dān)責(zé)任沒(méi)有達(dá)成共識(shí)����。”他表示�����,出現(xiàn)這種情況�,通常因?yàn)橄M(fèi)者不具備這些知識(shí)或技能,企業(yè)的員工不夠���,制造商不太協(xié)調(diào)�,無(wú)法控制等多方面因素���。
企業(yè)可以與服務(wù)提供商合作來(lái)承擔(dān)一些負(fù)擔(dān)��,但這不能解決消費(fèi)類(lèi)設(shè)備不安全�����、制造商不愿進(jìn)行更改��,以及缺乏一致的全球監(jiān)管法規(guī)和實(shí)施的問(wèn)題��。
每個(gè)人都應(yīng)對(duì)物聯(lián)網(wǎng)安全負(fù)責(zé)����。買(mǎi)家需要堅(jiān)持要求購(gòu)買(mǎi)的產(chǎn)品沒(méi)有默認(rèn)密碼或測(cè)試模式,則必須對(duì)通信進(jìn)行加密和認(rèn)證����,并且設(shè)備要定期進(jìn)行補(bǔ)丁和更新。供應(yīng)商需要將不安全的設(shè)備下架�,在產(chǎn)品設(shè)計(jì)過(guò)程開(kāi)始時(shí)就考慮安全問(wèn)題,而不是在出現(xiàn)問(wèn)題之后才開(kāi)始考慮����。
