天地和興:制造業5G專用網絡安全風險
作者 | 天地和興工業網絡安全研究院編譯
企業5G專用網絡讓私營企業和地方政府擁有自己的電信基礎設施,然而這也帶來了尚未明確的風險。為了識別5G企業專用網絡所面臨的新興威脅,趨勢科技使用了配備5G企業專網的模擬智能鋼鐵廠作為測試環境,研究了制造業實施5G專用網絡時可能出現的潛在網絡安全風險,以及多種攻擊場景和防御措施。
研究顯示,攻擊者入侵核心5G網絡的路徑包括:托管服務器、虛擬機、網絡基礎架構、以及基站。攻擊者一旦進入核心網絡,就能在網絡內橫向移動,并攔截或篡改網絡封包。在測試環境中,黑客可經由攻擊智能制造環境中的工業控制系統來竊取機密敏感信息、破壞生產線、或向企業勒索。
一、工業移動通信系統
5G(第五代移動通信系統)是與AI(人工智能)和IoT(物聯網)并駕齊驅的現代前沿技術之一。5G是支持下一代社會的基礎,因為其在數字化轉型中取得了跨越式發展。5G最大的特點是其大帶寬、極高的同時連接設備容量和超低延遲。與4G中主要面向人的服務不同,這些功能允許5G應用于機器之間通信的廣泛用例。
特別是,5G將延遲降低到了可以滿足工業應用中的最低延遲要求的程度。這意味著5G可以推動移動網絡在工業領域的傳播,例如在關鍵任務中沒有設計的傳統移動網絡系統。
圖1 移動通信系統隨著時間的推移,5G將推動工業系統的快速安裝
工業移動通信系統的安裝標志著企業IT的重大轉變,這一切都歸功于5G。隨著5G中同時連接的設備數量大幅增加,物聯網設備的普及取得更多進展。因此,5G不僅僅意味著快速的網絡,還可以被視為公司數字化轉型的基礎。
5G是第五代移動通信系統,移動通信系統是指讓用戶在移動中保持聯系的技術。自第一代1G以來,移動通信系統的基本配置沒有改變。主要包括三個要素,如下圖所示。
圖2 移動通信系統中的三要素
第一個元素是用戶設備(UE)。這是指帶有SIM卡的智能手機和其他設備。在5G時代,除了智能手機之外,還有大量用戶設備會受到關注,例如工廠設備、汽車、傳感器、安全攝像頭和其他物聯網設備。這些設備與附近的基站進行無線通信,基站包含天線,并且所有這些基站一起形成無線電接入網絡(RAN)。通過RAN獲得的信息傳遞到核心網絡(CN)。CN是整個移動網絡的大腦,管理用戶注冊和移動,以及數據處理。這三個元素有機地協同工作,以便用戶可以在移動時進行交流。這種基本布局在第五代5G中保持不變,基本系統由UE、RAN和CN組成。
智能手機的普及率飆升,但與UE相比,人們對CN和RAN及其工作原理知之甚少。這是因為移動電話和其他個人服務在公共5G中,CN和RAN由電信提供商構建和運營。這意味著用戶無需考慮CN或其他細節即可進行通信。然而隨著5G專用網絡的到來,這種情況即將發生重大變化。
二、5G專用網絡存在的安全風險
顧名思義,專用5G(Private 5G)是指在限制區域內用于特定目的的獨立5G網絡。與電信提供商的公共5G網絡不同,該網絡可以靈活的設計和構建,以適應各種使用情況。5G專用網絡在微服務級別進行了優化,這就是各個組織選擇在其IT環境中實施電信基礎設施的原因。通常,電信提供商負責構建和運營核心網絡和無線接入網絡,但在專用5G配置中,私營公司和地方政府必須自行完成這項工作。
圖3 在5G專用網絡中,用戶組織可以自己建設和運營CN和RAN
專用5G帶來了“通信的民主化”,這有助于構建開放技術,并促進市場和業務增長。專用5G技術允許私營公司和地方政府在運行最新信息通信系統方面占據主導地位,但也導致使用該技術的用戶組織承擔更多責任。但是,并非所有組織都具備處理電信技術的知識和能力,處理系統的相關公司部門不熟悉電信基礎設施,這可能會導致安全風險。
三、使用5G專網的鋼鐵廠作為測試環境
對此,趨勢科技進行了現場測試,以確定用戶組織在使用專用5G之前需要了解的網絡安全風險。在測試中,研究人員使用了基于鋼鐵行業的環境。
鋼鐵行業的性質使其成為實施5G的真正理想領域,同時也要求數據完整性。鋼鐵行業是IT整合速度最快的工業領域之一,具有以下三個特征。
圖4 鋼鐵行業作為安裝專用5G的主要領域的獨特性
首先,鋼鐵生產需要大型廠房。鋼鐵行業是典型的以硬件為基礎的行業,需要很大的面積來容納必要的設備。與Wi-Fi相比,專用5G對大型場所的覆蓋更好,因此人們對其通過遠程控制相關設備、使用高清工業電視(ITV)攝像機的4K視頻進行遠程監控、以及為現場工人提供遠程協助來實現節電寄予厚望。
其次,鋼鐵生產存在化學反應帶來的物理危害。由于它以鐵為原料,因此該行業需要在高溫下進行加工才能制造產品。這意味著人們無法直接檢查材料的狀態,因此需要借助傳感器和計算機來進行檢查。所以數據完整性和系統可用性至關重要。
第三,鋼鐵行業的細分結構復雜。與涉及由許多組件組裝產品的汽車行業不同,鋼鐵行業涉及使用單一材料(鐵)生產許多不同的產品。加工這種材料需要對溫度、氣壓和混合成分進行微調。大型鋼鐵廠每年可收到上百萬份訂單,因此IT系統對于準確處理大量信息至關重要。專用5G有望成為滿足行業需求同時提高生產力的強大力量。
研究人員建立了一個配備5G設備的鋼鐵廠模擬環境。在構建環境時,研究人員專注于三個關鍵概念。
圖5 搭建現場測試環境的三個關鍵概念
首先,在內部構建了核心網絡和無線接入網。雖然構建專用5G配置有多種不同的方法,但在研究中設想了一個場景,專用5G用戶自行構建和操作系統,從而擁有一個完全獨立的網絡。
其次,實現了非獨立配置。非獨立意味著5G網絡架構可以最大限度地利用當前運行的4G網絡設備。與此相反,僅支持5G的架構稱為獨立架構。這就需要將所有的通信設備都切換為獨立格式,因此目前可能會以非獨立格式為主。
第三,專注于使用PLC、HMI和其他設備復制工廠網絡,這有助于檢查物理損害。
測試的網絡配置如下圖所示,可以看到網絡包括IT、OT和CT。
圖6 現場測試環境的網絡配置
圖6的右下角代表現場網絡,PLC和其他設備連接到該網絡,它復制了鋼鐵廠的物理環境。控制網絡位于左下角,該網絡連接到管理員使用的計算機,該網絡控制現場網絡。圖的中間是核心網絡和無線接入網絡,是本次測試的主要系統,這些都屬于CT領域。核心網絡作為通信系統的控制塔,是實現移動通信網絡專有技術尤為重要的領域之一。
圖7 真實環境(左)和控制平面的邏輯架構(右)
圖7的左側顯示了實際的現場測試環境,乍看起來非常簡單,但它包含一個極其復雜的軟件架構,如右圖所示。需要注意的是,核心網絡由控制用戶注冊和管理的控制平面(Control Plane)和管理數據處理的用戶平面(User Plane)組成。5G通信依賴于這兩個正常運行的平面。核心網絡由企業IT人員不熟悉的通信技術組成,因此對于用戶來說這是一個未知的領域。
四、四大滲透路線
如果組織遷移到構成核心網絡和無線電接入網絡的硬件和軟件的開放選項,則此配置將承擔與開放IT環境相同的漏洞風險。最近,許多公司正在構建PoC,以期在未來實施全面的專用5G配置。但是,只有極少數情況將網絡安全列入要驗證的項目清單。由于構成專用5G網絡的通用服務器和開源軟件的性質,如果在安裝網絡時沒有適當考慮安全性,基礎設施可能存在嚴重漏洞。如果制造環境與移動通信系統深度交織,應用補丁可能并不容易,因為制造現場可能會根據政策優先考慮可用性。因此,關注潛在的漏洞至關重要。
圖8 四種潛在的滲透路線
1、核心網絡托管服務器
隨著專用5G越來越成為主流,預計組織將使用通用服務器來托管其核心網絡,以降低成本。在現場測試中,研究人員使用了一個普通的x86服務器來托管核心網絡。隨著開放基礎設施趨勢的持續,必須警惕核心網絡托管服務器中被利用的潛在漏洞。研究人員發現Linux操作系統中的用戶和漏洞都在增加,這是在專用5G配置中構建核心網絡環境的一個至關重要的領域。
2、虛擬機
容器和其他虛擬化環境中的漏洞也勢在必行。趨勢科技研究人員知道一種稱為容器逃逸(Container Escape)的攻擊類型,攻擊者可以通過容器滲透到主機服務器。容器技術將在5G核心網絡中發揮重要作用,容器鏡像主要由SQL數據庫引擎和編程語言等開源包組成。因此,對于從外部來源下載的代碼,這些軟件包需要采取同樣的預防措施,查找庫的制作者,并檢查代碼以確保它不是惡意的。考慮到在構建專用5G配置時與系統集成商密切合作至關重要,用戶組織(和資產所有者)必須主動要求系統供應商和集成商在容器環境中實施安全措施。
3、網絡基礎設施
另一個滲透途徑是網絡基礎設施,包括路由器和防火墻。專用5G解決方案在核心網絡中使用交換機、路由器和其他網絡設備。就像任何常規IT系統一樣,管理和緩解此設備中的漏洞至關重要。
4、基站
基站安全研究目前還有很長的一段路要走,但研究人員在測試中發現了一些漏洞,并向供應商報告了這些漏洞,但是供應商表示這些問題只能在用于測試的模型中發現,而不是在常規產品中。但是,驗證環境通常包含重要的文件和知識產權,因此確保驗證環境中設備的安全級別與生產環境中的設備安全級別相同至關重要。在任何情況下,強烈建議基站所有者在現場進行滲透測試,并檢查基站是否得到充分保護,生產環境中是否存在類似漏洞。
專用5G配置中的這些漏洞不一定會暴露在互聯網上,以供網絡攻擊者訪問,但是隨著基礎設施變得更加開放,漏洞和攻擊方法可以廣泛共享。
五、三個信號攔截點
一旦攻擊者通過上述路線之一進入核心網絡,將進入下一階段:攔截和篡改數據。在測試中,研究人員確定了用戶平面內處理用戶數據的三個攔截點。
圖9 驗證環境中核心網絡的邏輯圖,以及三個信號攔截點
第一點是核心網絡與互聯網的鏈路(圖中1),這是將核心網絡連接到外部的回程。第二點是SGW和PGW相互通信的地方(圖中2),這是用戶數據的服務網關和連接到外部網絡的分組數據網絡網關之間的點。第三點位于基站和核心網絡之間(圖中3),這是數據從用戶設備進入用戶平面的地方。如果數據在任何這些點之間以未加密的明文形式發送,則數據可能會被攔截或篡改。
通過選擇帶有加密的協議,或者通過實施IPsec或VPN,可以有效地降低這種風險。無論哪種方式,IT管理員都需要記住,5G系統默認不支持加密。如果攻擊者設法使用這些攔截點之一,就可以針對制造現場發起攻擊。
六、六種攻擊方式
在研究中,研究人員確定了總共六種攻擊制造現場的方法。
表1 制造現場攻擊方法一覽
表中的前三種方法(MQTT劫持、Modbus/TCP劫持、PLC固件重置)通過篡改核心網絡中的用戶數據帶來物理損害,因此需要特別注意。第四種和第五種方法“DNS劫持”和“遠程桌面攻擊”不會直接造成物理損害,但可以用來竊取機密信息或提升權限。第六種方法“SIM交換”針對用戶設備。SIM卡是IT管理員需要管理的一種新資產,因為它們是移動通信系統所獨有的。因此,建議管理員實施減少惡意SIM卡使用的策略。
研究人員通過研究Modbus/TCP劫持禁用警報攻擊場景,以了解惡意使用這些攻擊方法時會實際造成多大損害。
七、通過Modbus/TCP劫持禁用警報
下圖是場景示意圖,目標是削弱制造過程。攻擊者可以利用核心網絡主機服務器中的漏洞進入核心網絡。
圖10 通過Modbus/TCP劫持禁用警報的攻擊場景概述
然后,攻擊者以網絡為跳板,通過Modbus/TCP向與溫度控制閥關聯的PLC發送非法命令。這會導致閥門發生故障,因此部分煉鋼過程的溫度會高于正常溫度。這本身會影響制造過程,但攻擊者并沒有就此止步。他們可以在核心網絡中使用詭計,來進一步擴大損害。
鋼鐵廠必須進行嚴格的溫度控制,因此現場溫度由傳感器持續監測,該溫度信息被發送到HMI。如果HMI接收到的數據偏離規定范圍,就會發出警報。然而,攻擊者以核心網絡為跳板,攔截來自傳感器的數據包,并重寫溫度值,使其看起來在正常范圍內。被攻擊者篡改的信號被發送到管理員的人機界面。這有效地禁用了警報。此時制造現場可能會變得非常熱,但管理員不會意識到這一點,因此制造過程和產品都會受到損害。
八、從攻擊者角度看問題
在考慮防御時,從攻擊者的角度思考至關重要。換句話說,可以通過理解攻擊者為何會攻擊核心網絡,來設計有效的措施。核心網絡是處理信息的基礎,對制造過程的機密性、完整性和可用性有直接影響。因此,該系統為惡意行為者提供了許多攻擊選項,例如竊取信息或造成損害。
圖11 IT需要高保密性、OT需要高可用性、CT需要高完整性
專用5G和其他形式的網絡基礎設施一旦建成并開始運行,就無法輕易更改或更新。這個基礎對攻擊者很有吸引力,因為這可以使其秘密地滲透到選擇的網絡中,有很多時間來完成最終目標。攻擊者已準備好花費大量資源來破壞該系統,如果公司成為目標,可能會面臨極其嚴重的損害。因此,如果用戶公司希望實施專用5G配置,那么采取基于安全設計的方法并從中長期角度準備安全措施是有效的,以預測攻擊者會滲透系統。具體來說,建議采取以下三個行動:
- 在核心網絡中實施加密和身份驗證/權限;
- 在PoC階段驗證安全性;
- 構建快速檢測異常結構。
九、在5G專網中實現安全的三要素
1、在核心網絡中實施加密和身份驗證/權限
研究表明,核心網絡是潛在攻擊的新領域,因此在實施專有5G時存在安全風險。核心網絡對于構建移動通信系統至關重要,也是處理用戶數據的重要組成部分。為了保護核心網絡,首先要了解攻擊者可以利用的區域。研究人員的測試揭示了四個滲透路線和三個信號攔截點,以及確定了攻擊者如何利用這些弱點的六個場景。
表2 研究中確定的攻擊方法,以及緩解技術策略
除了SIM卡交換之外,所有這些攻擊都始于對核心網絡中的信號的攔截。對抗這些攻擊的有效技術策略主要涉及加密通信和管理身份驗證和權限,包括SIM卡。更詳細地說,這涉及使用支持加密的協議、安裝EDR、XDR或其他檢測和響應工具,以及管理SIM卡以便與設備相關聯。這些都是零信任配置的關鍵要素,因此在專用5G環境中設計核心網絡時,考慮零信任是至關重要的。當然,如果系統存在固有漏洞,攻擊者可能會破壞加密功能,因此解決系統中的任何弱點仍然很重要。
2、在PoC階段驗證安全性
希望實施專用5G的用戶組織需要首先在設計階段明確安全要求,并且需要在與系統集成商作為合作伙伴密切合作的同時做到這一點。預計會有越來越多的公司構建PoC,以期在未來實施全面的專用5G配置。然而不幸的是,在PoC階段驗證安全要求的情況很少。
專用5G網絡是加速物聯網部署的基礎。就像建筑物建成后不會更改其地基一樣,通過使用內置安全性而不是訴諸附加安全性,可以獲得更好的結果。出于這個原因,建議將本研究中確定的風險領域納入PoC考慮的領域。通過解決這次在設計階段確認的滲透路線和攔截點,可以顯著降低風險。
圖12 在PoC中要考慮的安全問題示例
3、構建快速檢測異常結構
隨著網絡攻擊變得越來越復雜和精細,采取措施在內部緩解這些攻擊變得越來越重要。隨著數字化轉型步伐的加快,公司網絡邊界變得越來越模糊和復雜。惡意代理會使用所有可能的攻擊路徑,來嘗試滲透系統并訪問網絡內的資源。在攻擊者眼中,工廠和其他生產場所是寶貴的資源。今年,美國Colonial Pipeline大型石油管道公司遭到網絡攻擊,導致其業務暫停五天。據報道,該公司的IT系統受到攻擊,因此關閉了控制系統,以防止損害進一步蔓延,此舉導致業務活動暫停。
圖13 外圍防御崩潰:公司網絡邊界變得不清晰
通過這種方式,對控制系統的網絡攻擊通常通過IT進行。如果無法查看系統的當前狀態或可能的威脅,則無法預測攻擊后的損壞程度。許多制造企業都面臨著同樣的問題。隨著系統變得越來越復雜,網絡攻擊的方法也越來越復雜。為了對抗這些攻擊,具有持續監控整個系統并迅速檢測任何變化的功能至關重要。在包括IT、OT和CT在內的多個層上實施XDR可以顯著幫助降低業務風險。
