NSA和CISA發布關于保護5G云基礎設施的安全指南第一部分--預防和檢測橫向移動

美國國家安全局和國土安全部的網絡安全和基礎設施安全局(CISA)當地時間10月28日發布了保護5G云基礎設施的一系列指導文件中的第一份，關于保護云原生5G網絡免受旨在通過拆除云基礎設施來破壞信息或拒絕訪問的攻擊的指南，該第一部分的主題是防止和檢測橫向移動。該指南來自于持久安全框架(ESF)，ESF是一個由NSA、CISA、國防部、情報界以及 IT、通信和國防工業基礎公司之間的公私合作伙伴關系。NSA表示，該5G安全指南的另外三部分將在未來幾周內發布。

 概要

5G 網絡依靠云基礎設施來實現敏捷性、彈性和可擴展性。這些網絡需要安全，因為它們將成為希望造成中斷或破壞信息的威脅行為者的誘人目標。

這一重大的安全挑戰源于多個移動網絡運營商共享物理基礎設施。CISA和NSA 強調，云提供商和移動運營商需要分擔安全責任，運營商負責保護他們的云租賃。

NSA指出，雖然保護邊界很重要，但如果威脅行為者設法突破邊界，采取措施限制橫向移動也很重要。限制5G云網絡中橫向移動的建議包括實施安全身份和訪問管理、保持5G云軟件更新以確保其不受已知漏洞的影響、安全配置網絡、鎖定隔離網絡功能之間的通信、監控橫向移動跡象，并開發和部署分析以檢測復雜威脅行為者的存在。

雖然這些建議主要針對云提供商和移動網絡運營商，但有些也適用于客戶。

本指南的其他三個部分將重點關注隔離網絡資源、在數據生命周期的所有階段(傳輸、使用和靜止)保護數據，以及確保基礎設施的完整性。

根據美國國家安全局(National security Agency)的新指導意見，人工智能和機器學習系統可能幫助5G云提供商檢測出復雜的攻擊者和其他安全事件的存在。盡管技術供應商必須在數據保密要求和檢查網絡流量的能力之間取得平衡，但復雜的實時持續監控在檢測惡意使用云資源方面可能至關重要。

“5G云堆棧各層的利益相關者應該利用一個分析平臺來開發和部署分析，處理該層可用的相關數據(云日志和其他遙測數據)。分析應該能夠檢測已知和預期的威脅，但也應設計為識別數據中的異常，可能表明未預料的威脅，”該機構在文件中說。5G云是指與5G網絡的好處相匹配的云本地服務。

美國國家安全局下屬的網絡安全理事會負責人羅布喬伊斯說：“這個系列體現了來自CISA、NSA和行業的ESF專家的共同努力，及其對國家安全利益的考量。” “應用本指南構建和配置5G云基礎設施的服務提供商和系統集成商將盡自己的一份力量來改善我們國家的網絡安全。”

 防范5G云網絡中的橫向移動

“5G網絡是云原生的，對于希望拒絕或降低網絡資源或以其他方式破壞信息的網絡威脅行為者來說，將是一個有利可圖的目標，”聯合咨詢說。

“為了應對這種威脅，必須安全地構建和配置5G云基礎設施，具備檢測和響應威脅的能力，為部署安全網絡功能提供強化的環境。”

CISA和NSA表示，5G 服務提供商和系統集成商可以實施以下措施來阻止和檢測 5G 云中的橫向移動：

• 在5G云中實施安全身份和訪問管理(IdAM)
• 使5G云軟件保持最新狀態并避免已知漏洞
• 在5G云中安全配置網絡
• 鎖定隔離網絡功能之間的通信
• 監測對抗性橫向運動的跡象
• 開發和部署分析系統以檢測復雜的攻擊對手的存在

有關5G基礎設施潛在威脅載體的更多信息可以在CISA與NSA和國家情報總監辦公室協調發布的5月份發布的白皮書中找到。

 5G網絡的主要威脅

該系列包含了預防和處理對5G基礎設施的網絡攻擊的廣泛指南，是以CISA、NSA和國家情報總監辦公室在5月份發布的《5G基礎設施潛在的威脅向量》報告為基礎的。除了對連接5G網絡的云基礎設施的潛在攻擊之外，5月份的這份報告列出了對美國5G網絡可能構成的威脅，例如：

• 假冒組件——更容易受到網絡攻擊，并且更容易因為質量差而損壞。它們也可以被安裝后門。
• 繼承組件——受損或安全性較弱的組件可能會通過復雜的供應鏈進入美國 5G 網絡，這需要進行調查。
• 開放標準——敵對國家可能會為開放標準做出貢獻，以要求包含專有或不受信任的技術。
• 可選控制——標準可能附帶一些網絡運營商可能不愿意使用的可選安全控制。
• 軟件/配置——指 5G 設備中的漏洞，攻擊者可能會利用這些漏洞來破壞設備及其配置。
• 網絡安全——對網絡設備的攻擊可能允許威脅行為者訪問 5G 基礎設施。
• 網絡切片——網絡運營商能夠根據連接設備的類型將其 5G 網絡劃分為多個區域。威脅行為者可以突破這些區域并訪問關鍵基礎設施。
• 傳統通信集成——威脅行為者可以利用傳統協議中的漏洞來訪問 5G 基礎設施。
• 頻譜共享——可能為惡意行為者提供機會干擾或干擾非關鍵通信路徑，從而對更關鍵的通信網絡產生不利影響。

 指南的另外三部分

5G云基礎設施安全指南的另外三個部分將重點關注：

• 第二部分：安全隔離網絡資源：確保客戶資源之間有安全隔離，重點是保護支持虛擬網絡功能運行的容器堆棧。 
• 第三部分：保護傳輸中、使用中和靜態數據：確保網絡和客戶數據在數據生命周期的所有階段(靜態、傳輸中、處理中、銷毀時)都得到保護。 
• 第四部分：確保基礎設施的完整性：確保 5G 云資源(例如容器鏡像、模板、配置)不被未經授權修改。

延伸閱讀：歐盟對5G安全風險的評估

兩年前，即2019年10月，歐盟(EU)成員國還發布了一份關于5G網絡安全的協調風險評估。該報告確定了主要威脅和威脅參與者、最敏感的資產以及可用于破壞它們的主要安全漏洞。

5G安全風險評估報告強調了使用單一設備供應商背后的危害，如果大量運營商使用來自高風險供應商的設備，設備短缺和5G解決方案的多樣性極大地擴大了5G基礎設施的整體脆弱性。

與 5G 網絡相關的安全挑戰還與網絡和第三方系統之間的連接以及第三方供應商對國家 5G 網絡的訪問權限增加有關。

歐盟的報告概述了在歐盟成員國內推出5G網絡所產生的以下安全后果：

• 增加遭受攻擊的機會，并為攻擊者提供更多潛在的入口點。
• 由于5G網絡架構的新特點和新功能，某些網絡設備或功能變得更加敏感，例如基站或網絡的關鍵技術管理功能。
• 與移動網絡運營商對供應商的依賴相關的風險增加，這將導致可能被威脅行為者利用的攻擊路徑數量增加，并增加此類攻擊影響的潛在嚴重性。
• 在供應商推動的攻擊風險增加的背景下，個別供應商的風險狀況將變得尤為重要，包括供應商受到非歐盟國家干擾的可能性。
• 對供應商的主要依賴增加了風險：對單一供應商的主要依賴增加了潛在供應中斷的風險，例如，由于商業失敗及其后果。
• 對網絡可用性和完整性的威脅 將成為主要的安全問題。

歐盟成員國關于 5G 網絡安全風險的聯合報告中提供了更多信息，包括有關漏洞、風險情景和緩解措施/安全基線的詳細信息。

參考資源：

1.https://www.bleepingcomputer.com/news/security/nsa-and-cisa-share-guidance-on-securing-5g-cloud-infrastructure/

2.https://www.fedscoop.com/machine-learning-and-ai-may-help-5g-cloud-providers-detect-sophisticated-attacks-nsa/

3.https://therecord.media/nsa-warns-of-threat-actors-compromise-entire-5g-networks-via-cloud-systems/

原文來源：網空閑話

“投稿聯系方式：孫中豪 010-82992251 sunzhonghao@cert.org.cn”