美国国家安全局 (NSA)、网络安全和基础设施安全局 (CISA) 以及国家情报总监办公室 (ODNI) 发布了有关与 5G 网络切片和缓解策略相关的安全风险的指南。
该文件解释说,“网络切片是一个端到端的逻辑网络,提供特定的网络功能和特性以满足用户的需求”,并且它可以与其他切片在同一物理网络上运行,尽管用户经过身份验证仅限网络区域。
跨越网络的物理组件——包括计算、存储和基础设施——网络切片提供组件虚拟化,并通过将用户身份验证限制在特定网络区域来实现数据和安全隔离。
“值得注意的是,网络切片组件可以跨越多个运营商,因此互操作性、安全性和稳健性成为需要解决的重要挑战。从安全的角度来看,一个网络切片的资源应该与其他网络切片隔离,以确保机密性、完整性和可用性,”该指南写道。
该架构依赖于网络即服务 (NaaS) 模型,其中基础设施即服务与网络和安全服务相结合,以提高 5G 基础设施的效率和弹性。这三个机构表示,移动网络运营商需要使用管理和网络编排 (MANO) 系统来创建端到端网络切片并对其进行运营。
根据持久安全框架 (ESF),网络切片增加了网络的复杂性,网络切片管理不当可能允许威胁参与者访问其他网络切片中的数据或拒绝访问它。
NSA、CISA 和 ODNI 提到拒绝服务 (DoS)、中间人 (MitM) 和配置攻击代表网络切片的三种高严重性风险,因为它们会影响可用性、机密性,以及网络切片的完整性。
这些机构还指出,网络切片的一个潜在风险是网络功能虚拟化 (NFV),这实际上是网络切片的基础,因为它消除了对专用硬件的需求——允许使用基于云的服务器。NFV 还将网络功能移至云端、优化性能并增加监控和日志记录选项。
中等严重性风险包括饱和攻击、用户身份盗用、渗透攻击、TCP 级别攻击、IP 欺骗、会话重放攻击、国际移动用户身份 (IMSI) 缓存攻击、NAS 信号风暴和 IoT 的流量突发。
预计将在自动驾驶汽车和其他新兴技术中发挥关键作用,网络切片很容易受到 IMSI 缓存攻击,威胁行为者可能会暴露自动驾驶汽车的地理位置,以及有关货物和交通路线的信息。
“从这里开始,攻击者可以对网络信号平面发起 DoS 攻击,从而导致自动驾驶汽车与其授权控制器之间发生中断。假设恶意行为者可以访问用户身份,该行为者还可以单独发起配置攻击来篡改安全功能和虚拟网络功能 (VNF) 策略,”这三个机构指出。
NSA、CISA 和 ODNI 表示,适当的管理和持续监控对于网络切片安全至关重要,并且都应应用于四个逻辑层,即网络切片子网管理功能(NSSMF)、网络切片管理功能(NSMF)、通信服务管理功能 (CSMF),以及提供标准应用程序编程接口和自我管理门户的能力公开平台。
“除了适当的网络切片管理外,持续监控对于检测恶意活动至关重要。移动网络监控和安全工具通常侧重于网络性能、欺诈检测、收入保证或影响网络性能的设备行为,而不是检测敌对的恶意活动,”指南中写道。
更高级的缓解措施包括采用零信任架构、多层安全、跨域解决方案、后量子密码学和隔离,包括多因素身份验证、访问控制、高级加密、沙箱、虚拟机或硬件和物理隔离。
“虽然网络切片并非 5G 独有,但它是一个关键组件,因为 5G 规范要求将网络切片作为一个基本组件,因此要求网络运营商采用可以减轻本文中描述的威胁的安全实践,DoS,MitM攻击和配置攻击,”NSA、CISA 和 ODNI 指出。
>>>等级保护<<<
开启等级保护之路:GB 17859网络安全等级保护上位标准
网络安全等级保护:等级保护测评过程及各方责任
网络安全等级保护:政务计算机终端核心配置规范思维导图
网络安全等级保护:什么是等级保护?
网络安全等级保护:信息技术服务过程一般要求
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
闲话等级保护:什么是网络安全等级保护工作的内涵?
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
闲话等级保护:测评师能力要求思维导图
闲话等级保护:应急响应计划规范思维导图
闲话等级保护:浅谈应急响应与保障
闲话等级保护:如何做好网络总体安全规划
闲话等级保护:如何做好网络安全设计与实施
闲话等级保护:要做好网络安全运行与维护
闲话等级保护:人员离岗管理的参考实践
信息安全服务与信息系统生命周期的对应关系
>>>工控安全<<<
工业控制系统安全:信息安全防护指南
工业控制系统安全:工控系统信息安全分级规范思维导图
工业控制系统安全:DCS防护要求思维导图
工业控制系统安全:DCS管理要求思维导图
工业控制系统安全:DCS评估指南思维导图
工业控制安全:工业控制系统风险评估实施指南思维导图
工业控制系统安全:安全检查指南思维导图(内附下载链接)
工业控制系统安全:DCS风险与脆弱性检测要求思维导图
>>>数据安全<<<
数据安全风险评估清单
成功执行数据安全风险评估的3个步骤
美国关键信息基础设施数据泄露的成本
VMware 发布9.8分高危漏洞补丁
备份:网络和数据安全的最后一道防线
数据安全:数据安全能力成熟度模型
数据安全知识:什么是数据保护以及数据保护为何重要?
信息安全技术:健康医疗数据安全指南思维导图
>>>供应链安全<<<
美国政府为客户发布软件供应链安全指南
OpenSSF 采用微软内置的供应链安全框架
供应链安全指南:了解组织为何应关注供应链网络安全
供应链安全指南:确定组织中的关键参与者和评估风险
供应链安全指南:了解关心的内容并确定其优先级
供应链安全指南:为方法创建关键组件
供应链安全指南:将方法整合到现有供应商合同中
供应链安全指南:将方法应用于新的供应商关系
供应链安全指南:建立基础,持续改进。
思维导图:ICT供应链安全风险管理指南思维导图
英国的供应链网络安全评估
>>>其他<<<
美国网络安全框架:CSF五个功能
一起看看英国NCSC漏洞指南
网络安全知识:什么是社会工程学
缓解内部威胁:了解并保护关键资产
缓解内部威胁:制定正式的内部风险管理计划
缓解内部威胁:明确记录并持续执行控制措施
缓解内部威胁:预测和管理负面因素工作环境中的问题
联系客服