美國國家安全局和國土安全部的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 （CISA） 當?shù)貢r間10月28日發(fā)布了保護5G云基礎(chǔ)設(shè)施的一系列指導(dǎo)文件中的第一份，關(guān)于保護云原生5G網(wǎng)絡(luò)免受旨在通過拆除云基礎(chǔ)設(shè)施來破壞信息或拒絕訪問的攻擊的指南，該第一部分的主題是防止和檢測橫向移動。該指南來自于持久安全框架 （ESF），ESF是一個由NSA、CISA、國防部、情報界以及 IT、通信和國防工業(yè)基礎(chǔ)公司之間的公私合作伙伴關(guān)系。NSA表示，該5G安全指南的另外三部分將在未來幾周內(nèi)發(fā)布。

　　概要

　　5G 網(wǎng)絡(luò)依靠云基礎(chǔ)設(shè)施來實現(xiàn)敏捷性、彈性和可擴展性。這些網(wǎng)絡(luò)需要安全，因為它們將成為希望造成中斷或破壞信息的威脅行為者的誘人目標。

　　這一重大的安全挑戰(zhàn)源于多個移動網(wǎng)絡(luò)運營商共享物理基礎(chǔ)設(shè)施。CISA和NSA 強調(diào)，云提供商和移動運營商需要分擔安全責任，運營商負責保護他們的云租賃。

　　NSA指出，雖然保護邊界很重要，但如果威脅行為者設(shè)法突破邊界，采取措施限制橫向移動也很重要。限制5G云網(wǎng)絡(luò)中橫向移動的建議包括實施安全身份和訪問管理、保持5G云軟件更新以確保其不受已知漏洞的影響、安全配置網(wǎng)絡(luò)、鎖定隔離網(wǎng)絡(luò)功能之間的通信、監(jiān)控橫向移動跡象，并開發(fā)和部署分析以檢測復(fù)雜威脅行為者的存在。

　　雖然這些建議主要針對云提供商和移動網(wǎng)絡(luò)運營商，但有些也適用于客戶。

　　本指南的其他三個部分將重點關(guān)注隔離網(wǎng)絡(luò)資源、在數(shù)據(jù)生命周期的所有階段（傳輸、使用和靜止）保護數(shù)據(jù)，以及確保基礎(chǔ)設(shè)施的完整性。

　　根據(jù)美國國家安全局（National security Agency）的新指導(dǎo)意見，人工智能和機器學(xué)習(xí)系統(tǒng)可能幫助5G云提供商檢測出復(fù)雜的攻擊者和其他安全事件的存在。盡管技術(shù)供應(yīng)商必須在數(shù)據(jù)保密要求和檢查網(wǎng)絡(luò)流量的能力之間取得平衡，但復(fù)雜的實時持續(xù)監(jiān)控在檢測惡意使用云資源方面可能至關(guān)重要。

　　“5G云堆棧各層的利益相關(guān)者應(yīng)該利用一個分析平臺來開發(fā)和部署分析，處理該層可用的相關(guān)數(shù)據(jù)（云日志和其他遙測數(shù)據(jù)）。分析應(yīng)該能夠檢測已知和預(yù)期的威脅，但也應(yīng)設(shè)計為識別數(shù)據(jù)中的異常，可能表明未預(yù)料的威脅，”該機構(gòu)在文件中說。5G云是指與5G網(wǎng)絡(luò)的好處相匹配的云本地服務(wù)。

　　美國國家安全局下屬的網(wǎng)絡(luò)安全理事會負責人羅布喬伊斯說：“這個系列體現(xiàn)了來自CISA、NSA和行業(yè)的ESF專家的共同努力，及其對國家安全利益的考量。” “應(yīng)用本指南構(gòu)建和配置5G云基礎(chǔ)設(shè)施的服務(wù)提供商和系統(tǒng)集成商將盡自己的一份力量來改善我們國家的網(wǎng)絡(luò)安全。”

　　防范5G云網(wǎng)絡(luò)中的橫向移動

　　“5G網(wǎng)絡(luò)是云原生的，對于希望拒絕或降低網(wǎng)絡(luò)資源或以其他方式破壞信息的網(wǎng)絡(luò)威脅行為者來說，將是一個有利可圖的目標，”聯(lián)合咨詢說。

　　“為了應(yīng)對這種威脅，必須安全地構(gòu)建和配置5G云基礎(chǔ)設(shè)施，具備檢測和響應(yīng)威脅的能力，為部署安全網(wǎng)絡(luò)功能提供強化的環(huán)境。”

　　CISA和NSA表示，5G 服務(wù)提供商和系統(tǒng)集成商可以實施以下措施來阻止和檢測 5G 云中的橫向移動：

　　在5G云中實施安全身份和訪問管理 （IdAM）

　　使5G云軟件保持最新狀態(tài)并避免已知漏洞

　　在5G云中安全配置網(wǎng)絡(luò)

　　鎖定隔離網(wǎng)絡(luò)功能之間的通信

　　監(jiān)測對抗性橫向運動的跡象

　　開發(fā)和部署分析系統(tǒng)以檢測復(fù)雜的攻擊對手的存在

　　有關(guān)5G基礎(chǔ)設(shè)施潛在威脅載體的更多信息可以在CISA與NSA和國家情報總監(jiān)辦公室協(xié)調(diào)發(fā)布的5月份發(fā)布的白皮書中找到。

　　5G網(wǎng)絡(luò)的主要威脅

　　該系列包含了預(yù)防和處理對5G基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊的廣泛指南，是以CISA、NSA和國家情報總監(jiān)辦公室在5月份發(fā)布的《5G基礎(chǔ)設(shè)施潛在的威脅向量》報告為基礎(chǔ)的。除了對連接5G網(wǎng)絡(luò)的云基礎(chǔ)設(shè)施的潛在攻擊之外，5月份的這份報告列出了對美國5G網(wǎng)絡(luò)可能構(gòu)成的威脅，例如：

　　假冒組件——更容易受到網(wǎng)絡(luò)攻擊，并且更容易因為質(zhì)量差而損壞。它們也可以被安裝后門。

　　繼承組件——受損或安全性較弱的組件可能會通過復(fù)雜的供應(yīng)鏈進入美國 5G 網(wǎng)絡(luò)，這需要進行調(diào)查。

　　開放標準——敵對國家可能會為開放標準做出貢獻，以要求包含專有或不受信任的技術(shù)。

　　可選控制——標準可能附帶一些網(wǎng)絡(luò)運營商可能不愿意使用的可選安全控制。

　　軟件/配置——指 5G 設(shè)備中的漏洞，攻擊者可能會利用這些漏洞來破壞設(shè)備及其配置。

　　網(wǎng)絡(luò)安全——對網(wǎng)絡(luò)設(shè)備的攻擊可能允許威脅行為者訪問 5G 基礎(chǔ)設(shè)施。

　　網(wǎng)絡(luò)切片——網(wǎng)絡(luò)運營商能夠根據(jù)連接設(shè)備的類型將其 5G 網(wǎng)絡(luò)劃分為多個區(qū)域。威脅行為者可以突破這些區(qū)域并訪問關(guān)鍵基礎(chǔ)設(shè)施。

　　傳統(tǒng)通信集成——威脅行為者可以利用傳統(tǒng)協(xié)議中的漏洞來訪問 5G 基礎(chǔ)設(shè)施。

　　頻譜共享——可能為惡意行為者提供機會干擾或干擾非關(guān)鍵通信路徑，從而對更關(guān)鍵的通信網(wǎng)絡(luò)產(chǎn)生不利影響。

　　指南的另外三部分

　　5G云基礎(chǔ)設(shè)施安全指南的另外三個部分將重點關(guān)注：

　　n第二部分：安全隔離網(wǎng)絡(luò)資源：確保客戶資源之間有安全隔離，重點是保護支持虛擬網(wǎng)絡(luò)功能運行的容器堆棧。

　　n第三部分：保護傳輸中、使用中和靜態(tài)數(shù)據(jù)：確保網(wǎng)絡(luò)和客戶數(shù)據(jù)在數(shù)據(jù)生命周期的所有階段（靜態(tài)、傳輸中、處理中、銷毀時）都得到保護。

　　n第四部分：確保基礎(chǔ)設(shè)施的完整性：確保 5G 云資源（例如容器鏡像、模板、配置）不被未經(jīng)授權(quán)修改。

　　延伸閱讀：歐盟對5G安全風(fēng)險的評估

　　兩年前，即2019年10月，歐盟（EU）成員國還發(fā)布了一份關(guān)于5G網(wǎng)絡(luò)安全的協(xié)調(diào)風(fēng)險評估。該報告確定了主要威脅和威脅參與者、最敏感的資產(chǎn)以及可用于破壞它們的主要安全漏洞。

　　5G安全風(fēng)險評估報告強調(diào)了使用單一設(shè)備供應(yīng)商背后的危害，如果大量運營商使用來自高風(fēng)險供應(yīng)商的設(shè)備，設(shè)備短缺和5G解決方案的多樣性極大地擴大了5G基礎(chǔ)設(shè)施的整體脆弱性。

　　與 5G 網(wǎng)絡(luò)相關(guān)的安全挑戰(zhàn)還與網(wǎng)絡(luò)和第三方系統(tǒng)之間的連接以及第三方供應(yīng)商對國家 5G 網(wǎng)絡(luò)的訪問權(quán)限增加有關(guān)。

　　歐盟的報告概述了在歐盟成員國內(nèi)推出5G網(wǎng)絡(luò)所產(chǎn)生的以下安全后果：

　　n增加遭受攻擊的機會，并為攻擊者提供更多潛在的入口點。

　　n由于5G網(wǎng)絡(luò)架構(gòu)的新特點和新功能，某些網(wǎng)絡(luò)設(shè)備或功能變得更加敏感，例如基站或網(wǎng)絡(luò)的關(guān)鍵技術(shù)管理功能。

　　n與移動網(wǎng)絡(luò)運營商對供應(yīng)商的依賴相關(guān)的風(fēng)險增加，這將導(dǎo)致可能被威脅行為者利用的攻擊路徑數(shù)量增加，并增加此類攻擊影響的潛在嚴重性。

　　n在供應(yīng)商推動的攻擊風(fēng)險增加的背景下，個別供應(yīng)商的風(fēng)險狀況將變得尤為重要，包括供應(yīng)商受到非歐盟國家干擾的可能性。

　　n對供應(yīng)商的主要依賴增加了風(fēng)險：對單一供應(yīng)商的主要依賴增加了潛在供應(yīng)中斷的風(fēng)險，例如，由于商業(yè)失敗及其后果。

　　n對網(wǎng)絡(luò)可用性和完整性的威脅 將成為主要的安全問題。

　　歐盟成員國關(guān)于 5G 網(wǎng)絡(luò)安全風(fēng)險的聯(lián)合報告中提供了更多信息，包括有關(guān)漏洞、風(fēng)險情景和緩解措施/安全基線的詳細信息。