在5G环境中,物联网安全的各种问题都会得到放大。企业在部署自己的物联网设备之前,需要解决七个问题。
高速的5G移动网络不仅可以使人们更高效地连接,而且还可以实现对机器、对象和设备更高的互连性和更好的控制。其更大带宽、更高数据传输速率、低延迟和高容量将为消费者和企业带来福音。随着5G的广泛应用,也将面临一些重大安全风险。
例如,全球家电制造商惠而浦公司开始为旗下一家工厂推出5G,该公司在此过程使用物联网设备进行预测性维护、环境控制、使用传统局域网WiFi网络进行流程监控,但是5G可以使该公司能够实现WiFi不可能完成的事情:调度自动叉车和其他车辆。
惠而浦北美地区IT和OT制造基础设施应用程序经理Douglas Barnes说:“我的工厂里有很多金属物品,WiFi会被金属产品反射。但是5G技术会穿透墙壁,并且不会被金属反射。而一旦5G技术在工厂部署,我们的业务可能发生巨大的改变。这将使我们能够在工厂使用真正的自动驾驶车辆进行维护、交付,以及支持生产的一切工作。这个业务案例具有示范意义,并将节省大量成本。5G的回报非常可观。”
他说,该公司已经进行了测试,以使自动驾驶汽车能够工作。并将在本月分配资金,自动驾驶车辆将在今年年底前采用5G技术。他说,“如果我们采用5G实现这些目标,那么自动驾驶汽车的商业案例将会获得更大的成功。”
Barnes敏锐地意识到物联网已经为企业带来的网络安全问题,以及这些问题在多大程度上会因为采用5G技术而加剧。惠而浦公司与5G技术合作伙伴AT&T公司合作解决了这些问题。他说,“我们每天都在应对网络安全问题。因此在开始实施之前,我们和AT&T公司讨论的前几件事之一就是它将如何成为一个安全的网络。”
以下是惠而浦等公司在制定5G实施计划时需要考虑的七个关键问题。
1.加密和保护5G网络流量
借助5G,预计物联网设备的数量将急剧增加,这些网络上的流量也会随之增加。根据调研机构Gartner公司的调查,2020年全球物联网设备的数量将增加到58亿台,比今年预计的48亿台物联网设备总数增加21%。这使得这些网络成为网络攻击者的一个目标丰富的环境。
Barnes说,为了解决这个问题,惠而浦公司将加密5G数据流量,并将5G天线配置为只接受经批准的数据流量。他说,“当我们添加设备时,将它们配置为5G上可接受的设备。如果没有列入白名单,我们就不会添加。而且由于它是加密的,所以我不会担心有人捕获该信号,因为他们对此无能为力。”
他说,如果数据流量离开本地网络,并通过公共5G或全球互联网传输,则将通过受保护的VPN隧道来保护通信。他说:“由于可能须使用5G与外界进行通信,因此我们预先进行了设置。”
2.保护和隔离易受攻击的设备
Barnes说,“下一个潜在的弱点是物联网设备本身。物联网的一些行业人士都没有这样的安全意识。尤其是通常具有专用操作系统的工业设备,这些设备无法安装禁止其使用的补丁程序或许可证,它们在设计时并没有考虑补丁。”
Barracuda Networks公司高级安全研究员Jonathan Tanner表示,事实上,大多数物联网安全问题都没有得到解决。他说,某些设备存在固件更新无法修复的问题,或者没有更新固件的机制。即使设备制造商在下一代设备上增加了安全功能,那些不安全的原有设备仍然处于危险之中。
Tanner补充说,有些公司并不在意,并忽略了指出漏洞的安全研究人员的建议。他说,“设备存在很多漏洞并且易受攻击的一些企业已经倒闭。”
当企业使用这些不安全的物联网设备时应该怎么办?惠而浦公司的Barnes说,网络隔离有助于保护它们,并与其他网络安全技术结合使用。他说,“我们采用两层方法。监视所有流量的网络安全性,以及更受协议驱动的二级安全性,可执行深入的数据包检查,查找协议中嵌入的恶意活动类型。”
除此之外,还有通用的安全卫生措施,例如尽可能地打补丁,定期对设备进行安全审计,物联网设备都具有完整的设备清单。
3.为更大的DDoS攻击做好准备
一般来说,5G并不意味着比前几代无线技术的安全性更弱。诺基亚威胁情报实验室主任Kevin Mcnamee表示:“5G确实带来了4G或3G所无法提供的新安全功能,有了5G,整个控制平台都被转移到了一种Web服务类型的环境中,在这种环境中,它经过了严格的认证,而且非常安全。”
McNamee说,僵尸网络机会的增加将影响安全性的提高。他说,“5G将大大增加设备可用的带宽。增加带宽会增加物联网机器人可用的带宽。”
增加带宽将用于解决的问题之一是查找更多易受攻击的设备并传播感染,并且僵尸网络将会发现更多易受攻击的设备。消费者正在大量购买智能家居设备。与惠而浦公司一样,很多企业也是物联网设备的大用户,政府机构和其他类型的组织也是如此。
5G将使物联网设备可以放置在难以维护的偏远地区。ESET公司安全研究员、俄勒冈州无线互联网服务提供商协会联合主席Cameron Camp说,“将会有大量的传感器记录从天气、空气质量到视频馈送的内容。这意味着有大量新的机器可能被黑客入侵。并加入僵尸网络。由于这些传感器大部分无人值守,黑客将难以发现和应对。”
物联网设备也往往会使用一段时间,用户不会替换仍然可以实现预期功能的物联网设备。网络攻击者希望对他们的僵尸网络采取低调的方法,以使不会引起注意。即使提供可用的补丁程序,或制造商销售更新的、更安全的设备版本,很多客户也可能不会进行更改。同时,许多智能物联网设备正在运行诸如嵌入式Linux之类的真实操作系统,从而使它们可以很大程度上发挥作用。被感染的设备可用于托管非法内容、恶意软件、命令和控制数据以及对攻击者有价值的其他系统和服务。用户不会将这些设备视为需要防病毒保护、修补和更新的计算机。许多物联网设备没有保留入站和出站流量的日志。这使攻击者可以匿名,并使得关闭僵尸网络更加困难。
这就构成了三重威胁。潜在可利用设备的数量、僵尸网络的可用带宽,以及DDoS攻击的可用带宽增加。企业现在需要为5G环境中出现的DDoS攻击做好准备,因为许多设备仍然不安全,有些设备无法打补丁。
4.转移到IPv6可能会使专用全球互联网地址公开
随着设备的激增和通信速度的提高,企业可能会倾向于使用IPv6代替当今常见的IPv4。允许更长IP地址的IPv6在2017年成为互联网标准。
现在只有43亿个IPv4地址,今后没有足够的IPv4地址可以访问。在2011年,一些注册管理机构的IP v4地址供不应求,而组织于2012年开始使用IPv6地址。但是,根据国际互联网协会的数据,如今,只有不到30%的谷歌用户通过IPv6访问该平台。
诺基亚公司的McNamee表示,许多组织以及几乎所有住宅设备和许多移动电话网络都没有使用IPv6,而是使用私有IPv4地址。他说:“这为他们提供了免受攻击的保护措施,因为它们在互联网上不可见。”
随着全球转向5G,运营商自然会转向IPv6,以支持数十亿台新设备。如果他们选择公共IPv6地址而不是私有地址,那么这些设备现在将是可见的。他说,这不是IPv6的问题,也不是5G的问题,但是将其设备从IPv4迁移到IPv6的企业可能会意外地将其放置在公共地址上。
5.边缘计算增加了攻击面
希望为客户或他们自己分散的基础设施减少延迟并提高性能的企业越来越多地关注边缘计算。借助5G,端点设备将具有更多的通信能力,边缘计算的优势将变得更大。
边缘计算还大大增加了潜在的攻击面。尚未开始使用零信任网络架构的企业应该在考虑对边缘计算基础设施进行大量投资之前就考虑这个问题。当他们确实做到这一点时,安全性是优先要考虑因素,而不是事后考虑。
6.新的物联网厂商专注于快速进入市场,而不是安全性
物联网淘金热将激励新的物联网供应商进入该领域,并鼓励现有的供应商将新设备推向市场。Barracuda公司的Tanner说,物联网设备的数量已经远远超过寻找漏洞的安全研究人员的处理能力。他说,随着新制造商的加入,人们将看到一个几乎全新的安全错误周期。
同样的错误多次地出现,物联网设备的漏洞正在上升,而不是下降。他说,“一些物联网厂商并没有吸取他人的教训。”
A-lign公司法规遵从性和安全性部门的渗透测试实践负责人Joe Cortese表示,“一些物联网供应商对此并不在乎。今年早些时候,我购买了五台应用物联网设备的智能灯具,并且能够从屋外访问其中的四台设备。这些设备内置了测试模式,而供应商方并没有删除。”
Cortese说,很多供应商都希望成为第一个进入物联网市场的厂商。对于许多供应商而言,很快推出设备的方法是使用嵌入式Linux之类的现成平台。他说:“最近,我发现了一种物联网恶意软件,该恶意软件可以破坏物联网设备。没有加强物联网设备安全的制造商很容易受到这种攻击”
网络攻击者可以使用它来关闭工厂或关键基础设施,或攻击企业的系统进行勒索。Cortese说,“我现在还没有看到这种事情的发生,但这只是因为5G尚未广泛部署。随着5G的更多采用和物联网的增加,我们可能会看到诸如制造业等系统的利用大大增加。”
7.有人需要拥有物联网安全性
物联网安全的很大障碍不是技术而是心理。没有人愿意承担责任,他们都在责怪别人。买方责怪卖方未确保其设备安全,而卖方责怪买方选择了更便宜、更不安全的产品。在5G世界中,忽视物联网安全的后果将会更大。
根据Radware公司去年发布的一项调查,34%的受访者认为设备制造商应对物联网安全负责,11%的受访者认为服务提供商应该负责,21%的受访者认为应是个人消费者负责,35%的受访者认为商业组织应该负责。Radware公司战略副总裁Mike O’Malley说,“换句话说,人们对于谁来承担责任没有达成共识。”他表示,出现这种情况,通常因为消费者不具备这些知识或技能,企业的员工不够,制造商不太协调,无法控制等多方面因素。
企业可以与服务提供商合作来承担一些负担,但这不能解决消费类设备不安全、制造商不愿进行更改,以及缺乏一致的全球监管法规和实施的问题。
每个人都应对物联网安全负责。买家需要坚持要求购买的产品没有默认密码或测试模式,则须对通信进行加密和认证,并且设备要定期进行补丁和更新。供应商需要将不安全的设备下架,在产品设计过程开始时就考虑安全问题,而不是在出现问题之后才开始考虑。