Спецпроекты

Как обеспечить безопасность сетей 5G

Безопасность Телеком

Возможности сетей 5G не ограничиваются рекордной скоростью мобильного интернет-доступа. Новый стандарт мобильной связи может стать универсальной инфраструктурой взаимодействия людей, умных устройств, организаций и целых отраслей экономики. Но всеобщая связанность имеет обратную сторону — появление более масштабных киберугроз. Об основах обеспечения безопасности сетей 5G рассказал Александр Зубарев, директор по информационной безопасности компании Huawei в России.

Применение сетей 5G

В отличие от предыдущих поколений мобильных сетей, ориентированных, в основном, на массового потребителя (услуги голосовой связи, мобильного доступа в интернет), стандарт 5G развивается преимущественно в интересах корпоративного и государственного сектора. Предлагаются три основных сценария использования сетей 5G.

Первый — сверхширокополосная мобильная связь (eMBB) с пиковой скоростью передачи данных до 25 Гбит/с. Она может применяться для прямых трансляций 4K, сервисов AR/VR, облачных игр и оказания других услуг с высоким объемом трафика.

Второй — сверхнадежная межмашинная связь с низкими задержками (URLLC), для которой характерно сокращение задержек передачи данных до 1 мс. Этот сценарий будет востребован в интересах беспилотного транспорта или для дистанционных технологий, например, в роботизированной хирургии.

Третий — массовая межмашинная связь (mMTC), для которой доступна поддержка до 1 млн подключений к базовой станции на 1 кв.км. Этот тип связи найдет применение в развитии потребительского и промышленного интернета вещей (электроснабжение, производство, безопасный город и пр.).

Сравнение технологий LTE и 5G по основным показателям

Источник: Huawei, 2020

Архитектура и ландшафт угроз безопасности

Рассмотрим основные особенности архитектуры сетей 5G и связанные с ними проблемы безопасности.

1) Сеть радиодоступа (RAN) основана на новом стандарте 5G NR (New Radio), реализующем необходимые для заданного сценария характеристики: пропускную способность, минимальные задержки или массовые подключения. Согласно концепции конвергентной архитектуры, иные сети радиодоступа (Wi-Fi, 4G-LTE) должны подключаться к единому ядру сети 5G. Понятно, что большое число подключений и высокая пропускная способность увеличивают поверхность атаки. ИВ-устройства менее устойчивы к взлому.

2) Архитектура опорной сети (ядро сети или 5G Core) основана на облачных технологиях и виртуализации сетевых функций (SDN, NFV), позволяющих создать множество независимых сегментов и поддерживать таким образом сервисы с различным набором характеристик. Сегментирование также позволяет операторам предоставлять сетевую инфраструктуру в виде сервиса для организаций. При этом можно говорить о более серьезных последствиях сбоев или злоупотреблений с учетом масштаба использования.

Общая архитектура 5G-сети

Источник: Huawei, 2020

3) 5G предполагает активное использование технологии периферийных вычислений (MEC). Это могут быть, в частности, корпоративные приложения, работающие на сети операторов: интеллектуальные сервисы, финансовые сервисы, мультимедиа. Следует добавить, что в этом случае происходит интеграция операторских сетей 5G в корпоративную инфраструктуру. Это создает новые возможности проникновения в корпоративные сети, в том числе и благодаря размещению оборудования MEC вне защищенного периметра организации.

4) Централизованная инфраструктура управления сетью (O&M) усложняется за счет необходимости одновременной поддержки большого числа сервисных сегментов. Это приводит к более серьезным последствиям злоупотребления ресурсами и/или ошибок конфигурации O&M.

Cегментированая архитектура 5G-сети, включая МЕС и внешние сети, используемая для описания угроз безопасности

Источник: Huawei, 2020

Наиболее значимые угрозы для каждого из главных компонентов сети 5G

Угрозы для RAN Угрозы для опорной сети и сервисов оператора Угрозы для MEC Угрозы для инфраструктуры 5G из внешних сетей
  • DDoS-атаки от терминальных устройств;

  • Внедрение поддельных базовых станций;

  • Атаки на беспроводные интерфейсы — перехват, подмена пользовательских данных.

  • Программные и аппаратные сбои элементов ядра, ошибки конфигурации;

  • Внедрение вредоносного кода или эксплуатация уязвимостей компонентов инфраструктуры;

  • Нарушение изоляции сегментов, НСД к сегменту.

  • Физический доступ нарушителя к оборудованию;

  • Поддельное или уязвимое стороннее приложение в экосистеме;

  • Проникновение в корпоративные или операторские сети из узлов MEC.

  • DDoS-атаки из интернета;

  • НСД к API поставщиков сервисов;

  • НСД к интерфейсу управления из внешних сетей.

Подход к защите

Основываясь на редакциях разрабатываемого стандарта 5G, а также на опыте компании Huawei в области разработки комплексных защитных решений, определим, какие меры будут необходимы для противодействия угрозам в сетях 5G.

Защита на уровне стандарта

  • Разделение слоев протокола передачи данных на три плоскости: User Plane, Control Plane, Management Plane. Изоляция, шифрование и контроль целостности плоскостей. Шифрование абонентского и сигнального трафика.
  • Увеличение длины ключа шифрования трафика с 128 бит до 256 бит (в новой редакции стандарта);
  • Единый механизм аутентификации абонентов для различных типов беспроводной связи;
  • Поддержка гибких политик безопасности для сегментов.
Трансформация технологии 4G в 5G

Источник: Huawei, 2020

Следует отметить, что не исключается возможность использования и ГОСТ шифрования в сетях 5G при условии, что он будет соответствовать требованиям спецификаций безопасности стандарта 3GPP. Тогда его реализация и поддержка будут обеспечиваться при участии вендора и российских разработчиков, имеющих соответствующую лицензию ФСБ России. Но для этого надо подать заявку в 3GPP и пройти процедуры одобрения.

Защита на уровне решений, оборудования и инфраструктуры сети

  • Многоуровневая изоляция и защита целостности компонентов SDN и VNF — гипервизора, виртуальных машин, ОС, контейнеров;
  • Обеспечение высокой доступности виртуальных машин для быстрого восстановления после атак;
  • Аутентификация приложений MEC, авторизация запросов API;
  • Дополнительный фактор аутентификации при доступе к корпоративной сети, белый список устройств и служб;
  • Защищенные каналы связи между базовой станцией, MEC и корпоративной сетью;
  • Доверенная аппаратная среда — безопасная загрузка устройств, TEE;
  • Обнаружение атак в реальном времени на сетевых узлах и элементах виртуальной инфраструктуры с использованием алгоритмов ИИ.

Защита на уровне управления сетью

  • Многофакторная аутентификация и разграничение доступа к сегментам со стороны O&M;
  • Средства обнаружения поддельных базовых станций на основе мониторинга событий обслуживания;
  • Безопасное управление жизненным циклом пользовательских данных, а также аналитических и служебных данных оператора — шифрование, анонимизация, безопасное хранение и удаление;
  • Централизованное управление уязвимостями, политиками ИБ, анализ больших данных для обнаружения аномалий и раннего реагирования на атаки (SOC).

Важно отметить, что безопасность сетей 5G не ограничивается техническими мерами защиты и складывается из совместных усилий доверяющих друг другу сторон: разработчиков стандарта, регуляторов, вендоров, операторов и поставщиков услуг. Поддерживая укрепление доверия между сторонами, компания Huawei участвует в разработке стандарта 5G в составе консорциума 3GPP, а также предлагает рынку варианты комплексных защищенных решений.

Более того, совместно с ведущими вендорами — поставщиками телеком-решений — Huawei активно участвует в реализации новой схемы мобильной кибербезопасности, запущенной совместно GSMA и 3GPP с различными регуляторами кибербезопасности — NESAS/SCAS (Network Equipment Security Assurance Scheme/Security Assurance Specifications).

Преимущества NESAS/SCAS:

  • Дает возможность обеспечить защиту для наиболее специфичных для промышленности точек доступа и связанных с ними угроз безопасности, таких как радиоинтерфейс, NAS, веб-безопасность и т.д.
  • Предоставляет унифицированные спецификации, которые можно измерить, увидеть, сопоставить, понять и применить.
  • Снижает фрагментации требований к безопасности и сокращает ненужные затраты операторов.

Операторам использование этих решений позволит сократить время и затраты на оценку поставщиков, определит строгие и унифицированные стандарты безопасности и обеспечит эти высокие уровни безопасности.

В заключении хотелось бы рекомендовать создание совместных (вендор-оператор-OTT провайдер-B2B- и B2G-клиенты) инновационных проектов, направленных на проверку того, как коммерческие продукты для сетей 5G могут использовать стандарты кибербезопасности и рекомендуемые практики для соответствующих случаев и сценариев их использования. С помощью таких проектов также можно на практике продемонстрировать, как могут быть правильно использованы и улучшены функции безопасности 5G.

Автор выражает благодарность своим коллегам Дмитрию Конареву и Юлии Чернокожиной за участие в работе над материалом.