2021 年服务提供商威胁形势报告
随着服务提供商开始为数字化转型做好准备,他们需要深入了解移动电信生态系统的威胁形势。 数字化转型意味着服务提供商必须同时管理多个网络——3G、4G 和 5G,每个网络都有各自的复杂性和脆弱性。 这意味着服务提供商不仅要应对日益复杂的网络,还必须解决日益增加的攻击面。 减轻和管理现有威胁并预测 5G 安全需求对于提供网络安全和确保客户信任至关重要。
随着安全威胁变得越来越普遍和复杂,了解这些威胁的来源可以更轻松地建立适当的防御措施
图 1: 服务提供商威胁形势
随着 5G 降低延迟、提高带宽,服务提供商将面临越来越多的连接设备。 GSMA 预测,到 2025 年,服务提供商将需要支持:
- 88 亿个 SIM 卡连接
- 50亿移动互联网用户1
随着联网设备数量的增加,攻击也会随之增加,包括利用大多数用户认为理所当然的简单日常任务中固有漏洞的攻击。 该图列出了客户采取的一些可能增加其受到攻击的可能性的活动。 安全部门必须保护客户免受这些漏洞的侵害,并在攻击者重新调整以绕过对策时进行调整。
图 2: 即使是简单的日常任务也存在可能使用户面临风险的漏洞
针对移动用户的其他攻击包括:
- 凭证验证(也称为撞库攻击)
- 手机升级盗窃
- SIM 卡泄露
- 第三方应用和服务滥用
5G网络威胁
5G带来了网络复杂性的增加和连接设备数量的急剧增加。 连接的设备越多意味着攻击面越大,可能遭受复杂和恶意的攻击。 随着攻击面扩大,评估和拦截网络安全风险将变得更加困难。 将讨论几种威胁,例如物联网、信令、API 和 N6/Gi-LAN 威胁。
物联网威胁
GSMA预计,2025年物联网连接数量将达到246亿。2 物联网设备在僵尸网络中的应用越来越多。 僵尸网络(用于发起恶意攻击的受感染网络设备)最常用于进行分布式拒绝服务 (DDoS) 攻击。 随着 5G 网络被医疗保健、制造业、金融科技、政府等行业所采用,防范僵尸网络变得更加重要。 最近的一项研究证实,物联网安全是服务提供商最关心的问题;39% 的受访者已经在实施物联网安全措施,另有 27% 的受访者将在 2021 年采取措施。3
图 3: 服务提供商正在实施物联网安全措施4
服务提供商必须解决 5G 网络部署中流量增加所带来的信令挑战。 随着服务提供商迁移到 5G 以及标准的发展,4G 和 3G 网络中的遗留安全问题也必须得到解决。
图4: 影响服务提供商的信号威胁
信令安全对于服务提供商来说至关重要。 根据 Heavy Reading 分析师报告,控制平面安全的三大优先事项是 NEF(41%)、5G HTTP/2 信令防火墙(40%)和 NRF(37%)。 令人担忧的是,有两组服务提供商占所有服务提供商的 28-38%,他们计划在商业发布后的 12-17 个月或 18-24 个月内实现这些功能。 由于5G将与4G网络共存,服务提供商需要时间来确保与现有4G安全网络平台的无缝互通,这使得安全实施变得更加重要。5
图5: 对问题的答复: 您计划何时实施以下 5G 控制平面安全功能?(n=100)6
API 威胁
API 威胁 5G 网络核心基于 SDN/NFV,大量使用 HTTP/2 和 REST API 协议。 由于这些协议在互联网上众所周知且被广泛使用,因此任何不良行为者都可以使用查找和利用漏洞的工具。 Web 安全面临着广泛的挑战;尽管 IT 和安全行业尽了最大努力,但受到良好保护的网站仍然只是例外,而不是常态。 平均每个 Web应用包含 33 个漏洞,67% 的 Web应用包含高风险漏洞。7 API 专为机器对机器的数据交换而设计;许多 API 代表着通向敏感数据的直接路径。 这意味着大多数 API 端点至少需要与 Web应用相同程度的风险控制。
图6: 当受访者被问及何时开始支持 API 安全功能时,66% 的受访者表示他们将在 2021 年实现安全功能8
S/Gi-LAN /N6 安全
N6 LAN(以前称为 S/Gi-LAN)是位于用户平面功能(UPF)和互联网之间的接口。 N6 LAN 功能通常会合并以优化网络性能并降低成本。 此接口是通向互联网的网关,必须得到妥善保护。 通常位于此处的一些安全功能包括: 运营商级网络地址转换 (CGNAT) N6 (Gi) 防火墙 DDoS 防护 IoT 防火墙 用户安全服务 安全 DNS 缓存 服务提供商继续看到传统 Gi-LAN 产品在其 5G 产品组合中发挥的作用。 下图显示了一项调查的结果,其中服务提供商被要求对 Gi-LAN/N6 解决方案产品进行排名。 防火墙、DDoS 缓解和 CGNAT 代表三大安全问题。
图 7: 回答问题: 以下现有的 Gi-LAN 基础设施安全解决方案对于确保 5G 部署有多重要? (排名 1 = 重要性最高,排名 7 = 重要性最低)(n=96–100)9
边缘威胁
服务提供商将能够通过为企业创新提供边缘用例来实现其 5G 网络的盈利。 5G 网络是分散的,并采用分布式、多云架构。 在分布式云模型中,云服务从边缘设备一直延伸到5G核心数据中心。 边缘计算增加了服务提供商的安全风险,物联网设备、增加的数据量和边缘基础设施都为不法分子提供了丰富的目标。
随着混合和多云架构的出现,许多服务提供商正在采用零信任安全模型。 零信任安全使用从每个订阅者收集的实时信息。 分析师报告称,93% 的受访者正在研究、实施或已经完成零信任计划。10 物联网设备的迅猛增长为采用零信任安全模型提供了进一步的动力,以免僵尸物联网设备以 5G 的速度发动 DDoS 攻击。
图 8: 服务提供商正在采用“永不信任,始终验证”的零信任模型12
云安全
尽管大多数移动网络使用私有云,但边缘位置越来越依赖公共云解决方案。 移动网络运营商正在与超大规模提供商合作构建能够吸引企业行业的边缘解决方案。 每个服务提供商都有不同的架构、部署计划和时间表,但所有这些都必须通过确保最终用户体验质量 (QoE) 的安全策略来告知。 在 2020 年应用服务状况报告中: 在电信版中,我们报告称 90% 的受访者在多云环境中运营,其中大多数受访者表示,安全性是其规划网络时的主要考虑因素。13 在服务提供商中,90% 的人根据其特定用例选择云基础设施。 根据应用匹配云服务可以推动运营改进,并可以使服务提供商利用云提供商提供的功能。
图 9: 服务提供商根据其业务需求定制其云基础设施用例。15
结论
随着服务提供商踏上 5G 迁移之旅,他们面临着整个数字环境中的全新网络安全威胁,从设备到边缘到 5G 网络再到云端。 为了减轻这些威胁,他们必须在构建 5G 网络并将其与现有基础设施相结合的每一步中主动将安全性纳入其中。
联系我们,了解有关 F5 如何帮助您采取强大的 5G 安全态势的更多信息。
1 GSMA: 2020 年移动经济
2 GSMA: 2020 年移动经济
3,4,5,6 重度阅读,5G安全: 云原生威胁管理的多面艺术
10 AT&T 网络安全: 5G 和边缘之旅 2021
12 AT&T 网络安全: 5G 和边缘之旅 2021
13,14,15 F5: 2020 年application服务状况报告(电信版)