Михаил Кондрашин, технический директор Trend Micro в СНГ, Монголии и Грузии
Михаил Кондрашин,
технический директор Trend Micro в СНГ, Монголии и Грузии
20.06.2019

Новые сетевые решения создают новые риски и добавляют новые угрозы. В сетях 5G эта ситуация проявляется особенно ярко, поскольку технологию стремительно внедряют во всём мире, а старые подходы к обеспечению безопасности практически не работают. Рассказываем, какие особенности 5G вынуждают Chief Information Security Officer (CISO) менять парадигму и переходить от модели угроз к архитектуре безопасности.

Главное о сетях 5G

5G — это технология для построения беспроводных сетей пятого поколения. Главные отличия 5G от 4G/LTE — это более высокая скорость и надёжность, значительно выросшая пропускная способность и новая архитектура для взаимодействия с IoT/IIoT. Среди особенностей сетей нового поколения:

  • Enhanced MBB, eMBB — усовершенствованный мобильный широкополосный доступ,
  • Ultra-Low Latency Reliable Communication, ULLRC — сверхнадёжные коммуникации с низкой задержкой,
  • Massive IoT/IIoT, мMTC, massive Machine Type Communication — массовые межмашинные коммуникации.

Фундаментальное отличие сетей 5G от сетей предыдущих поколений в том, что они программно-определяемые (SDN, Software-Defined Networks). Вся сетевая архитектура виртуализирована, топология и функциональные особенности реализуются программно, а обработка данных происходит на серверах в дата-центрах, а не на базовых станциях, которые благодаря этому чрезвычайно компактны по сравнению с базовыми станциями 4G.

Высокая пропускная способность позволяет сетям 5G взаимодействовать с огромным количеством абонентов, плотность размещения может достигать нескольких миллионов устройств на квадратный километр. Это делает 5G идеальными сетями для подключения IoT и IIoT — бытовых и промышленных датчиков, видеокамер и другого оборудования. Возможности сетей 5G позволяют строить умные дома, города и производства, ведь можно установить датчики буквально на каждый квадратный метр. Сверхнадёжные коммуникации с низкой задержкой и огромной пропускной способностью делают реальностью дистанционные хирургические операции и просмотр видео в формате 8К.

Новые угрозы сетей 5G

Технологические возможности сетей 5G настолько велики, что требуют совершенно нового подхода к обеспечению безопасности. Ведь бесчисленное множество IoT-устройств представляет собой идеальную среду для построения ботнетов и организации DDoS-атак. Особенно если вспомнить, что они в огромном количестве будут присутствовать в "умных" домах и городах, в банках и практически каждой части критической информационной инфраструктуры.

Для предприятий рост количества 5G-устройств означает большее число конечных точек, каждая из которых может стать плацдармом для проникновения в корпоративные сети. Ещё одна проблема, связанная с появлением в сети 5G нового типа абонентов — устройств IoT/IIoT — состоит в том, что эти устройства имеют многие сотни и тысячи разновидностей, каждая из которых имеет различные варианты сетевого поведения.

Усугубляет ситуацию отсутствие окончательного стандарта безопасности для сетей 5G и выявляющиеся проблемы с безопасностью. Например, уже были выявлены проблемы с протоколом Authentication and Key Agreement (AKA), который используется в 5G. Обнаруженные в AKA недостатки позволяют, в частности, обнаружить присутствие телефона в определённом районе, хотя и не раскрывают при этом личность владельца. Кроме того, из-за уязвимостей АКА может ошибочно списываться плата за использование сети 5G другим пользователем.

Старая модель безопасности не работает для 5G

С приходом сетей пятого поколения ИБ-службы лишаются своего привычного инструментария в виде стандартных наборов правил для файрволлов, систем IPS/IDS и SIEM. Перестают работать блэклисты, сигнатурный и поведенческий анализ, — всё, что опирается на принцип "запретить всё, что не разрешено". Большая часть ИБ-комплексов, моделей угроз и правил для машинного обучения оказывается просто неприменима: их применение без учёта изменившихся в 5G условий приводит к настоящему отказу в обслуживании, когда блокируется работа целых сетей нормально функционирующих датчиков. 

Традиционные системы поведенческого анализа не смогут выявить аномальное поведение абонентов-устройств, поскольку то, что для одного типа устройств будет свидетельствовать о ботнет-заражении, для других может быть вполне легитимным сетевым поведением.

Невозможность с нужной степенью достоверности определить заражение устройств по трафику, который они создают, — это критическая проблема. Для систем сетевого контроля, опирающихся на обычный анализ трафика, самая безобидная клиентская активность устройств в программно определяемых сетях выглядит как статистическая аномалия. Это вызывает ложноположительные срабатывания с последующим добавлением в "белый" список "по требованию бизнеса". Постепенно все устройства с аномальным поведением попадают в белый список и становятся невидимками: система их не контролирует, считая, что всё, что они делают, — нормально. Использование таких решений утрачивает ценность, поскольку большая часть трафика просто пропускается без какого-либо анализа.

Таким образом, переход от сетей, реализованных на физическом оборудовании, к программно-определяемым сетям будет выглядеть для ИБ-служб как сбой, поскольку эффективность работы ранее доверенных ИБ-архитектур будет стремиться к нулю.

Выход из этой ситуации — в смене парадигмы и применении новых методов изучения трафика на базе бизнес-ориентированного машинного обучения, к системе, называемой оркестрацией безопасности (Security Orchestration).

От модели угроз к архитектуре безопасности

Новый подход к управлению безопасностью сетей 5G потребовал разработки новых концепций и новых сущностей, которые охватывали бы различные технологические и организационные аспекты и обеспечивали более целостное управление процессами. Для разработки стандартов безопасности сетей пятого поколения был создан международный проект 5G-Ensure, к участию в которому привлекли учёных и специалистов из Nokia, Ericsson и других европейских компаний при поддержке правительств стран-участников.

Участники проекта проанализировали инфраструктуру сетей 5G и предложили новую архитектуру безопасности, которая учитывает изменения сетей 5G по сравнению с сетями предыдущего поколения. Документ A Security Architecture for 5G Networks предлагает рассмотреть архитектуру безопасности, направленную на защиту сетей нового поколения в изменившихся условиях.

Основные компоненты архитектуры безопасности сетей 5G — это домены (domens), слои (strata), области безопасности (security realms) и классы управления безопасностью (security control classes).

Домен — это один или несколько сетевых объектов, сгруппированных в соответствии с их физическими или логическими свойствами, существенными для сети 5G.

Слой — это группа протоколов, данных и функций, связанных с одним аспектом услуг, предоставляемых одним или несколькими доменами.

Область безопасности охватывает потребности безопасности одного или нескольких слоёв или доменов.

Класс управления безопасностью — концепция, которая объединяет функции и механизмы безопасности, включая защиту и контрмеры.

Именно классы безопасности содержат функции и механизмы, которые позволяют обнаруживать и блокировать угрозы, а также минимизировать риски.

В отличие от сетей предыдущего поколения с трёхуровневой моделью доверия, содержащей мобильного оператора, сервис-провайдера и конечного пользователя, в сетях 5G добавляется ряд других участников сети со своими ролями и функциями. Это требует более сложной модели взаимоотношений, которая реализуется с помощью доменов.

В архитектуре безопасности 5G можно выделить:

  • Домены-арендаторы (tenant domains) — они группируют все логические аспекты сети;
  • Инфраструктурные домены — физические аспекты сети;
  • Составные домены — объединяют функции владения, администрирования и т.п.
  • Домены пользовательского оборудования
  • Домены сети оператора
  • Домены сети провайдера

Многокомпонентная архитектура безопасности позволяет реализовать самые сложные отношения между элементами сети.

В сетях 2G, 3G и 4G не было никакого различия между инфраструктурными доменами и доменами арендаторов. Но для сетей 5G это различие является фундаментальным, поскольку в них активно используются виртуализация и программно определяемые сети (SDN).

Дополнительную гибкость в реализации архитектуры безопасности даёт технология слоёв (Network Slicing). Она позволяет на базе единого набора сетевых ресурсов производить логическое разделение сетей для различных типов услуг 5G, которым требуются различные технологии радиодоступа с различными характеристиками сред передачи данных. Каждому слою можно назначить свой набор требований безопасности и определить перечень наиболее характерных угроз.

Процесс применения архитектуры безопасности состоит из следующих шагов:

1. Разрабатывается модель сети 5G, которая состоит из физических и логических доменов верхнего уровня. Каждый из доменов должен иметь владельца, администраторов и функциональную область.

2. Определяются интерфейсы, с помощью которых домены обмениваются данными. Для каждого интерфейса формируется перечень информации для обмена, а также набор протоколов (слоев) и назначаются области безопасности.

3. Для каждого интерфейса задаются доверительные отношения между доменами, которые обмениваются информацией.

4. Определяются риски уязвимостей и угрозы, разрабатываются необходимые меры безопасности. Важный шаг — определение ответственных за принятие мер в случае инцидентов. Перечень должен быть структурирован по доменам, слоям и областям безопасности.

5. Определение мер безопасности должно соответствовать принципам и рекомендациям.

6. Внедрение разработанных мер и проверка достигнутых целей.

Заключение

Массовое распространение сетей 5G сулит заманчивые перспективы, многие из которых до недавнего времени считались атрибутами фантастических фильмов, а не реальной жизни: дистанционная хирургия, умные города и практически неограниченная скорость передачи данных при минимальном энергопотреблении. В то же время не стоит недооценивать риски, которые несёт новая технология, поскольку старые способы обеспечения защиты для неё уже не работают, а риск-ориентированная архитектура безопасности и анализ данных на базе машинного обучения требуют внимательного подхода при внедрении.

Мнения авторов рубрики "Точка зрения" могут не совпадать с позицией редакции ComNews.ru, не влияют на выбор и освещение новостей в других частях газеты