RSA KONFERANSI — San Francisco — 5G güvenliği bir konuşma konusu olarak yeni olmasa da, ortaya çıkan saldırı vektörleri öne çıkmaya devam ediyor. Deloitte & Touche araştırmacıları, 5G mimarisinin temel bir parçası olan ağ dilimlerini hedefleyen potansiyel bir saldırı yolunu ortaya çıkardı.

Riskler yüksek: Yeni nesil 5G ağlarının yalnızca daha hızlı bir 4G değil, kamu güvenliği, askeri hizmetler, kritik altyapı ve Endüstriyel Nesnelerin İnterneti gibi bir dizi kritik görev ortamı için iletişim altyapısı olarak hizmet etmesi bekleniyor. (IIoT). Ayrıca otomatikleştirilmiş arabalar ve telecerrahi gibi gecikmeye duyarlı gelecek uygulamalarının desteklenmesinde de rol oynarlar. Bu altyapıya yönelik bir siber saldırı, halk sağlığı ve ulusal güvenlik üzerinde önemli etkilere sahip olabilir ve bireysel işletmeler için bir dizi ticari hizmeti etkileyebilir.

Herhangi bir 5G ağının kalbinde, kaynakların ve niteliklerin ayrı “dilimler” halinde birleştirilmesine olanak tanıyan esnek, IP tabanlı bir çekirdek ağ bulunur – bu ağ dilimlerinin her biri, belirli bir uygulamanın talep ettiği gereksinimleri karşılayacak şekilde uyarlanmıştır. Örneğin, bir akıllı fabrika kurulumunda bir IIoT sensör ağını destekleyen bir ağ dilimi, son derece düşük gecikme süresi, uzun cihaz pil ömrü ve kısıtlı bant genişliği hızı sunabilir. Bitişik bir dilim, son derece yüksek bant genişliği ve sıfıra yakın gecikme ile otomatikleştirilmiş araçları etkinleştirebilir. Ve benzeri.

Bu nedenle, bir 5G ağı, tümü ortak bir fiziksel altyapıdan (yani radyo erişim ağı veya RAN) yararlanan birden çok bitişik ağ dilimini destekler. Deloitte, bir dilimden ödün vererek 5G’den yararlanmanın mümkün olup olmadığını araştırmak için Virginia Tech ile bir 5G araştırma projesinde işbirliği yaptı ve ardından bir saniyeden ödün vermek için ondan kaçtı. Bunun cevabı evet çıktı.

Deloitte uzman lideri Shehadi Dayekh, “Virginia Tech ile yolculuğumuz boyunca amacımız, herhangi bir endüstri veya herhangi bir müşteri için bir 5G ağı kurulduğunda uygun güvenliğin nasıl sağlanacağını ortaya çıkarmaktı.” . “Ağ dilimlemeyi araştırmamızın temel ilgi alanı olarak gördük ve uzlaşma yollarını keşfetmeye başladık.”

Ağ Dilimleme Yoluyla Yanal Hareket Elde Etme

Deloitte başkan yardımcısı Abdul Rahman, bir saniyeye ulaşmak için bir dilime saldırmanın, bir bulut ortamında bir kapsayıcı kaçış biçimi olarak görülebileceğini belirtiyor. farklı müşteri ve hizmetlerden ödün vermek için bulut altyapısı.

“Bir 5G ağının uçtan uca resmine baktığımızda, 5G çekirdeği ve ardından 5G RAN var, sonra uç cihazlar ve uç cihazlardan sonra kullanıcılar var” diyor. “Çekirdek gerçekten çok sayıda hizmetin esasen kapsayıcılarda olduğu ve sanallaştırıldığı bir noktaya kadar gelişti. O zaman benzer bir şey olabilir. [attack-and-escape] ağ dilimi iki üzerindeki bir cihazı bir cihazdan etkileyebildiğimiz veya etkileyebildiğimiz süreç veya ağ dilimi bir içindeki bir uzlaşma.”

Araştırma, açık portlardan ve savunmasız protokollerden yararlanarak ilk ağ diliminin ilk uzlaşmasının sağlanabileceğini ortaya çıkardı, diye açıklıyor. Veya başka bir güvenlik açığı yolu, kod yürütülmesine izin verecek bir arabellek taşması gibi bir güvenlik açığına sahip olabilecek bir hizmeti veya bir dizi hizmeti tanımlamak için ağdaki tüm hizmetleri numaralandırmak için gerekli meta verilerin elde edilmesini içerir.

Dayekh, daha sonra, “dilim kaçışını” gerçekleştirmek için “kablosuz alanda ağlara katılabilen ve çekirdek ağ üzerinde biraz stres yaratmaya başlayan tonlarca cihazı taklit etme yetenekleri vardır” diyor. “Dilimler arasındaki güvenlik açıklarından yararlanmaya başlamak için bazı tarama yetenekleri getirmek mümkün.”

Deloitte, başarılı bir saldırının birkaç katmanı ve adımı olacağını ve önemsiz olmayacağını buldu – ancak yapılabilir.

Gerçek dünya fizibilite perspektifinden bakıldığında, “gerçekten ne kadar para harcandığına bağlı” diyen Dayekh, siber saldırganların bir saldırının zaman ve masrafa değip değmediğini tartarken büyük olasılıkla bir yatırım getirisi hesaplaması yapacaklarını da sözlerine ekledi.

“Ne kadar ciddi olduğuyla ilgili [and hardened] ağ, görev açısından kritik bir ağsa ve hedef uygulama ne kadar ciddiyse” diye açıklıyor. “Bu, örneğin, raf yenileme veya kasasız ödeme için bir uygulama mı, yoksa askeri veya devlet uygulaması mı?”

Rahman, saldırganın, örneğin otomatik bir boru hattına yıkıcı saldırılar düzenlemekle ilgilenen, iyi finanse edilen gelişmiş kalıcı bir tehdit (APT) ise, yaklaşımın daha karmaşık ve kaynak yoğun olacağını ekliyor.

“Bu, mavi tarafın görülmesini en aza indirmek için gelişmiş keşif ve gözetleme-tespit tekniklerini kullanan kötü bir aktör için zemin hazırlıyor” diyor. “Gizlenmeyi sağlarken yaklaşma yollarını ve kilit araziyi belirlemek için gözlemden yararlanıyorsunuz. Bir ağı keşfedeceksek, bunu ağı tarayabileceğimiz ve keşif trafiğimizi diğer tüm araçlar arasında gizleyebileceğimiz bir yerden yapmak istiyoruz. Ve bu ağ topolojisini, yani bir saldırı grafiğini, bizim saldırmak istediklerimiz etrafında sıralayıcı hizmetlerle ilişkili meta verileri olan düğümlerle inşa edecekler.”

Gerçek Dünya Riski

Başarılı bir saldırının potansiyel sonuçları söz konusu olduğunda, Rahman ve Dayekh bir akıllı fabrika uygulaması için endüstriyel sensör ağına karşı bir kampanya örneğini kullandılar.

Rahman, “Nihayetinde, sıcaklık, barometrik basınç, görüş hattı, bilgisayar görüşü, ne olursa olsun, bu sensörlerden toplanan verileri gerçekten etkileyebilecek kötü amaçlı yazılımları dağıtabiliriz” diyor. “Veya görüntüyü kapatabilir veya sensörün görme yeteneğine sahip olduğu şeyi manipüle ederek sonuçların yalnızca bir kısmını geri gönderebilir. Bu, potansiyel olarak yanlış okumalara, yanlış pozitiflere neden olabilir ve üretim için etkisi çok büyüktür. enerji, ulaşım için – sağlık ve durum gibi şeyler için onlara gerçek zamanlıya yakın çıktılar vermek için sensörlere bağlı olan alanlardan herhangi biri.”

Tıbbi Nesnelerin İnterneti (IoMT), böbrek diyalizi veya karaciğer izleme gibi uzaktan sağlık hizmetlerini kullanan veya kalp pili olan hastaları doğrudan etkileme yeteneği nedeniyle başka bir endişe alanıdır.

Ayrıca, savunmasız IoT cihazlarına kötü amaçlı yazılım dağıtmayı, ardından bunları hava arayüzlerini bozmak veya sel basmak veya uçta paylaşılan hesaplama kaynaklarını almak için kullanmayı içeren başka bir saldırı biçimi de vardır. Deloitte, bu durumun, hepsi aynı RAN ve uç bilgi işlem altyapısını paylaştığı için dilimler arasında hizmet reddine yol açabileceğini buldu.

5G Ağ Dilimleme Saldırılarına Karşı Savunma

Araştırmacılar, ağ dilimlemeyi içeren saldırılara karşı savunma söz konusu olduğunda, dağıtılacak en az üç geniş siber güvenlik katmanı olduğunu belirtiyor:

  • Uzlaşma göstergelerinden (IOC’ler) oluşan tehdit istihbaratını kurallara dönüştürün.
  • Anormal davranışları tespit etmek için yapay zeka ve makine öğrenimini kullanın.
  • Standart algılama mekanizmaları, filtreleme, otomasyon oluşturma yeteneği, SOAR ile entegrasyon ve uyarı içeren platformlar uygulayın.

Her zaman olduğu gibi, derinlemesine savunma sağlamak önemlidir. Rahman, “Kuralların bir raf ömrü var” diye açıklıyor. “Kurallara tamamen güvenemezsiniz çünkü insanlar kötü amaçlı yazılım varyantları yarattığı için eskirler. Bir yapay zekanın size kötü niyetli etkinlik olasılığı hakkında söylediklerine tamamen güvenemezsiniz. Platforma gerçekten inanamazsınız çünkü orada boşluklar olabilir.”

Savunma işinin çoğu, savunmacıları bilgiyle boğmayan altyapıya ilişkin bir görüş kazanmakla da ilgilidir.

Dayekh, “Önemli olan görünürlük,” diyor Dayekh, “çünkü 5G’ye baktığımızda muazzam bir bağlantı var: Çok sayıda IoT, sensör ve cihaz ve ayrıca ölçeklenen ve küçülen ve dağıtılan kapsayıcılı dağıtımlar ve bulut altyapınız var. birden çok bölge ve birden çok hibrit bulut ve bazı istemcilerin bulutları için birden fazla satıcısı var.Çok fazla dilimimiz olmadığında veya çok fazla cihaz kimliğimiz, SIM kartımız veya kablosuz bağlantımız olmadığında bu daha kolay. bakmanız ve verileri ilişkilendirmeniz gerekebilecek potansiyel olarak milyonlarca cihaz var.”

5G standardı her altı ayda bir yeni özelliklerle güncellendiğinden, dikkate alınması gereken sürekli bir yönetim de vardır.

Sonuç olarak, çoğu operatör, 5G ağları için güvenliği desteklemek için yapmaları gereken iş miktarı konusunda hala yüzeyde kalıyor, araştırmacılar, işgücü sıkıntısının da bu segmenti etkilediğine dikkat çekiyor. Bu da, tekrarlanabilir bir şekilde yapılması gereken görevlerin üstesinden gelmek için otomasyonun gerekli olacağı anlamına gelir.

Rahman, “Kaynak perspektifinden otomasyon, bu cihazlara gidebilir ve onları anında yeniden yapılandırabilir” diyor. “Ama soru şu ki, bunu üretimde mi yapmak istiyorsunuz? Yoksa önce bunu test etmek mi istiyorsunuz? Tipik olarak, riskten kaçınırız, bu nedenle değişiklik isteklerini ne zaman yaptığımızı test eder ve ardından oylarız. Ve sonra bu değişiklikleri üretimde uygularız ve bu belirli bir zaman alır. Ancak bu süreçler DevSecOps ardışık düzenleriyle otomatikleştirilebilir. Bunu çözmek, bazı alışılmışın dışında düşünmeyi gerektirecektir.”



siber-1