Безопасность сетей 5G

Возможности сетей 5G не ограничиваются рекордной скоростью мобильного интернет-доступа. Новый стандарт мобильной связи может стать универсальной инфраструктурой взаимодействия людей, умных устройств, организаций и целых отраслей экономики.

Но всеобщая связанность имеет обратную сторону – появление более масштабных киберугроз. Позицию вендора по этому вопросу раскрыл Александр Зубарев, директор по информационной безопасности компании Huawei в России.

Автор: Александр Зубарев, директор по информационной безопасности компании Huawei в России

В статье рассмотрены актуальные угрозы информационной безопасности для сетей 5G и основы обеспечения их защиты.

Применение сетей 5G

В отличие от предыдущих поколений мобильных сетей, ориентированных в основном на массового потребителя (услуги голосовой связи, мобильного доступа в Интернет), стандарт 5G развивается преимущественно в интересах корпоративного и государственного сектора. Предлагаются три основных сценария использования сетей 5G:

1. Сверхширокополосная мобильная связь (eMBB): пиковая скорость передачи данных до 25 Гбит/с. Применение: прямые трансляции 4K, сервисы AR/VR, облачные игры и другие услуги с высоким объемом трафика.
2. Сверхнадежная межмашинная связь с низкими задержками (URLLC): сокращение задержек передачи данных до 1 мс. Применение: беспилотный транспорт, дистанционные технологии (например, роботизированная хирургия).
3. Массовая межмашинная связь (mMTC): поддержка до 1 млн подключений к базовой станции на 1 кв. км. Применение: развитие потребительского и промышленного IoT (электроснабжение, производство, безопасный город и пр.).

Архитектура и ландшафт угроз безопасности

Рассмотрим основные особенности архитектуры сетей 5G и связанные с ними проблемы безопасности.

1. Сеть радиодоступа (RAN) основана на новом стандарте 5G NR (New Radio), реализующем необходимые для заданного сценария характеристики: пропускную способность, минимальные задержки или массовые подключения. Согласно концепции конвергентной архитектуры, иные сети радиодоступа (Wi-Fi, 4G-LTE) должны подключаться к единому ядру сети 5G.
   Риски: большое число подключений и высокая пропускная способность увеличивают поверхность атаки. IoT-устройства менее устойчивы к взлому.
2. Архитектура опорной сети (ядро сети или 5G Core) основана на облачных технологиях и виртуализации сетевых функций (SDN, NFV), позволяющих создать множество независимых сегментов и поддерживать таким образом сервисы с различным набором характеристик. Сегментирование также позволяет операторам предоставлять сетевую инфраструктуру в виде сервиса для организаций.
   Риски: более серьезные последствия сбоев или злоупотреблений с учетом масштаба использования.
3. 5G предполагает активное использование технологии периферийных вычислений (MEC). Это могут быть, в частности, корпоративные приложения, работающие на сети операторов: интеллектуальные сервисы, финансовые сервисы, мультимедиа. Следует добавить, что в этом случае происходит интеграция операторских сетей 5G в корпоративную инфраструктуру.
   Риски: новые возможности проникновения в корпоративные сети, размещение оборудования MEC вне защищенного периметра организации.
4. Централизованная инфраструктура управления сетью (O&M) усложняется за счет необходимости одновременной поддержки большого числа сервисных сегментов.
   Риски: более серьезные последствия злоупотребления ресурсами и/или ошибок конфигурации O&M.

Общая архитектура 5G-сети приведена на рис. 2.

Cегментированная архитектура 5G-сети, включая МЕС и внешние сети, которая используется для описания угроз безопасности, приведена на рис. 3.

Среди наиболее значимых угроз для каждого из главных компонентов сети 5G можно выделить следующие (см. табл.).

Подход к защите

Основываясь на редакциях разрабатываемого стандарта 5G, а также на опыте компании Huawei в области разработки комплексных защитных решений, определим, какие меры будут необходимы для противодействия угрозам в сетях 5G:

1. Защита на уровне стандарта:

• разделение слоев протокола передачи данных на три плоскости: User Plane, Control Plane, Management Plane. Изоляция, шифрование и контроль целостности плоскостей. Шифрование абонентского и сигнального трафика;
• увеличение длины ключа шифрования трафика с 128 бит до 256 бит (в новой редакции стандарта);
• единый механизм аутентификации абонентов для различных типов беспроводной связи;
• поддержка гибких политик безопасности для сегментов.

Причем следует отметить, что не исключается возможность использования и ГОСТа шифрования в сетях 5G при условии, что он будет соответствовать требованиям спецификаций безопасности стандарта 3GPP. Тогда его реализация и поддержка будут обеспечиваться при участии вендора и российских разработчиков, имеющих соответствующую лицензию ФСБ России. Но для этого надо подать заявку в 3GPP и пройти процедуры одобрения.

2. Защита на уровне решений, оборудования и инфраструктуры сети:

• многоуровневая изоляция и защита целостности компонентов SDN и VNF – гипервизора, виртуальных машин, ОС, контейнеров;
• обеспечение высокой доступности виртуальных машин для быстрого восстановления после атак;
• аутентификация приложений MEC, авторизация запросов API;
• дополнительный фактор аутентификации при доступе к корпоративной сети, белый список устройств и служб;
• защищенные каналы связи между базовой станцией, MEC и корпоративной сетью;
• доверенная аппаратная среда – безопасная загрузка устройств, TEE;
• обнаружение атак в реальном времени на сетевых узлах и элементах виртуальной инфраструктуры с использованием алгоритмов ИИ.

3. Защита на уровне управления сетью:

• многофакторная аутентификация и разграничение доступа к сегментам со стороны O&M;
• средства обнаружения поддельных базовых станций на основе мониторинга событий обслуживания;
• безопасное управление жизненным циклом пользовательских данных, а также аналитических и служебных данных оператора – шифрование, анонимизация, безопасное хранение и удаление;
• централизованное управление уязвимостями, политиками ИБ, анализ больших данных для обнаружения аномалий и раннего реагирования на атаки (SOC).

Важно отметить, что безопасность сетей 5G не ограничивается техническими мерами защиты и складывается из совместных усилий доверяющих друг другу сторон – разработчиков стандарта, регуляторов, вендоров, операторов и поставщиков услуг. Поддерживая укрепление доверия между сторонами, компания Huawei участвует в разработке стандарта 5G в составе консорциума 3GPP, а также предлагает рынку варианты комплексных защищенных решений.

Более того, совместно с ведущими вендорами – поставщиками телеком-решений Huawei активно участвует в реализации новой схемы мобильной кибербезопасности, запущенной совместно GSMA и 3GPP с различными регуляторами кибербезопасности – NESAS/SCAS (Network Equipment Security Assurance Scheme/Security Assurance Specifications).

Преимущества NESAS/SCAS :

1. Дает возможность обеспечить защиту для наиболее специфичных для промышленности точек доступа и связанных с ними угроз безопасности, таких как радиоинтерфейс, NAS, веб-безопасность и т.д.
2. Предоставляет унифицированные спецификации, которые можно измерить, увидеть, сопоставить, понять и применить.
3. Снижает фрагментации требований к безопасности и сокращает ненужные затраты операторов.

Для операторов использование этих решений позволит сократить время и затраты на оценку поставщиков, определит строгие и унифицированные стандарты безопасности и обеспечит эти высокие уровни безопасности.

В заключение хотелось бы рекомендовать создание совместных инновационных проектов (вендор – оператор – OTT-провайдер – B2Bи B2G-клиенты), направленных на проверку того, как коммерческие продукты для сетей 5G могут использовать стандарты кибербезопасности и рекомендуемые практики для соответствующих случаев и сценариев их использования. С помощью таких проектов также можно на практике продемонстрировать, как могут быть правильно использованы и улучшены функции безопасности 5G. 

Автор выражает благодарность своим коллегам Дмитрию Конареву и Юлии Чернокожиной за участие в работе над статьей.