【公益譯文】5G基礎設施的潛在威脅向量

執行摘要

第五代（5G）無線技術徹底改變了電信網路，引入了大量新的連線、能力和服務。這些進步將為數十億臺裝置提供連線，為應用鋪平道路，從而在世界各地實現新創新、新市場和經濟增長。然而，這些發展也帶來了重大風險，威脅國家安全和經濟安全，影響其他國家和全球利益。鑑於這些威脅，5G網路將成為誘人目標，成為犯罪分子和國外攻擊者獲取寶貴資訊和情報的渠道。

為了解決這些問題，美國國家電信和資訊管理局（NTIA）制定了《美國5G安全國家戰略》，這是一份戰略檔案，詳細闡述了美國政府將如何確保國內外5G基礎設施的安全。《美國5G安全國家戰略》與《美國國家安全戰略》保持一致，明確了四條工作路線：

1.         促進國內推出5G；

2.         評估5G能力和基礎設施面臨的網路安全風險，明確其核心的安全原則；

3.         防範全球5G基礎設施的開發和部署過程中的美國經濟和國家安全的風險；

4.         促進以負責任的方式在全球開發和部署安全可靠的5G基礎設施。

根據《美國5G安全國家戰略》中的第2條工作路線，確定持久安全框架（ESF），協助評估5G基礎設施的風險和漏洞，包括利用現有能力評估和管理供應鏈風險。為此，成立了ESF 5G威脅模型工作小組（ESF是一個跨部門工作組，在關鍵基礎設施夥伴關係諮詢委員會（CIPAC）的支援下運作，旨在防範影響美國國家安全系統的安全性和穩定性的威脅和風險。該工作組由來自美國政府的專家以及來自資訊科技和通訊領域以及國防工業基地的代表組成。ESF負責將公私部門的代表聯合起來，共同應對情報驅動的網路安全挑戰）。

5G威脅模型工作小組的初步工作重點是探索5G非獨立（NSA）網路相關的潛在威脅向量，對其進行優先順序排序。工作小組對現有工作部門進行了分析以確定和生成5G環境中已知和潛在威脅的彙總清單，明確並制定了5G示例應用場景，並評估了5G核心技術的風險。該分析報告表明工作小組開始思考美國部署5G會引入哪些型別的風險，並非最終定論。本文並非對風險進行詳盡總結或對攻擊方法的技術評審，而是基於該方面的大量分析（包括公共和私人的研究和分析）對5G基礎設施的攻擊向量進行闡述。

介紹

雖然5G轉型帶來了大量機會和能力，但也引入了新的漏洞和威脅。ESF和5G威脅模型工作小組確定的以下威脅向量構成了跨各種5G域的初始威脅列表。在這三個威脅向量中，子威脅描述了威脅源起方可利用的其他脆弱點。雖然這些威脅只是其中一部分，但隨著美國向5G轉型，這些威脅可能會給美國帶來更多風險。

威脅向量概述

政策和標準

制定5G政策和標準是保護5G的未來通訊基礎設施的基礎。全球電信標準制定組織，如第三代合作伙伴計劃（3GPP）、網際網路工程任務組和國際電信聯盟等正在制定技術標準和安全控制措施，會影響新技術的設計和架構，例如無人駕駛汽車、邊緣計算和遠端醫療。

鑑於這些決定會對5G技術的利用和落實產生影響，國際標準和政策必須公開、透明，且需各方達成共識。

隨著新的5G政策和標準的釋出，仍可能存在威脅影響終端使用者。例如，國家可能試圖對那些有利於其專有技術的標準施加不適當影響，並限制客戶選擇使用其他裝置或軟體。標準的制定也存在風險，標準機構可能制定可選的控制措施，而運營商未落實這些措施。運營商若不實施這些可選的安全措施，可能會在網路中引入漏洞，為惡意的威脅源起方提供機會。

供應鏈

供應鏈風險指威脅源起方利用資訊和通訊技術(ICT)及其相關供應鏈開展間諜、破壞、境外干預和犯罪活動。5G供應鏈同樣容易引入惡意軟體和硬體、假冒元件、不良設計、製造流程和維護過程等風險。5G技術廣受歡迎以及由此進行的大張旗鼓的部署加劇了這些風險的暴露，可能導致負面影響，例如資料和智慧財產權盜竊、對5G網路的完整性失去信心，或非法利用導致系統和網路故障。

由於5G供應鏈可能會連線數十億臺5G裝置，同時也可能引入更多的不可信或假冒元件。這可能包括入侵的裝置或基礎設施，最終對計算機、電話和其他裝置等終端使用者裝置產生影響。不受信任的公司或政府支援的供應商也會為供應鏈帶來風險，尤其是那些在電信網路國際市場佔有較大份額的公司。例如，那些從被入侵的供應鏈中的公司購買5G裝置的國家可能容易遭遇資料的攔截、操縱、中斷或破壞。這將在向國際合作夥伴傳送資料時構成挑戰，因為一個國家的電信網路不受信任會對另一個國家的安全的網路帶來威脅。

5G系統架構

目前，正在設計和開發5G系統架構，以滿足日益增長的資料、容量和通訊需求。儘管5G元件製造商和服務提供商正在提升技術，增強安全性，但傳統和新增的漏洞都可能被惡意攻擊者利用。此外，5G網路利用的ICT元件比前幾代無線網路都要多，這可能為惡意攻擊者提供其他向量，用於攔截、操縱、破壞和損害關鍵資料。5G裝置的容量增加促進了物聯網的普及，為5G網路引入了許多可能不太安全的裝置。元件日益多樣化會使5G架構變得更加複雜，會對整個系統引入不可預見的缺陷或漏洞。

隨著新的5G元件和技術的開發和部署，新缺陷將浮出水面。未來的5G系統架構（例如，軟體定義網路、雲原生基礎設施、網路切片、邊緣計算）可能會為惡意攻擊者帶來更大攻擊面。例如，4G傳統架構和5G架構的疊加可能為惡意攻擊者提供進行降級攻擊的機會，其中5G網路上的使用者可能被迫使用4G，從而允許惡意攻擊者利用已知的4G漏洞。

惡意威脅源起方可能利用這些威脅和漏洞對組織和使用者帶來負面影響。如果不持續關注5G威脅向量，儘早識別系統架構中的缺陷，基於新漏洞的網路事件將產生更大影響。

5G威脅向量

本節圍繞政策和標準、供應鏈和5G系統架構這三個威脅向量詳細介紹了每個主要的威脅向量的子威脅。

政策和標準的子威脅向量

開放式標準

由於敵對國家協助開發技術標準，因此這些技術標準可能涉及其系統特有的不受信任的技術和裝置。這些專有技術和裝置可能會限制競爭且迫使客戶採用不受信任的新技術。若受信任的公司不與這些不受信任的專有技術互聯互通，可能在5G市場上缺乏競爭能力。這些不符合互聯互通標準的5G自定義技術可能不容易更新、修復和更換，也可能對客戶完全不可見。如果裝置需更換，可能會增加產品的生命週期成本並延遲5G部署。

可選的控制措施

標準機構開發移動電信協議，其中一些包含必需或可選的安全控制措施。若網路運營商未採取可選的安全控制措施，其網路可能較為脆弱，面臨更大的網路攻擊風險。

供應鏈子威脅向量

假冒元件

假冒元件更容易受到網路攻擊，而且質量較差更容易損壞。透過入侵假冒元件，惡意攻擊者者可影響裝置傳輸的資料的機密性、完整性或可用性，並橫向移動至網路的其他更敏感部分。

繼承的元件

繼承的元件可能來自由第三方供應商、廠商和服務提供商組成的擴充套件的供應鏈。供應鏈可能會因供應商（包括供應商的供應商）遭遇攻擊而受到入侵，這些供應商可能未對其開發、生產或交付渠道進行充分的安全控制和審計。開發階段早期嵌入的缺陷或惡意軟體更難以檢測，開發人員可能基於數字簽名或其他檢測結果將元件標記為正常。隨後，這些漏洞可能會被惡意行為者利用。

5G系統架構的子威脅向量

軟體配置

若惡意攻擊者可在未經授權情況下訪問軟體或網路元件，便有機會修改配置減少安全控制措施、在系統上安裝惡意軟體或識別產品缺陷。攻擊者可利用這些漏洞來增加系統或網路上的永續性，實現特權訪問。

網路安全

5G 技術可實現數十億個網路裝置聯網，支援大量新功能和創新。這些裝置和基礎設施功能，例如蜂窩塔、波束成型傳輸、小型蜂窩和移動裝置，使惡意攻擊者可在越來越多的威脅向量中暴露漏洞。

若透過網路層攻擊程式入侵網路裝置，惡意攻擊者可在未經授權的情況下對 5G 網路進行訪問，可能導致運營中斷，對關鍵資料進行攔截、操縱和破壞。

網路切片

網路切片可讓使用者僅對某個網路區域進行身份驗證，實現資料和安全隔離。不過，網路切片可能難以管理，而且切片增加了網路複雜性。雖然有標準規定了運營商應如何構建5G網路，但對於網路運營商應如何開發和實施網路切片的安全性沒有明確的規範。

網路切片若管理不當可能允許惡意攻擊者訪問來自不同切片的資料或拒絕對優先使用者的訪問。

傳統的通訊基礎設施

雖然5G網路基礎設施旨在提升安全性，但5G網路支援4G傳統通訊基礎設施的許多安全規範和協議。這些傳統的通訊基礎設施存在固有的漏洞，如果不加以解決，可能會被惡意攻擊者利用。

多接入邊緣計算

多接入邊緣計算 (MEC)將一些核心網路功能移至網路邊緣更靠近終端使用者的位置，而不是依賴數百英里之外的中心位置。

將不受信任的5G元件引入MEC可能會使核心網路元素置於各種風險之中，包括軟硬體的漏洞、假冒元件以及不完善的製造流程或維護過程中的元件缺陷帶來的風險。

頻譜共享

為了發揮其潛力，5G系統需補充頻譜頻率（低、中和高），因為每種頻率型別都有獨特的優勢和挑戰。隨著越來越多的裝置爭相訪問同一頻譜，頻譜共享變得越來越普遍。透過頻譜共享，惡意攻擊者可能會阻塞或干擾非關鍵通訊路徑，從而對更關鍵的通訊網路產生不利影響。

軟體定義網路

軟體定義網路(SDN)是一種主要透過SDN控制器實現網路路由自動化配置的架構。雖然 SDN 提高了網路靈活性並簡化了管理，但惡意攻擊者可能會在SDN控制器應用程式中嵌入程式碼限制頻寬並對操作產生不利影響。

政策和標準的威脅場景

國家對 5G 標準的影響

概述

民族國家對特定行業或新興的技術標準（例如自動駕駛汽車、邊緣計算、遠端醫療）的不當影響可能會損害5G市場的競爭平衡，致使可信賴的供應商處於不利競爭地位而使不可信的供應商成為唯一的選擇。民族國家可能會尋求儘早採用新興技術，提升對5G技術的全球影響力，並導致美國公司被迫在其網路中使用不受信任的元件的環境。

場景

醫療保健和公共衛生部門被迫採用民族國家制定的標準，這些標準有助於提升其製造能力和網路能力，卻對美國帶來不利影響。美國醫院開始採用遠端手術為農村和弱勢社群提供更好的支援，並滿足對新興服務不斷增長的需求。該國家幾年前開始開發遠端手術硬體和軟體，現在是該領域的全球領導者。美國醫院要麼被迫使用他們不信任的技術，要麼使用可信賴的供應商基於民族國家的業界標準開發的類似技術。民族國家可能對這些公司施加影響，讓其開發或利用一些技術致使美國處於不利地位，抑制市場增長。

大學對可選的5G安全控制措施的實施

概述

組織和通訊提供商若選擇不實施可選安全控制措施可能存在更多漏洞，面臨更大的網路攻擊風險。在這些情況下，若民族國家層面的攻擊者協助開發安全控制措施或知曉系統若不採取這些措施可能存在哪些漏洞，可能會攻擊這些實體。因此，惡意攻擊者可確定哪些專用網路未採取可選的控制措施，並利用這些專用網路。

場景

在美國各地，5G開始取代家庭、辦公室和大型專用網路中的Wi-Fi。一所大學在其大校園內部署了5G網路，但並未充分配置或維護所有推薦的可選安全控制措施。主要標準機構列出的許多可選的安全控制措施都被電信公司和其他企業所採用。該大學決定只採取其中一部分安全控制措施，導致其網路存在重大安全漏洞。惡意攻擊者對該大學的網路進行探測，瞭解到缺乏的控制措施，並在該大學的5G網路中進行利用。

供應鏈威脅場景

部署假冒元件

概述

在供應鏈的元件製造或分銷環節嵌入假冒元件，對交付給一部分下游客戶（可能是一部分目標客戶）的元件產生影響。假冒零件看起來與普通零件沒多大差別，是一種欺詐形式。偽造者對那些尋求從信譽良好的製造商那裡採購高質量零件的客戶，卻在不知不覺中購買了不合格或有缺陷的零件。偽造者的“欺騙意圖”是模糊假冒零件和有缺陷零件之間的區別，在零件中嵌入製造商或分銷商未知的惡意功能。

場景

惡意攻擊者識別提供 ICT 元件的政府承包商，並試圖以折扣價向他們出售修改或假冒產品。雖然承包商是合法的且因假冒產品遭受的損失最大，但他們不知道潛在的問題，也未對其行業內可能存在的假冒風險進行初步分析。為了節約成本，承包商從惡意攻擊者那裡購買假冒元件並嵌入其產品中。假冒零件在可用性和功能測試中未被發現，並投入了生產，可能會對整個系統和最終客戶帶來多種影響，例如降低系統效能、損害關鍵服務的可用性或造成資料外洩。

無意間採用不受信任的元件

概述

當惡意程式碼被蓄意新增到元件傳送給目標使用者時會發生軟體供應鏈攻擊。程式碼可透過多種不同的方式新增到元件，例如透過破壞原始碼儲存庫、竊取簽名金鑰或對分發站點和渠道進行滲透。作為授權和正常分銷渠道的一部分，客戶在毫不知情的情況下獲取這些入侵的元件並部署在他們的系統和網路上。高階惡意程式碼通常不會破壞正常操作，並且可能在數天或數週內不會啟用，因此在常見的應用程式和軟體測試實踐中處於隱藏狀態。

場景

一家電信公司從可信賴的供應商處購買核心的網路系統管理軟體；然而，受信任的提供商並不知道其產品中的一個元件已被入侵，嵌入了惡意程式碼。這是由於繼承供應鏈中的供應商做出的風險決策導致的威脅，會對最終產品或服務的終端使用者產生影響。該威脅在供應鏈中存在的層級越深，就越難以提前發現。惡意攻擊者可能將這個嵌入的漏洞用於更大攻擊鏈，該攻擊鏈使用惡意程式碼獲得電信核心網路的訪問權並轉而利用其他攻擊向量。

5G系統架構威脅場景

從4G網路繼承的漏洞

概述

5G是在前幾代無線網路的基礎上建立的，最初將與包含傳統漏洞的 4G 長期演進 (LTE) 網路整合。雖然 5G 技術旨在比前幾代行動網路更安全，但可能容易受到某些傳統漏洞的攻擊，例如七號信令系統(SS7)和Diameter 協議漏洞，因為這些漏洞最初在現有4G LTE 網路上存在。

場景

威脅源起方可訪問美國政府(USG)辦公室附近的5G小型基地臺，並將該小型基地臺配置為允許4G欺騙。然後，威脅源起方強制將 5G 網路降級為易受攻擊的 4G 配置，從而利用 SS7 中的漏洞訪問附近 USG 辦公室的員工正在使用的 ICT 元件。然後，威脅源起方可利用該資訊進一步訪問更安全的網路，從而有可能獲得敏感資料。

多接入邊緣計算中的韌體漏洞

概述

與傳統網路配置不同，多接入邊緣計算（MEC）在電信網路的最後一英里內提供核心流量功能，如資料處理和儲存。各系統元件，如虛擬機器監控程式、作業系統和MEC 中的管理程式可能為惡意攻擊者提供額外的攻擊媒介用於攔截、操縱和破壞關鍵資料。MEC中插入的不受信任的元件或惡意軟體可能會使惡意攻擊者克隆裝置、冒充終端使用者撥打電話、傳送文字和使用資料，從而影響使用者隱私。惡意攻擊者可使用不受信任的元件或惡意軟體訪問 MEC 和終端使用者元件，利用它們訪問更廣泛的無線電接入網路 (RAN)。

場景

MEC中的韌體漏洞允許威脅源起方在MEC系統中獲得持久的立足點，使他們能夠拒絕訪問資料並影響許多 5G 用例所需的超低延遲。惡意攻者可竊取敏感的感測器和使用者裝置的資料、修改資料流以及拒絕訪問某些資料或感測器流，從而影響網路的機密性、完整性和可用性。惡意攻擊者現在擁有完全訪問 RAN 的頻寬，可對終端使用者的裝置進行克隆。

譯者宣告

由綠盟科技部落格與“安全加”社群小蜜蜂公益翻譯組合作完成，免責宣告及相關責任由“安全加”社群承擔。

小蜜蜂翻譯組公益譯文專案，旨在分享國外先進網路安全理念、規劃、框架、技術標準與實踐，將網路安全戰略性文件翻譯為中文，為網路安全從業人員提供參考，促進國內安全組織在相關方面的思考和交流。