Журнал "Information Security/ Информационная безопасность" #6, 2020

Причем следует отметить, что не исключается возможность использо- вания и ГОСТа шифрования в сетях 5G при условии, что он будет соответ- ствовать требованиям спецификаций безопасности стандарта 3GPP. Тогда его реализация и поддержка будут обеспечиваться при участии вендора и российских разработчиков, имеющих соответствующую лицензию ФСБ Рос- сии. Но для этого надо подать заявку в 3GPP и пройти процедуры одобре- ния. 2. Защита на уровне решений, обору- дования и инфраструктуры сети: l многоуровневая изоляция и защита целостности компонентов SDN и VNF – гипервизора, виртуальных машин, ОС, контейнеров; l обеспечение высокой доступности виртуальных машин для быстрого вос- становления после атак; l аутентификация приложений MEC, авторизация запросов API; l дополнительный фактор аутентифи- кации при доступе к корпоративной сети, белый список устройств и служб; l защищенные каналы связи между базо- вой станцией, MEC и корпоративной сетью; l доверенная аппаратная среда – без- опасная загрузка устройств, TEE; l обнаружение атак в реальном времени на сетевых узлах и элементах виртуаль- ной инфраструктуры с использованием алгоритмов ИИ. 3. Защита на уровне управления сетью: l многофакторная аутентификация и разграничение доступа к сегментам со стороны O&M; l средства обнаружения поддельных базовых станций на основе мониторинга событий обслуживания; l безопасное управление жизненным циклом пользовательских данных, а также аналитических и служебных дан- ных оператора – шифрование, аноними- зация, безопасное хранение и удаление; l централизованное управление уязви- мостями, политиками ИБ, анализ боль- ших данных для обнаружения аномалий и раннего реагирования на атаки (SOC). Важно отметить, что безопасность сетей 5G не ограничивается технически- ми мерами защиты и складывается из совместных усилий доверяющих друг другу сторон – разработчиков стандарта, регуляторов, вендоров, операторов и поставщиков услуг. Поддерживая укреп- ление доверия между сторонами, компа- ния Huawei участвует в разработке стан- дарта 5G в составе консорциума 3GPP, а также предлагает рынку варианты ком- плексных защищенных решений. Более того, совместно с ведущими вендорами – поставщиками телеком- решений Huawei активно участвует в реа- лизации новой схемы мобильной кибер- безопасности, запущенной совместно GSMA и 3GPP с различными регулято- рами кибербезопасности – NESAS/SCAS (Network Equipment Security Assurance Scheme/Security Assurance Specifications). Преимущества NESAS/SCAS : 1. Дает возможность обеспечить защи- ту для наиболее специфичных для про- мышленности точек доступа и связанных с ними угроз безопасности, таких как радиоинтерфейс, NAS, веб-безопасность и т.д. 2. Предоставляет унифицированные спецификации, которые можно изме- рить, увидеть, сопоставить, понять и при- менить. 3. Снижает фрагментации требований к безопасности и сокращает ненужные затраты операторов. Для операторов использование этих решений позволит сократить время и затраты на оценку поставщиков, опре- делит строгие и унифицированные стан- дарты безопасности и обеспечит эти высокие уровни безопасности. В заключение хотелось бы рекомен- довать создание совместных иннова- ционных проектов (вендор – оператор – OTT-провайдер – B2B- и B2G-клиенты), направленных на проверку того, как коммерческие продукты для сетей 5G могут использовать стандарты кибербе- зопасности и рекомендуемые практики для соответствующих случаев и сцена- риев их использования. С помощью таких проектов также можно на практике продемонстрировать, как могут быть правильно использованы и улучшены функции безопасности 5G. l Автор выражает благодарность своим коллегам Дмитрию Конареву и Юлии Чернокожиной за участие в работе над статьей. • 35 АСУ ТП и IoT www.itsec.ru Рис. 3. Cегментированная архитектура 5G-сети Угрозы для RAN Угрозы для опорной Угрозы Угрозы сети и сервисов для MEC для инфраструктуры оператора 5G из внешних сетей DDoS-атаки Программные Физический DDoS-атаки от терминальных и аппаратные сбои доступ из Интернета устройств элементов ядра, нарушителя НСД к API Внедрение ошибки конфигурации к оборудованию поставщиков поддельных Внедрение вредоносного Поддельное или сервисов базовых станций кода или эксплуатация уязвимое стороннее НСД к интерфейсу Атаки уязвимостей компо- приложение управления на беспроводные нентов инфраструктуры в экосистеме из внешних сетей интерфейсы – Нарушение изоляции Проникновение перехват, подмена сегментов, НСД в корпоративные пользовательских к сегменту или операторские данных сети из узлов MEC Таблица. Наиболее значимые угрозы для главных компонентов сети 5G Рис. 4. Трансформация технологии 4G в 5G Ваше мнение и вопросы присылайте по адресу is@groteck.ru На правах рекламы