Зыкова ПЗ v1. Исследование мер противодействия атакам на сети 5g пояснительная записка тпжа. 100502. 008 Пз выпускная квалификационная работа
 Скачать 1.67 Mb.
|
Разработка рекомендаций по нейтрализации актуальных угроз и мер противодействия атакам.Основываясь на опыте изучения безопасности сетей предыдущего поколения, а также на уже описанных потенциальных проблемах безопасности сетей 5G, можно дать следующие рекомендации для будущих операторов сетей 5G [6, 12, 18, 13, 12]. 1. Комплексный подход к защите сети. Операторы должны немедленно начать анализ всей сигнальной информации, пересекающей границу их домашней сети, чтобы обеспечить безопасность и блокировать незаконный трафик. Этот анализ предоставляет данные, необходимые для поддержания политики безопасности в актуальном состоянии. Этот комплексный и систематический подход может позволить обеспечить безопасность сетей 5G с самого первого дня. 2. Аудит безопасности сети. Сервис-ориентированная сетевая архитектура 5G предоставляет операторам гибкость, необходимую для быстрой адаптации их сетей к требованиям рынка, но недостатком является сложность управления всем подряд. Это повышает важность аудита безопасности для выявления уязвимостей и проверки правильности настройки и применения политик безопасности. Аудит безопасности следует проводить периодически, как во время первоначального развертывания сети 5G, так и во время обычной операции. Это позволяет отслеживать изменения в безопасности сети и своевременно принимать контрмеры. 3. Постоянное совершенствование системы безопасности. Безопасность – это процесс, а не одноразовое событие. Несмотря на большое количество работ по обеспечению безопасности 5G на уровне стандартов, многие неизвестные угрозы по-прежнему остаются неизвестными. Операторы должны регулярно изучать и внедрять рекомендации по защите своих сетей 5G. Рекомендации должны выполняться продуманно. Они обычно являются универсальными, но каждая сеть уникальна. Изменения в политике безопасности должны быть частью общего процесса. Проверка должна проводиться до и после внедрения новых решений. Таким образом, безопасность сетей 5G – это не просто наличие правильной архитектуры или оборудования для обеспечения безопасности, а создание рабочих процессов, процедур и совместная работа между командами. 4. Обеспечение целостности данных в сети, путем внедрения федеративной модели идентификации и управления доступом. 5. Реализация распределённого реестра для проверки легитимности и целостности SIM-карт, что обеспечит полную видимость угроз. 6. Решение вопросов взаимодействия с устройствами в роуминге, путем формирования распределённой системы безопасности без границ. 7. Разработка новых технических концепций, таких как «сетевой слой» (network slicing) и методы виртуализации, которые требуют интегрированных решений по безопасности. 8. Повышение уровня конфиденциальности пользовательских данных. 9. Совместимость решений по защите и технологий передачи со сверхнизкой задержкой по времени. 10. Чтоб предотвратить атаки типа перехват DNS, рекомендуется использовать сетевой монитор или регистратор данных/деталей событий, который ведёт запись метаданных сетевого соединения. При возникновении нестандартного трафика может быть немедленно подан сигнал тревоги. Также рекомендуется выбирать промышленные протоколы, поддерживающие привязку сертификатов. Использование SSL/TLS без отключения основных функций безопасности (таких как проверка корневого центра сертификации) позволяет легко обнаружить соединения, вызванные поддельными записями DNS. Для предотвращения перехвата DNS-запросов можно использовать расширения безопасности системы доменных имён (DNSSEC) или DNS over HTTPS (DoH). 11. Для предотвращения атаки типа перехват MQTT можно использовать MQTTS вместо менее безопасного MQTT и защитить MQTTS с помощью надёжных паролей и привязки сертификатов. 12. Чтоб предотвратить атаки, использующие уязвимости гарантированной идентификации, применяют принцип нулевого доверия (Zero-Trust Architecture, ZTA), заключающийся в сохранении безопасности для неконтролируемых, движущихся или находящихся за пределами периметра сети устройств. В соответствии с принципом ZTA необходимо внедрить федеративную модель идентификации и управления доступом (Federated Identity and Access Management, FIdAM), тем самым обеспечив проверку подлинности подключающихся к сети устройств на каждом этапе. Федеративная модель идентификации в сетях 5G обеспечивает единую согласованную архитектуру для проверки подлинности, прав доступа, целостности данных и других компонентов и технологий Чтобы реализовать эти меры на практике, потребуются значительные затраты времени и средств, однако развёртывание сетей 5G стремительно расширяется, а значит, устранение уязвимостей и обеспечение безопасности телекоммуникационных услуг, предоставляемых сетями пятого поколения, становится первоочередной задачей. Выводы по шестому разделуБыли сформулированы 12 мер противодействия атакам в сети 5G. Наиболее действенные из них: 1. Комплексный подход к защите сети. 2. Аудит безопасности сети. 3. Постоянное совершенствование системы безопасности. 4. Обеспечение целостности данных в сети, путем внедрения федеративной модели идентификации и управления доступом. 5. Совместимость решений по защите и технологий передачи со сверхнизкой задержкой по времени. |