Главная страница

Зыкова ПЗ v1. Исследование мер противодействия атакам на сети 5g пояснительная записка тпжа. 100502. 008 Пз выпускная квалификационная работа


Скачать 1.67 Mb.
НазваниеИсследование мер противодействия атакам на сети 5g пояснительная записка тпжа. 100502. 008 Пз выпускная квалификационная работа
Дата01.02.2023
Размер1.67 Mb.
Формат файлаdocx
Имя файлаЗыкова ПЗ v1.docx
ТипИсследование
#916374
страница13 из 15
1   ...   7   8   9   10   11   12   13   14   15

Выбор мер и средств защиты сети 5G.



Неоднородность и сложность инфраструктуры 5G потребуют применения безопасности на нескольких уровнях, в нескольких доменах с сочетанием централизованного и распределенного, физического и виртуального развертывания. Для предыдущих поколений ручное вмешательство для смягчения угроз может быть нормальным. Но с учетом скорости сети с переходом на 5G и тот факт, возможные угрозы и их сложность только продолжают расти, ручных операций недостаточно. Безопасность должна быть абсолютно автоматизирована – требуется внедрить автоматическое обнаружение и устранение угроз с целостной видимостью.

5G разработала средства управления безопасностью для устранения многих угроз, с которыми сталкиваются современные сети 4G / 3G / 2G. Эти элементы управления включают новые возможности взаимной проверки подлинности, улучшенную защиту личности подписчика и дополнительные механизмы безопасности. 5G предлагает мобильной индустрии беспрецедентную возможность повысить уровень безопасности сети и услуг.

5G обеспечивает превентивные меры для ограничения воздействия известных угроз, но внедрение новых сетевых технологий создает новые потенциальные угрозы для отрасли [29].

При разработке стандартов 5G были приняты принципы Secure by Design, что привело к [30]:

  • использованию взаимной аутентификации. Подтверждение доверия отправителя и получателя и обеспечения безопасности сквозных отношений;

  • предполагаемой «открытой» сети. Удаление любых предположений о безопасности из накладываемого продуктов или процессов;

  • подтверждению того, что все ссылки могут быть перехвачены. Обязательное шифрование межсетевого или внутрисетевого трафика, гарантирующее бесполезность зашифрованной информации при перехвате.

Сети 5G должны обеспечивать потребителю большую защиту, чем существующие сети 4G / 3G / 2G. Стандарты 5G описывают ряд моделей реализации. Несмотря на то, что в будущем планируется развернуть не менее 5 дополнительных опций, в настоящее время разворачивается единственный вариант - так называемый автономный режим (NSA), точнее называемый ENDC. Здесь базовые станции 5G интегрируются с существующей сетью 4G, работающей в тандеме с базовыми станциями LTE, и подключаются к ядру LTE, полагаясь на меры и средства защиты, которые обеспечивает ядро LTE.

Следующим этапом развертывания 5G, вероятно, станет автономный режим (SA), точнее SA ‑ NR, состоящий из новой радиосети (NR) 5G, подключенной к базовой сети 5G (5GC). Переход на ядро 5G позволит реализовать все функции безопасности, предусмотренные спецификациями 5G. Хотя признано, что новые парадигмы (облачная архитектура, основанная на сервисах) создадут новые проблемы безопасности.

5G повышает конфиденциальность и целостность данных пользователей и устройств. В отличие от предыдущих поколений мобильных систем 5G [30]:

  • защищает конфиденциальность сообщений начального уровня без доступа (NAS) между устройством и сетью. В результате больше невозможно отслеживать пользовательское оборудование (UE) с использованием текущих методологий атак через радиоинтерфейс; защита от атак MITM и поддельных базовых станций (Stingray или IMSI catcher);

  • представлен механизм защиты, называемый домашним контролем. Это означает, что окончательная аутентификация устройства в посещаемой сети завершается после того, как домашняя сеть проверит статус аутентификации устройства в посещаемой сети. Это усовершенствование предотвратит различные типы мошенничества в роуминге, которые исторически мешали операторам, и поддержит требование оператора правильно аутентифицировать устройства для предоставления услуг;

  • поддерживает унифицированную аутентификацию для других типов сетей доступа, например WLAN, позволяя сетям 5G управлять ранее неуправляемыми и незащищенными соединениями. Это включает в себя возможность выполнения повторной аутентификации UE, когда оно перемещается между разными сетями доступа или обслуживающими сетями;

  • вводит проверку целостности пользовательского уровня, гарантируя, что пользовательский трафик не изменяется во время передачи;

  • повышает защиту конфиденциальности за счет использования пар открытого и закрытого ключей для сокрытия личности подписчика и получения ключей, используемых во всей архитектуре.

Представляет 5G новый элемент сетевой архитектуры: прокси-сервер Security Edge Protection (SEPP). SEPP защищает границу домашней сети, выступая в качестве шлюза безопасности при соединениях между домашней сетью и посещаемыми сетями.

Сетевая архитектура 5G будет основана на услугах, что означает, что операции базовой сети могут выполняться с помощью функций вне сети оператора, например облака. Это серьезный отход от установленных мер безопасности базовой сети, однако он дает оператору возможность использовать технологии виртуализации.

С этой возможностью приходят новые вероятные угрозы, с которыми нужно бороться. Следует учитывать традиционные средства управления виртуализацией, включая изоляцию клиентов и ресурсов. Подходящие средства снижают риск утечки данных и влияние эпидемий вредоносных программ с учетом виртуализации.

GSMA поддерживает экосистему мобильной безопасности с помощью следующих программ и услуг [30]:

  • группа по борьбе с мошенничеством и безопасностью (FASG), которая действует как GSMA, где базируется безопасность 5G, создает и распространяет передовой опыт отрасли в отношении рисков мошенничества в 5G и мер безопасности;

  • программа Future Network поддерживает отрасль с помощью рекомендаций по внедрению 5G;

  • программа GSMA CVD успешно управляет раскрытием информации о стандартах 5G, в сотрудничестве с 3GPP, что было использовано для создания более безопасных стандартов 5G перед развертыванием;

  • проект GSMA IoT Security Project, который разрабатывает ресурсы, специально предназначенные для устранения рисков безопасности IoT;

  • группа Networks Group (NG), которая определяет рекомендации и функциональные возможности сетевой архитектуры, включая конфигурацию SEPP и шаблоны сегментов сети для 5G.

Также необходимы меры защиты на на уровне решений, оборудования и инфраструктуры сети, а именно [4]:

  • многоуровневая изоляция и защита целостности компонентов SDN и VNF – гипервизора, виртуальных машин, ОС, контейнеров;

  • обеспечение высокой доступности виртуальных машин для быстрого восстановления после атак;

  • аутентификация приложений MEC, авторизация запросов API;

  • дополнительный фактор аутентификации при доступе к корпоративной сети, белый список устройств и служб;

  • защищенные каналы связи между базовой станцией, MEC и корпоративной сетью;

  • доверенная аппаратная среда – безопасная загрузка устройств, TEE;

  • обнаружение атак в реальном времени на сетевых узлах и элементах виртуальной инфраструктуры с использованием алгоритмов ИИ.

Стоит отметить и меры защиты на уровне управления сетью [4]:

  • многофакторная аутентификация и разграничение доступа к сегментам со стороны O&M;

  • средства обнаружения поддельных базовых станций на основе мониторинга событий обслуживания;

  • безопасное управление жизненным циклом пользовательских данных, а также аналитических и служебных данных оператора – шифрование, анонимизация, безопасное хранение и удаление;

  • централизованное управление уязвимостями, политиками ИБ, анализ больших данных для обнаружения аномалий и раннего реагирования на атаки (SOC).



Выводы по седьмому разделу



При разработке стандартов 5G были приняты принципы Secure by Design, что привело к:

  • использованию взаимной аутентификации;

  • предполагаемой «открытой» сети;

  • подтверждению того, что все ссылки могут быть перехвачены.

Из основных мер защиты сети 5G можно выделить наиболее важные:

  • многоуровневая изоляция и защита целостности компонентов SDN и VNF;

  • обеспечение высокой доступности виртуальных машин для быстрого восстановления после атак;

  • обнаружение атак в реальном времени на сетевых узлах и элементах виртуальной инфраструктуры с использованием алгоритмов ИИ;

  • средства обнаружения поддельных базовых станций на основе мониторинга событий обслуживания;

  • централизованное управление уязвимостями, политиками ИБ, анализ больших данных для обнаружения аномалий и раннего реагирования на атаки (SOC).


  1. 1   ...   7   8   9   10   11   12   13   14   15


написать администратору сайта