作者 | 天地和兴工业网络安全研究院编译

企业5G专用网络让私营企业和地方政府拥有自己的电信基础设施,然而这也带来了尚未明确的风险。为了识别5G企业专用网络所面临的新兴威胁,趋势科技使用了配备5G企业专网的模拟智能钢铁厂作为测试环境,研究了制造业实施5G专用网络时可能出现的潜在网络安全风险,以及多种攻击场景和防御措施。

研究显示,攻击者入侵核心5G网络的路径包括:托管服务器、虚拟机、网络基础架构、以及基站。攻击者一旦进入核心网络,就能在网络内横向移动,并拦截或篡改网络封包。在测试环境中,黑客可经由攻击智能制造环境中的工业控制系统来窃取机密敏感信息、破坏生产线、或向企业勒索。

一、工业移动通信系统

5G(第五代移动通信系统)是与AI(人工智能)和IoT(物联网)并驾齐驱的现代前沿技术之一。5G是支持下一代社会的基础,因为其在数字化转型中取得了跨越式发展。5G最大的特点是其大带宽、极高的同时连接设备容量和超低延迟。与4G中主要面向人的服务不同,这些功能允许5G应用于机器之间通信的广泛用例。

特别是,5G将延迟降低到了可以满足工业应用中的最低延迟要求的程度。这意味着5G可以推动移动网络在工业领域的传播,例如在关键任务中没有设计的传统移动网络系统。

图1 移动通信系统随着时间的推移,5G将推动工业系统的快速安装

工业移动通信系统的安装标志着企业IT的重大转变,这一切都归功于5G。随着5G中同时连接的设备数量大幅增加,物联网设备的普及取得更多进展。因此,5G不仅仅意味着快速的网络,还可以被视为公司数字化转型的基础。

5G是第五代移动通信系统,移动通信系统是指让用户在移动中保持联系的技术。自第一代1G以来,移动通信系统的基本配置没有改变。主要包括三个要素,如下图所示。

图2 移动通信系统中的三要素

第一个元素是用户设备(UE)。这是指带有SIM卡的智能手机和其他设备。在5G时代,除了智能手机之外,还有大量用户设备会受到关注,例如工厂设备、汽车、传感器、安全摄像头和其他物联网设备。这些设备与附近的基站进行无线通信,基站包含天线,并且所有这些基站一起形成无线电接入网络(RAN)。通过RAN获得的信息传递到核心网络(CN)。CN是整个移动网络的大脑,管理用户注册和移动,以及数据处理。这三个元素有机地协同工作,以便用户可以在移动时进行交流。这种基本布局在第五代5G中保持不变,基本系统由UE、RAN和CN组成。

智能手机的普及率飙升,但与UE相比,人们对CN和RAN及其工作原理知之甚少。这是因为移动电话和其他个人服务在公共5G中,CN和RAN由电信提供商构建和运营。这意味着用户无需考虑CN或其他细节即可进行通信。然而随着5G专用网络的到来,这种情况即将发生重大变化。

二、5G专用网络存在的安全风险

顾名思义,专用5G(Private 5G)是指在限制区域内用于特定目的的独立5G网络。与电信提供商的公共5G网络不同,该网络可以灵活的设计和构建,以适应各种使用情况。5G专用网络在微服务级别进行了优化,这就是各个组织选择在其IT环境中实施电信基础设施的原因。通常,电信提供商负责构建和运营核心网络和无线接入网络,但在专用5G配置中,私营公司和地方政府必须自行完成这项工作。

图3 在5G专用网络中,用户组织可以自己建设和运营CN和RAN

专用5G带来了“通信的民主化”,这有助于构建开放技术,并促进市场和业务增长。专用5G技术允许私营公司和地方政府在运行最新信息通信系统方面占据主导地位,但也导致使用该技术的用户组织承担更多责任。但是,并非所有组织都具备处理电信技术的知识和能力,处理系统的相关公司部门不熟悉电信基础设施,这可能会导致安全风险。

三、使用5G专网的钢铁厂作为测试环境

对此,趋势科技进行了现场测试,以确定用户组织在使用专用5G之前需要了解的网络安全风险。在测试中,研究人员使用了基于钢铁行业的环境。

钢铁行业的性质使其成为实施5G的真正理想领域,同时也要求数据完整性。钢铁行业是IT整合速度最快的工业领域之一,具有以下三个特征。

图4 钢铁行业作为安装专用5G的主要领域的独特性

首先,钢铁生产需要大型厂房。钢铁行业是典型的以硬件为基础的行业,需要很大的面积来容纳必要的设备。与Wi-Fi相比,专用5G对大型场所的覆盖更好,因此人们对其通过远程控制相关设备、使用高清工业电视(ITV)摄像机的4K视频进行远程监控、以及为现场工人提供远程协助来实现节电寄予厚望。

其次,钢铁生产存在化学反应带来的物理危害。由于它以铁为原料,因此该行业需要在高温下进行加工才能制造产品。这意味着人们无法直接检查材料的状态,因此需要借助传感器和计算机来进行检查。所以数据完整性和系统可用性至关重要。

第三,钢铁行业的细分结构复杂。与涉及由许多组件组装产品的汽车行业不同,钢铁行业涉及使用单一材料(铁)生产许多不同的产品。加工这种材料需要对温度、气压和混合成分进行微调。大型钢铁厂每年可收到上百万份订单,因此IT系统对于准确处理大量信息至关重要。专用5G有望成为满足行业需求同时提高生产力的强大力量。

研究人员建立了一个配备5G设备的钢铁厂模拟环境。在构建环境时,研究人员专注于三个关键概念。

图5 搭建现场测试环境的三个关键概念

首先,在内部构建了核心网络和无线接入网。虽然构建专用5G配置有多种不同的方法,但在研究中设想了一个场景,专用5G用户自行构建和操作系统,从而拥有一个完全独立的网络。

其次,实现了非独立配置。非独立意味着5G网络架构可以最大限度地利用当前运行的4G网络设备。与此相反,仅支持5G的架构称为独立架构。这就需要将所有的通信设备都切换为独立格式,因此目前可能会以非独立格式为主。

第三,专注于使用PLC、HMI和其他设备复制工厂网络,这有助于检查物理损害。

测试的网络配置如下图所示,可以看到网络包括IT、OT和CT。

图6 现场测试环境的网络配置

图6的右下角代表现场网络,PLC和其他设备连接到该网络,它复制了钢铁厂的物理环境。控制网络位于左下角,该网络连接到管理员使用的计算机,该网络控制现场网络。图的中间是核心网络和无线接入网络,是本次测试的主要系统,这些都属于CT领域。核心网络作为通信系统的控制塔,是实现移动通信网络专有技术尤为重要的领域之一。

图7 真实环境(左)和控制平面的逻辑架构(右)

图7的左侧显示了实际的现场测试环境,乍看起来非常简单,但它包含一个极其复杂的软件架构,如右图所示。需要注意的是,核心网络由控制用户注册和管理的控制平面(Control Plane)和管理数据处理的用户平面(User Plane)组成。5G通信依赖于这两个正常运行的平面。核心网络由企业IT人员不熟悉的通信技术组成,因此对于用户来说这是一个未知的领域。

四、四大渗透路线

如果组织迁移到构成核心网络和无线电接入网络的硬件和软件的开放选项,则此配置将承担与开放IT环境相同的漏洞风险。最近,许多公司正在构建PoC,以期在未来实施全面的专用5G配置。但是,只有极少数情况将网络安全列入要验证的项目清单。由于构成专用5G网络的通用服务器和开源软件的性质,如果在安装网络时没有适当考虑安全性,基础设施可能存在严重漏洞。如果制造环境与移动通信系统深度交织,应用补丁可能并不容易,因为制造现场可能会根据政策优先考虑可用性。因此,关注潜在的漏洞至关重要。

图8 四种潜在的渗透路线

1、核心网络托管服务器

随着专用5G越来越成为主流,预计组织将使用通用服务器来托管其核心网络,以降低成本。在现场测试中,研究人员使用了一个普通的x86服务器来托管核心网络。随着开放基础设施趋势的持续,必须警惕核心网络托管服务器中被利用的潜在漏洞。研究人员发现Linux操作系统中的用户和漏洞都在增加,这是在专用5G配置中构建核心网络环境的一个至关重要的领域。

2、虚拟机

容器和其他虚拟化环境中的漏洞也势在必行。趋势科技研究人员知道一种称为容器逃逸(Container Escape)的攻击类型,攻击者可以通过容器渗透到主机服务器。容器技术将在5G核心网络中发挥重要作用,容器镜像主要由SQL数据库引擎和编程语言等开源包组成。因此,对于从外部来源下载的代码,这些软件包需要采取同样的预防措施,查找库的制作者,并检查代码以确保它不是恶意的。考虑到在构建专用5G配置时与系统集成商密切合作至关重要,用户组织(和资产所有者)必须主动要求系统供应商和集成商在容器环境中实施安全措施。

3、网络基础设施

另一个渗透途径是网络基础设施,包括路由器和防火墙。专用5G解决方案在核心网络中使用交换机、路由器和其他网络设备。就像任何常规IT系统一样,管理和缓解此设备中的漏洞至关重要。

4、基站

基站安全研究目前还有很长的一段路要走,但研究人员在测试中发现了一些漏洞,并向供应商报告了这些漏洞,但是供应商表示这些问题只能在用于测试的模型中发现,而不是在常规产品中。但是,验证环境通常包含重要的文件和知识产权,因此确保验证环境中设备的安全级别与生产环境中的设备安全级别相同至关重要。在任何情况下,强烈建议基站所有者在现场进行渗透测试,并检查基站是否得到充分保护,生产环境中是否存在类似漏洞。

专用5G配置中的这些漏洞不一定会暴露在互联网上,以供网络攻击者访问,但是随着基础设施变得更加开放,漏洞和攻击方法可以广泛共享。

五、三个信号拦截点

一旦攻击者通过上述路线之一进入核心网络,将进入下一阶段:拦截和篡改数据。在测试中,研究人员确定了用户平面内处理用户数据的三个拦截点。

图9 验证环境中核心网络的逻辑图,以及三个信号拦截点

第一点是核心网络与互联网的链路(图中1),这是将核心网络连接到外部的回程。第二点是SGW和PGW相互通信的地方(图中2),这是用户数据的服务网关和连接到外部网络的分组数据网络网关之间的点。第三点位于基站和核心网络之间(图中3),这是数据从用户设备进入用户平面的地方。如果数据在任何这些点之间以未加密的明文形式发送,则数据可能会被拦截或篡改。

通过选择带有加密的协议,或者通过实施IPsec或VPN,可以有效地降低这种风险。无论哪种方式,IT管理员都需要记住,5G系统默认不支持加密。如果攻击者设法使用这些拦截点之一,就可以针对制造现场发起攻击。

六、六种攻击方式

在研究中,研究人员确定了总共六种攻击制造现场的方法。

表1 制造现场攻击方法一览

表中的前三种方法(MQTT劫持、Modbus/TCP劫持、PLC固件重置)通过篡改核心网络中的用户数据带来物理损害,因此需要特别注意。第四种和第五种方法“DNS劫持”和“远程桌面攻击”不会直接造成物理损害,但可以用来窃取机密信息或提升权限。第六种方法“SIM交换”针对用户设备。SIM卡是IT管理员需要管理的一种新资产,因为它们是移动通信系统所独有的。因此,建议管理员实施减少恶意SIM卡使用的策略。

研究人员通过研究Modbus/TCP劫持禁用警报攻击场景,以了解恶意使用这些攻击方法时会实际造成多大损害。

七、通过Modbus/TCP劫持禁用警报

下图是场景示意图,目标是削弱制造过程。攻击者可以利用核心网络主机服务器中的漏洞进入核心网络。

图10 通过Modbus/TCP劫持禁用警报的攻击场景概述

然后,攻击者以网络为跳板,通过Modbus/TCP向与温度控制阀关联的PLC发送非法命令。这会导致阀门发生故障,因此部分炼钢过程的温度会高于正常温度。这本身会影响制造过程,但攻击者并没有就此止步。他们可以在核心网络中使用诡计,来进一步扩大损害。

钢铁厂必须进行严格的温度控制,因此现场温度由传感器持续监测,该温度信息被发送到HMI。如果HMI接收到的数据偏离规定范围,就会发出警报。然而,攻击者以核心网络为跳板,拦截来自传感器的数据包,并重写温度值,使其看起来在正常范围内。被攻击者篡改的信号被发送到管理员的人机界面。这有效地禁用了警报。此时制造现场可能会变得非常热,但管理员不会意识到这一点,因此制造过程和产品都会受到损害。

八、从攻击者角度看问题

在考虑防御时,从攻击者的角度思考至关重要。换句话说,可以通过理解攻击者为何会攻击核心网络,来设计有效的措施。核心网络是处理信息的基础,对制造过程的机密性、完整性和可用性有直接影响。因此,该系统为恶意行为者提供了许多攻击选项,例如窃取信息或造成损害。

图11 IT需要高保密性、OT需要高可用性、CT需要高完整性

专用5G和其他形式的网络基础设施一旦建成并开始运行,就无法轻易更改或更新。这个基础对攻击者很有吸引力,因为这可以使其秘密地渗透到选择的网络中,有很多时间来完成最终目标。攻击者已准备好花费大量资源来破坏该系统,如果公司成为目标,可能会面临极其严重的损害。因此,如果用户公司希望实施专用5G配置,那么采取基于安全设计的方法并从中长期角度准备安全措施是有效的,以预测攻击者会渗透系统。具体来说,建议采取以下三个行动:

  • 在核心网络中实施加密和身份验证/权限;

  • 在PoC阶段验证安全性;

  • 构建快速检测异常结构。

九、在5G专网中实现安全的三要素

1、在核心网络中实施加密和身份验证/权限

研究表明,核心网络是潜在攻击的新领域,因此在实施专有5G时存在安全风险。核心网络对于构建移动通信系统至关重要,也是处理用户数据的重要组成部分。为了保护核心网络,首先要了解攻击者可以利用的区域。研究人员的测试揭示了四个渗透路线和三个信号拦截点,以及确定了攻击者如何利用这些弱点的六个场景。

表2 研究中确定的攻击方法,以及缓解技术策略

除了SIM卡交换之外,所有这些攻击都始于对核心网络中的信号的拦截。对抗这些攻击的有效技术策略主要涉及加密通信和管理身份验证和权限,包括SIM卡。更详细地说,这涉及使用支持加密的协议、安装EDR、XDR或其他检测和响应工具,以及管理SIM卡以便与设备相关联。这些都是零信任配置的关键要素,因此在专用5G环境中设计核心网络时,考虑零信任是至关重要的。当然,如果系统存在固有漏洞,攻击者可能会破坏加密功能,因此解决系统中的任何弱点仍然很重要。

2、在PoC阶段验证安全性

希望实施专用5G的用户组织需要首先在设计阶段明确安全要求,并且需要在与系统集成商作为合作伙伴密切合作的同时做到这一点。预计会有越来越多的公司构建PoC,以期在未来实施全面的专用5G配置。然而不幸的是,在PoC阶段验证安全要求的情况很少。

专用5G网络是加速物联网部署的基础。就像建筑物建成后不会更改其地基一样,通过使用内置安全性而不是诉诸附加安全性,可以获得更好的结果。出于这个原因,建议将本研究中确定的风险领域纳入PoC考虑的领域。通过解决这次在设计阶段确认的渗透路线和拦截点,可以显著降低风险。

图12 在PoC中要考虑的安全问题示例

3、构建快速检测异常结构

随着网络攻击变得越来越复杂和精细,采取措施在内部缓解这些攻击变得越来越重要。随着数字化转型步伐的加快,公司网络边界变得越来越模糊和复杂。恶意代理会使用所有可能的攻击路径,来尝试渗透系统并访问网络内的资源。在攻击者眼中,工厂和其他生产场所是宝贵的资源。今年,美国Colonial Pipeline大型石油管道公司遭到网络攻击,导致其业务暂停五天。据报道,该公司的IT系统受到攻击,因此关闭了控制系统,以防止损害进一步蔓延,此举导致业务活动暂停。

图13 外围防御崩溃:公司网络边界变得不清晰

通过这种方式,对控制系统的网络攻击通常通过IT进行。如果无法查看系统的当前状态或可能的威胁,则无法预测攻击后的损坏程度。许多制造企业都面临着同样的问题。随着系统变得越来越复杂,网络攻击的方法也越来越复杂。为了对抗这些攻击,具有持续监控整个系统并迅速检测任何变化的功能至关重要。在包括IT、OT和CT在内的多个层上实施XDR可以显着帮助降低业务风险。

参考资源:

1.https://www.trendmicro.com/en_us/research/21/j/security-risks-with-private-5g-in-manufacturing-companies-part-1.html

2.https://www.trendmicro.com/en_us/research/21/j/security-risks-with-private-5g-in-manufacturing-companies-part-2.html

3.https://www.trendmicro.com/en_us/research/21/j/security-risks-with-private-5g-Networks-in-manufacturing-part-3.html

4.https://www.trendmicro.com/en_us/research/21/k/private-5g-security-risks-in-manufacturing-part-4.html

声明:本文来自关键基础设施安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。