Reflexiones sobre la protección de la infraestructura de información crítica en las redes de telecomunicaciones
De acuerdo con la "Ley de Ciberseguridad" de mi país y el "Reglamento de Protección de Seguridad de la Infraestructura de Información Crítica", la infraestructura de información crítica se refiere a "Servicios de información y comunicaciones públicas, energía, transporte, conservación del agua, finanzas, servicios públicos, gobierno electrónico y otras industrias y campos importantes. y otras industrias que pueden poner en grave peligro la seguridad nacional, la economía nacional, el sustento de las personas y los asuntos públicos una vez que sean destruidas, pierdan sus funciones o se filtren datos. Entre ellos, la red de telecomunicaciones en sí misma es una infraestructura de información clave. También proporciona servicios de información y comunicación en red para infraestructura de información clave en otras industrias y desempeña un papel de apoyo fundamental en la economía, la ciencia, la educación, la cultura y la gestión social del país. Las redes de telecomunicaciones son la base de la infraestructura de información crítica y es particularmente importante proteger la seguridad de la infraestructura de información clave en las redes de telecomunicaciones.
1. Alcance de la infraestructura de información crítica en las redes de telecomunicaciones
Según el artículo 9 del "Reglamento sobre protección de la seguridad de la infraestructura de información crítica", las autoridades de la industria de las telecomunicaciones deben combinar las condiciones reales. de la industria y el campo, formulando reglas para identificar la infraestructura de información crítica en la industria de las telecomunicaciones.
A diferencia de la infraestructura de información crítica de otras industrias, la red de telecomunicaciones (principalmente el sistema CT) que transporta voz, datos y mensajes es diferente de la infraestructura de información crítica (principalmente el sistema de TI) de la mayoría de las otras industrias. Las redes de telecomunicaciones son mucho más complejas. Las redes de telecomunicaciones incluirán muchas redes de comunicación, como la red de acceso móvil (2G/3G/4G/5G), la red de acceso fijo, la red de transmisión, la red IP, la red central móvil, la red central del subsistema multimedia IP, la red de soporte de gestión de red y el soporte empresarial. red, etc Cualquier ataque a la red afectará los servicios de voz o datos que se transmiten en la red de telecomunicaciones.
Al identificar la infraestructura de información crítica en la industria de las telecomunicaciones, se puede utilizar como referencia el conjunto de funciones críticas nacionales de Estados Unidos. 2065438+En abril de 2009, el Centro Nacional de Gestión de Riesgos de la Agencia Nacional de Seguridad de Infraestructura y Ciberseguridad (CISA) dependiente del Departamento de Seguridad Nacional de EE. UU. publicó el "Conjunto Nacional de Funciones Críticas", que dividió las funciones clave que afectan al país en suministro, distribución y gestión y conectar los cuatro reinos. Según esta clasificación, las redes de telecomunicaciones pertenecen a la categoría de conexión.
Además de las redes y servicios de telecomunicaciones anteriores, una gran cantidad de sistemas de soporte de TI que respaldan las operaciones de red, como los sistemas de soporte empresarial (BSS) y los sistemas de soporte de gestión de redes (OSS), también son muy importantes y Se debe considerar su inclusión en la base de información crítica. Extensión de las instalaciones. Por ejemplo, el sistema de gestión de red gestiona los elementos de red de la red de telecomunicaciones, una vez invadido, puede controlar la red central y provocar la parálisis de la red; el sistema de soporte empresarial (facturación) respalda el funcionamiento de la red de telecomunicaciones y guarda los datos del usuario. Una vez comprometida, es posible que se filtre información confidencial del usuario.
2. Objetivos y métodos de protección de la infraestructura de información clave de las redes de telecomunicaciones
Las redes de telecomunicaciones son infraestructura clave en la ola de digitalización, juegan un papel muy importante y están relacionadas con el nivel nacional. la economía y el sustento de las personas. Los gobiernos de todo el mundo otorgan gran importancia a la protección de la seguridad de la infraestructura crítica y han definido claramente los objetivos de protección de la infraestructura de información crítica.
En 2007, el Departamento de Seguridad Nacional de Estados Unidos (DHS) publicó la Estrategia Nacional de Seguridad Nacional, que por primera vez señalaba la necesidad de garantizar la resiliencia de la infraestructura nacional frente a los desafíos de la incertidumbre. . 2065438+ En febrero de 2003, Obama emitió la "Directiva ejecutiva para mejorar la ciberseguridad de las infraestructuras críticas". Su estrategia principal es mejorar la seguridad y la resiliencia de las infraestructuras críticas y requiere que el Instituto Nacional de Estándares y Tecnología (NIST) desarrolle un marco de ciberseguridad. . El "Marco de mejora de la ciberseguridad de las infraestructuras críticas" (CSF) publicado por el NIST en abril de 2018 propuso que la protección de la infraestructura crítica debería centrarse en la identificación, protección, detección, respuesta y recuperación, establecer un marco de seguridad de la red y gestionar los riesgos de seguridad de la red. El NIST CSF define el modelo de marco de capacidad IPDRR en torno a los requisitos de resiliencia cibernética de la infraestructura crítica y hace referencia a estándares como SP800-53 e ISO27001. El modelo de marco de capacidades IPDRR incluye cinco capacidades: identificación de riesgos, defensa de seguridad, detección de seguridad, respuesta de seguridad y recuperación de seguridad. Es la primera letra de estas cinco capacidades. En mayo de 2018, el DHS publicó la "Estrategia de ciberseguridad" con el objetivo principal de "mejorar el nivel nacional de gestión de riesgos de ciberseguridad mediante el fortalecimiento de la seguridad y la resiliencia de las redes gubernamentales y la infraestructura crítica".
En marzo de 2009, la Comisión Europea aprobó un proyecto de ley que exige la protección de la seguridad y la resiliencia de la red europea. 2065438 + En junio de 2006, el Parlamento Europeo emitió la "NISDIRECTIVA" para guiar el diseño estratégico nacional de infraestructura crítica en Países y legislación de la UE. Sobre la base de la Directiva NIS, los estados miembros de la UE formulan estrategias nacionales de ciberseguridad con referencia a las recomendaciones de la Agencia Europea de Ciberseguridad (ENISA). En 2016, ENISA publicó una guía de tecnologías de seguridad para proveedores de servicios digitales (DSP), en la que se definen 27 objetivos de tecnologías de seguridad (SO). La serie de disposiciones SO coincide con NIST ISO 27001/CSF, y la ciberresiliencia de la infraestructura crítica se convierte en un requisito importante.
Aprendiendo de las prácticas internacionales, los objetivos centrales de la protección de seguridad para la infraestructura de información crítica de la red de telecomunicaciones de mi país deben ser: garantizar la disponibilidad de la red, garantizar que la red no esté paralizada, detectar y bloquear ataques cuando sean atacados, y rápidamente restaurar los servicios de red, para lograr una alta elasticidad de la red, al mismo tiempo, mejorar el nivel de gestión de riesgos de seguridad de la red de telecomunicaciones y garantizar la seguridad de los datos de la red y los datos del usuario;
Los artículos 5 y 6 del "Reglamento de protección de seguridad de infraestructura de información crítica" de mi país estipulan que el estado implementa protección prioritaria para la infraestructura de información crítica y adopta medidas técnicas de protección y se deben tomar otras medidas necesarias para responder a la seguridad de la red. incidentes, garantizar el funcionamiento seguro y estable de la infraestructura de información crítica y mantener la integridad, confidencialidad y disponibilidad de los datos. La "Estrategia Nacional de Seguridad del Ciberespacio" de China también propone establecer e implementar un sistema de protección de infraestructura de información crítica centrado en la identificación, protección, detección, alerta temprana, respuesta y eliminación.
Refiriéndose al modelo de marco de capacidades IPDRR, debería ser establecer la identificación de riesgos de activos (I), la protección de seguridad (P), la detección de seguridad (D), la respuesta a incidentes de seguridad y la eliminación (R) en las telecomunicaciones. red, y después de ser atacado Metodología para restaurar las capacidades (R). Haciendo referencia al CSF publicado por NIST, podemos llevar a cabo la protección de seguridad de la red de telecomunicaciones en siete pasos. El primero es determinar la prioridad y alcance, y determinar los objetivos y prioridades de protección de las unidades de la red de telecomunicaciones. El segundo es el posicionamiento, aclarar los sistemas y activos relevantes que deben incluirse en las protecciones clave e identificar las amenazas, vulnerabilidades y riesgos que enfrentan estos sistemas y activos. En tercer lugar, cree el perfil de seguridad actual según el estado de seguridad actual. Cuarto, la evaluación de riesgos, que se basa en todo el proceso de gestión de riesgos o en actividades previas de gestión de riesgos. Durante la evaluación, es necesario analizar el entorno operativo, determinar si existe un incidente de seguridad de la red y evaluar el impacto del incidente en la organización. El quinto es crear un perfil de seguridad objetivo para los resultados de seguridad futuros esperados. En sexto lugar, identificar las brechas entre los resultados actuales de la gestión de riesgos y los objetivos deseados, priorizarlos analizando estas brechas y luego desarrollar planes de acción de implementación priorizados para eliminar estas brechas. Séptimo, implementar el plan de acción y decidir qué acciones se deben implementar para cerrar la brecha.
Tres. Evaluación de riesgos de seguridad de la infraestructura de información clave de las redes de telecomunicaciones
Para hacer un buen trabajo en la protección de la seguridad de las redes de telecomunicaciones, primero debemos identificar exhaustivamente los activos contenidos en las redes de telecomunicaciones y los riesgos de seguridad que enfrentan, y formular las correspondientes Políticas de riesgos basadas en los programas de reducción y programas de protección.
1. Se deben realizar evaluaciones de riesgos de seguridad en diferentes redes de telecomunicaciones.
Las diferentes redes de telecomunicaciones tienen diferentes estructuras, funciones y tecnologías, y también enfrentan diferentes riesgos de seguridad. Por ejemplo, los riesgos de seguridad que enfrentan las redes de transporte óptico y las redes centrales 5G son significativamente diferentes. El equipo de red de transporte óptico es un dispositivo de capa de enlace de datos que reenvía el tráfico de datos del plano del usuario. El equipo está distribuido, por lo que es difícil atacar el equipo de la red de transporte desde el plano del usuario. Los riesgos de seguridad que enfrentan provienen principalmente del plano de gestión. La red central es parte de la red 5G, que se implementa de forma centralizada en la infraestructura de la nube. Debido a la apertura de las redes 5G, existen riesgos no solo desde el nivel de gestión, sino también desde Internet. Una vez penetrado, el impacto es enorme. Por poner otro ejemplo, los riesgos de seguridad que enfrentan 5GRAN y 5CORE también son obviamente diferentes. Los riesgos que enfrenta 5G RAN provienen principalmente de ataques a la interfaz física, interferencias de la interfaz aérea inalámbrica, pseudoestaciones base y planos de gestión. A juzgar por las prácticas actuales de operación y mantenimiento de la red, los ataques de penetración de RAN son extremadamente raros y los riesgos son relativamente pequeños. El núcleo del 5G se basa en la arquitectura en la nube, basada en TI y orientada a servicios (SBA), y los riesgos de los sistemas TI tradicionales también se introducen en las capacidades de las redes de telecomunicaciones abiertas y la marginación de la UPF conduce a un aumento de las interfaces y; una expansión de la exposición. Por lo tanto, los riesgos de seguridad que enfrenta el núcleo 5G son objetivamente mayores que los que enfrenta 5G RAN.
Una vez determinado el alcance de la red de telecomunicaciones, los operadores deben realizar una evaluación integral de riesgos de seguridad para cada elemento de la red en función de diferentes elementos de la red.
2. Realizar una evaluación de riesgos de seguridad en los tres planos de la red de telecomunicaciones.
La red de telecomunicaciones se divide en tres planos: plano de control, plano de gestión y plano de usuario. La evaluación de riesgos de seguridad de la red de telecomunicaciones debe comenzar desde estos tres niveles y analizar los posibles riesgos de seguridad.
La comunicación entre los elementos de la red del plano de control se basa en protocolos de señalización, lo que también plantea riesgos de seguridad. Tomando SS7 como ejemplo, en 2015, la Asociación Global de Comunicaciones Móviles (GSMA) anunció que existen lagunas en la señalización de SS7, lo que puede provocar consultas ilegales de ubicación, robo de SMS y escuchas de llamadas para cualquier usuario. Si hay un problema con la señalización de análisis de la puerta de enlace de señalización, los atacantes externos pueden interrumpir directamente los elementos clave de la red central. Por ejemplo, después de implementar 5G UPF en el campus periférico, el entorno físico en el que se encuentra la UPF es incontrolable. Si se penetra la UPF, existe el riesgo de atacar la red central a través del puerto UPF N4.
El riesgo operacional de las redes de telecomunicaciones es el más alto entre los tres niveles. Por ejemplo, la Unión Europea sitúa el riesgo Mano en su nivel más alto. Los incidentes de seguridad de las redes de telecomunicaciones globales han demostrado que los casos reales de ataques a las redes de telecomunicaciones se logran principalmente a través del plano de gestión de ataques. Aunque los operadores han implementado soluciones de plataforma de gestión de seguridad unificada (4A), máquinas bastión, sistemas operativos seguros (SOC), autenticación multifactor y otras medidas de protección de seguridad en el plano de gestión, durante las inspecciones de protección de seguridad de la red de comunicaciones, a menudo se descubre que el El plano de gestión no es seguro Dominios irrazonables, políticas de control laxas, medidas de protección de seguridad inadecuadas y vulnerabilidades en los equipos VPN de acceso remoto y los sistemas 4A hacen que el sistema del plano de gestión sea fácilmente penetrado.
El plano de usuario de la red de telecomunicaciones transmite datos de comunicación del usuario, y la unidad de red de telecomunicaciones generalmente solo reenvía el contenido de la comunicación del plano de usuario sin analizar ni almacenar datos del usuario. Con el terminal y la interfaz de Internet bien protegidos, los riesgos de seguridad son relativamente controlables. Los principales riesgos de seguridad del plano de usuario incluyen: si la información del plano de usuario no está cifrada, puede ser escuchada durante la transmisión de la red, el acceso de una gran cantidad de terminales de usuario puede causar un ataque distribuido de denegación de servicio (DDOS) en el usuario; tráfico aéreo; el contenido transmitido por el avión del usuario puede contener información maliciosa, como malware, información de fraude de telecomunicaciones, etc. La interfaz de usuario de los equipos de redes de telecomunicaciones puede ser vulnerable a ataques de Internet.
3. Hacer un buen trabajo en la evaluación de riesgos de seguridad de las interfaces internas y externas.
Al realizar una evaluación de riesgos de seguridad de una red de telecomunicaciones, se deben analizar los riesgos de las interfaces externas y las interfaces internas entre elementos de la red desde una perspectiva de extremo a extremo, especialmente la evaluación de riesgos de la interfaz externa. Tomando la red central 5G como ejemplo, la red central 5G tiene las siguientes interfaces externas: interfaz N1 con UE, interfaz N2 con estación base, interfaz N4 con UPF, interfaz N6 con Internet, etc. , así como interfaz de roaming, interfaz de apertura de capacidad e interfaz de administración. Cada interfaz está conectada a un dominio de seguridad diferente y presenta diferentes riesgos. Según la definición del estándar del protocolo 3GPP, en la red dependiente de 5G (NSA), cuando un usuario se desplaza a otras redes, la autenticación, la autenticación y el registro de ubicación del usuario deben transferirse entre la red de itinerancia y la red doméstica. La interfaz fronteriza de roaming se utiliza para la interconexión entre operadores y debe transmitirse a través de la red pública. Por lo tanto, estas interfaces itinerantes son interfaces de red pública accesibles que utilizan protocolos que no definen mecanismos de autenticación, cifrado y protección de integridad.
4. Realizar una evaluación de riesgos de seguridad del entorno de virtualización/contenedor.
La red central móvil se ha nublado. En comparación con la arquitectura tradicional, la arquitectura en la nube introduce hardware de uso general y ejecuta funciones de red en un entorno virtual/entorno de contenedor, brindando un despliegue rápido y de bajo costo de redes y servicios a los operadores. La virtualización dificulta los ataques con contacto físico cercano y simplifica el aislamiento de desastres y la recuperación de los ataques. Los entornos de virtualización de funciones de red (NFV) se enfrentan a nuevas amenazas de seguridad que las redes tradicionales nunca han encontrado, incluidos recursos físicos que rompen los límites físicos, una gran cantidad de vulnerabilidades y riesgos de código abierto introducidos por capas de virtualización y software de terceros, y múltiples capas. La integración hace que sea más difícil coordinar las responsabilidades y políticas de seguridad, y las políticas de configuración de seguridad estáticas tradicionales no pueden hacer frente a la migración y la expansión debido a la falta de capacidades de ajuste automático. Los riesgos de seguridad típicos que los elementos de red pueden enfrentar en un entorno de nube incluyen: escuchas o manipulación del contenido de comunicación de la capa de aplicación a través de redes virtuales, ataques al almacenamiento virtual, acceso ilegal a datos de usuario de la capa de aplicación, manipulación de imágenes, ataques entre máquinas virtuales (VM), virtualización a través de funciones de red La infraestructura virtual (NFVI) ataca ilegalmente las máquinas virtuales y provoca que los servicios dejen de estar disponibles.
5. Realizar una evaluación de riesgos de seguridad de los activos expuestos.
Las redes de telecomunicaciones son de gran escala e involucran muchos elementos de red. Sin embargo, primero debemos determinar qué activos están expuestos en Internet. Por ejemplo, en la red 5G, elementos de red como la estación base 5G (gNB), UPF, el protocolo de pago electrónico seguro (SEPP), la función de aplicación (AF) y la función abierta de red (NEF) tienen interfaces con dispositivos de dominio que no son de confianza y deben ser considerados activos expuestos. Los dispositivos expuestos pueden convertirse fácilmente en un punto de intrusión en la red, por lo que es necesario centrarse en la evaluación de riesgos y el refuerzo de la seguridad de los activos expuestos.
Cuatro. Recomendaciones a los operadores para fortalecer la protección de seguridad de la infraestructura de información clave en las redes de telecomunicaciones.
Refiriéndose al método IPDRR aceptado internacionalmente, los operadores deben crear capacidades de protección de la seguridad de la red de telecomunicaciones en tres etapas: antes del evento, durante y después del evento, en función de los riesgos de seguridad del escenario, para lograr una alta resiliencia de la red y una alta seguridad de los datos.
1. Desarrollar las capacidades de identificación de activos y riesgos de las redes de telecomunicaciones.
Establecer un sistema de gestión de riesgos de activos de la red de telecomunicaciones para identificar y gestionar de manera uniforme todo el hardware, el software de la plataforma, los elementos de la red virtual VNF, los equipos críticos para la seguridad y las versiones de software de la red de telecomunicaciones, y realizar análisis periódicos de activos y riesgos. para lograr la gestión de activos y riesgos. El equipo funcional crítico para la seguridad es el elemento de red clave para el monitoreo de la red, como MANO, orquestador de virtualización, fortaleza de acceso de operación y mantenimiento, firewall en el límite del dominio de seguridad, servidor de control de dominio de directorio activo (AD), puerta de enlace de acceso VPN de operación y mantenimiento. sistema de seguimiento de auditorías, etc. Una vez que los equipos críticos para la seguridad sean pirateados ilegalmente, tendrá un gran impacto en la red de telecomunicaciones. Por lo tanto, es necesario identificar activos de equipos críticos para la seguridad y fortalecer los controles técnicos.
2. Establecer un sistema profundo de protección de seguridad de la red.
El primero es lograr una protección de seguridad profunda de las redes de telecomunicaciones dividiendo los dominios de seguridad de la red en dominios jerárquicos. Los sistemas del plano de usuario y del plano de control de las redes de telecomunicaciones se pueden dividir en tres categorías: zona no confiable, zona semiconfiable y zona confiable. El dominio de seguridad de administración de red (NMS) del plano de administración tiene el nivel de confianza de seguridad más alto de toda la red. Las aplicaciones de Internet de terceros pertenecen al campo que no es de confianza; los elementos de red expuestos (como 5G NEF y UPF) se colocan en la zona de semiconfianza, y la red central controla elementos de red como las funciones de gestión de acceso y movilidad (AMF) y el La red que almacena los datos de la red de autenticación de usuarios Yuanru Home User Server (HSS) y la Gestión de datos unificada (UDM) se colocan en la zona de confianza para su protección, lo que proporciona una protección especial para el cifrado de datos de la red de autenticación de usuarios. El segundo es fortalecer la protección de la seguridad de las fronteras externas de las redes de telecomunicaciones, incluidas las fronteras de Internet y las fronteras de las redes portadoras. Con base en el análisis de riesgos de seguridad de límites, cree diferentes soluciones de protección e implemente equipos de protección de seguridad, como firewalls, sistemas de prevención de intrusiones (IPS), ataques anti-DDoS, protección de señalización y monitoreo de tráfico total (NTA). En tercer lugar, para el aislamiento se utilizan cortafuegos, cortafuegos virtuales, IPS, centros de datos virtuales (VDC)/redes privadas virtuales (VPC). Por ejemplo, los firewalls pueden restringir la mayoría de los accesos ilegales a la red, IPS puede descubrir ataques a la red y bloquearlos basándose en el análisis del tráfico, VDC puede aislar recursos físicos en la nube y VPC puede aislarlos en el nivel de virtualización. Cuarto, dentro del mismo dominio de seguridad, utilice LAN virtual (VLAN), microsegmentación y aislamiento de VPC para minimizar los derechos de acceso a los elementos de la red y evitar ataques de movimiento lateral dentro del mismo dominio de seguridad. En quinto lugar, basándose en la lista blanca de la matriz de comunicación de elementos entre redes, se implementa una monitorización precisa del tráfico anormal y un control de acceso en los límites del dominio de seguridad y en los dominios de seguridad de la red de telecomunicaciones.
3. Establecer capacidades integrales de monitoreo de amenazas
La capacidad de conocimiento de amenazas de la capa de red se implementa en el límite externo, el límite del dominio de seguridad y el dominio de seguridad de la red de telecomunicaciones, mediante la implementación de una inspección profunda de mensajes. (DPI) Dispositivo, descubra el comportamiento de ataque de la red según el análisis del tráfico de la red. Basándonos en las capacidades endógenas de detección de seguridad de los elementos de red de los proveedores de equipos, creamos capacidades de detección de riesgos de seguridad para intrusiones en el sistema operativo (SO), escape de virtualización, detección de anomalías en el plano de negocios de elementos de red y detección de anomalías en el plano de operación y mantenimiento de elementos de red. Basándonos en el monitoreo del tráfico, el monitoreo de los componentes de seguridad endógenos de los elementos de la red, la recopilación y el análisis de registros de elementos de la red de telecomunicaciones, construimos una plataforma integral de conocimiento de la situación de seguridad de amenazas para descubrir rápidamente diversas amenazas de seguridad, eventos de seguridad y comportamientos anormales.
4. Fortalecer la gestión de riesgos de seguridad y el control de la gestión de las redes de telecomunicaciones.
La gestión tiene el mayor riesgo y debe protegerse. Apuntando a los riesgos de la gestión de redes de telecomunicaciones, debemos hacer un buen trabajo en el aislamiento de la red a nivel de gestión, control de seguridad de los terminales de operación y mantenimiento, autenticación multifactor y control de autoridad para que los administradores inicien sesión en los equipos y auditoría de seguridad. de las operaciones de operación y mantenimiento.
, evitar el acceso no autorizado, evitar la intrusión en la red de telecomunicaciones desde el plano de gestión y proteger la seguridad de los datos del usuario.
5. Desarrolle capacidades inteligentes y automatizadas de respuesta y recuperación ante incidentes de seguridad.
Sobre la base del sistema de protección de seguridad en profundidad a nivel de red, se establece una plataforma de control y gestión de operaciones seguras y estrategias de control de acceso de seguridad, como protección de límites, protección entre dominios, lista de control de acceso (ACL ), la microsegmentación y la VPC están organizadas de manera uniforme. Realice análisis de big data basados en eventos de seguridad informados por el tráfico, registros de elementos de red y componentes endógenos de elementos de red para detectar intrusiones de manera oportuna y responder automáticamente a los ataques.
(Este artículo fue publicado en la revista "China Information Security", número 11, 20265438).