在5G環(huán)境下，每一個物聯(lián)網(wǎng)安全問題都將被放大。在部署企業(yè)的系統(tǒng)之前，請先解決本文介紹的8個方面的問題。

超高速5G移動網(wǎng)絡(luò)不僅有望能更有效地把人們連接起來，而且進(jìn)一步提高了連通性，從而更好地控制機(jī)器、物體和設(shè)備。其極高的Gbps數(shù)據(jù)傳輸速率、低延遲和大容量對消費者和企業(yè)來說是好消息。但是，正如一位早期采用者所體會到的，這也帶來了重大的新安全風(fēng)險。

全球家電制造商惠而浦公司已經(jīng)開始在旗下一家工廠推出5G技術(shù)。該公司在傳統(tǒng)局域網(wǎng)Wi-Fi網(wǎng)絡(luò)環(huán)境下，使用物聯(lián)網(wǎng)設(shè)備開展預(yù)測性維護(hù)、環(huán)境控制和過程監(jiān)控等方面的工作，但在5G環(huán)境下，公司還能夠做一些Wi-Fi無法完成的工作，比如部署自動叉車和其他車輛。

惠而浦北美地區(qū)IT和OT制造基礎(chǔ)設(shè)施應(yīng)用經(jīng)理Douglas Barnes介紹說：“我的工 廠里有很多金屬物品。Wi-Fi會被金屬反射。即使我在工廠里用的是網(wǎng)格Wi-Fi，但金屬實在太多了。而5G則能穿過墻壁，不會被金屬反射?！?/p>

他說，“這意味著一旦在工廠車間部署好5G，惠而浦就將迎來巨變。這將使我們能夠在整個工廠里使用真正的無人駕駛車輛，進(jìn)行維護(hù)、交付，以及支持制造運(yùn)營的所有工作。這個業(yè)務(wù)案例非常重要，節(jié)省了很多成本。5G的回報太豐厚了?！?/p>

他說，公司已經(jīng)進(jìn)行了測試，以確保無人駕駛車輛能夠正常工作。這個月會分配好資源，今年年底前，車輛將在5G環(huán)境中運(yùn)行。他說：“如果我們成功了，我們在無人駕駛車輛這一業(yè)務(wù)案例上的所有付出都是值得的。”

Barnes敏銳地意識到物聯(lián)網(wǎng)已經(jīng)給企業(yè)帶來了網(wǎng)絡(luò)安全問題，這些問題在很大程度上會因轉(zhuǎn)向5G而被放大?；荻峙c其5G合作伙伴AT&T一起解決了這些問題。他說：“我們每天都像是在打仗。在我們開始之前，我們和AT&T討論的第一件事就是網(wǎng)絡(luò)怎樣才是安全的?！?/p>

以下是惠而浦等企業(yè)在制定5G實施計劃時需要考慮的8個方面的關(guān)鍵問題。

加密和保護(hù)5G網(wǎng)絡(luò)數(shù)據(jù)流

隨著5G的出現(xiàn)，連接到網(wǎng)絡(luò)的智能設(shè)備數(shù)量將大幅增加，這些網(wǎng)絡(luò)的數(shù)據(jù)流量也將隨之大幅增加。Gartner預(yù)測，明年企業(yè)的汽車物聯(lián)網(wǎng)設(shè)備數(shù)量將增加到58億，比今年預(yù)計的48億物聯(lián)網(wǎng)終端總數(shù)增長21%。由此，攻擊者認(rèn)為這些網(wǎng)絡(luò)環(huán)境中有豐富的被攻擊目標(biāo)，甚至比現(xiàn)在還要多。

Barnes說，為了解決這個問題，惠而浦將加密所有5G數(shù)據(jù)流，并將5G天線配置為只接受獲得許可的數(shù)據(jù)流。他說：“當(dāng)我們添加設(shè)備時，我們將其配置為5G可接受設(shè)備。如果沒有被列入白名單，我們就不會接受它。既然是經(jīng)過加密的，我就不擔(dān)心有人試圖截獲信號，因為他們做不了什么?！?/p>

他說，如果數(shù)據(jù)流離開本地網(wǎng)絡(luò)，通過公共5G或者互聯(lián)網(wǎng)流出，那么將通過受保護(hù)的VPN隧道對通信進(jìn)行保護(hù)。他說：“由于我們可能不得不使用5G與外部進(jìn)行通信，因此，我們預(yù)先進(jìn)行了設(shè)置?！?/p>

2.保護(hù)和隔離易受攻擊的設(shè)備

下一個可能出漏洞的是設(shè)備本身。Barnes說：“這個行業(yè)非常缺乏安全意識。特別是工業(yè)設(shè)備通常都有專有的操作系統(tǒng)，而且不能安裝補(bǔ)丁或者通過許可來禁用它們。它們在設(shè)計之時并沒有考慮到補(bǔ)丁問題。”

Barracuda網(wǎng)絡(luò)公司的高級安全研究員Jonathan Tanner認(rèn)為，事實上，大多數(shù)物聯(lián)網(wǎng)安全錯誤都沒有得到解決。他說，有些設(shè)備存在無法通過固件更新來修復(fù)的問題，或者沒有更新固件的機(jī)制。即使設(shè)備制造商在下一代設(shè)備上增加了安全功能，而那些不安全的老設(shè)備仍然沒有得到保護(hù)。

Tanner補(bǔ)充說，有些企業(yè)并不在意，甚至忽略了指出漏洞的安全研究人員。Tanner說：“有些設(shè)備易受攻擊的企業(yè)已經(jīng)倒閉了。他們對設(shè)備原先存在的任何漏洞都聽之任之?！?/p>

如果一家企業(yè)受困于這些不安全的物聯(lián)網(wǎng)設(shè)備時，應(yīng)該怎么辦？惠而浦的Barnes說，網(wǎng)絡(luò)隔離措施與其他網(wǎng)絡(luò)安全技術(shù)相結(jié)合可以幫助保護(hù)他們。他說：“我們的方法分為兩層。第一層是通過網(wǎng)絡(luò)安全功能監(jiān)視所有的數(shù)據(jù)流，第二層是采用受協(xié)議驅(qū)動的安全措施，執(zhí)行深層數(shù)據(jù)包檢查，查找協(xié)議中嵌入的惡意活動類型?！?/p>

除此之外，還有一般的安全環(huán)境保護(hù)措施，例如，盡可能打上補(bǔ)丁，定期對所有設(shè)備進(jìn)行安全審計，對網(wǎng)絡(luò)上的所有設(shè)備都建立完整的設(shè)備清單。

3.準(zhǔn)備好應(yīng)對更大的DDoS攻擊

一般來說，5G并不意味著安全性會比前幾代無線技術(shù)差。諾基亞威脅情報實驗室主任Kevin McNamee說：“5G確實帶來了4G和3G所不具備的新安全功能。有了5G，整個控制平面都被遷移到網(wǎng)絡(luò)服務(wù)類型的環(huán)境中，在這種環(huán)境中，經(jīng)過了嚴(yán)格的身份驗證，是非常安全的。這是一種進(jìn)步。”

McNamee介紹說，僵尸網(wǎng)絡(luò)進(jìn)攻的機(jī)會也增加了，給加強(qiáng)安全帶來了挑戰(zhàn)。他說：“5G將極大地提高設(shè)備的可用帶寬。帶寬的增加會提高物聯(lián)網(wǎng)機(jī)器人的可用帶寬?！?/p>

增加的帶寬會被用于尋找更容易受到攻擊的設(shè)備，并傳播感染，而僵尸網(wǎng)絡(luò)將發(fā)現(xiàn)更多容易受攻擊的設(shè)備。消費者開始越來越多地購買智能家居設(shè)備。與惠而浦一樣，企業(yè)都是物聯(lián)網(wǎng)設(shè)備的大用戶。政府機(jī)構(gòu)和其他類型的組織也是如此。

5G技術(shù)支持將設(shè)備放置在偏遠(yuǎn)地區(qū)，在這些地方是難以進(jìn)行維護(hù)的。ESET安全研究員兼俄勒岡州無線互聯(lián)網(wǎng)服務(wù)提供商協(xié)會聯(lián)合主席Cameron Camp評論說：“將會有成群的傳感器記錄從天氣到空氣質(zhì)量直至視頻的所有信息。這意味著新的機(jī)器群有可能被黑客入侵并成為僵尸網(wǎng)絡(luò)的一部分。由于這些傳感器大部分都是無人值守的，因此很難發(fā)現(xiàn)黑客并作出響應(yīng)?！?/p>

物聯(lián)網(wǎng)設(shè)備有時也會空閑一段時間。用戶不會去更換一個仍在正常工作的設(shè)備。攻擊者會對他們的僵尸網(wǎng)絡(luò)采取低調(diào)的方式，這樣他們就不會引起任何注意。即使有可用的補(bǔ)丁，或者制造商開始銷售更新的、更安全的設(shè)備版本，客戶也可能不會費心地去進(jìn)行更改。

與此同時，很多智能物聯(lián)網(wǎng)設(shè)備正在運(yùn)行真正的操作系統(tǒng)，例如嵌入式Linux，使其成為幾乎功能齊全的計算機(jī)。受感染的設(shè)備可用于承載非法內(nèi)容、惡意軟件、命令和控制數(shù)據(jù)以及其他對攻擊者有價值的系統(tǒng)和服務(wù)。用戶不會把這些設(shè)備視為需要防病毒保護(hù)、打補(bǔ)丁和更新的計算機(jī)。很多物聯(lián)網(wǎng)設(shè)備不保存流入和流出數(shù)據(jù)流的日志。這使得攻擊者能夠保持匿名，更加難以關(guān)閉僵尸網(wǎng)絡(luò)。

這就構(gòu)成了三重威脅。有可能被利用設(shè)備的數(shù)量、僵尸網(wǎng)絡(luò)的可用帶寬以及設(shè)備進(jìn)行DDoS攻擊的可用帶寬都在增加。5G環(huán)境中，很多設(shè)備仍然不安全，有些設(shè)備沒有補(bǔ)丁，DDoS攻擊呈指數(shù)增長，因此，企業(yè)現(xiàn)在要為此做好準(zhǔn)備。

4.向IPv6遷移可能會使私有互聯(lián)網(wǎng)地址公開

隨著設(shè)備的激增和通信速度的提高，企業(yè)可能會傾向于使用IPv6來替代現(xiàn)在常見的IPv4。支持更長IP地址的IPv6在2017年成為互聯(lián)網(wǎng)標(biāo)準(zhǔn)。

IPv4地址不夠分配，只有大約43億個地址。2011年，一些注冊中心的地址數(shù)量逐漸用盡，2012年，一些組織開始轉(zhuǎn)向IPv6。但據(jù)互聯(lián)網(wǎng)協(xié)會（Internet Society）的數(shù)據(jù)顯示，如今只有不到30%的谷歌用戶通過IPv6訪問平臺。

諾基亞的McNamee說，很多企業(yè)以及幾乎所有的家用設(shè)備和大量的移動電話網(wǎng)絡(luò)都使用私有IPv4地址，而不是IPv6。他說：“這為他們提供了一種自然保護(hù)，使他們免受攻擊，因為他們在互聯(lián)網(wǎng)上是不可見的。”

隨著全球轉(zhuǎn)向5G，運(yùn)營商自然會轉(zhuǎn)向IPv6，以便為數(shù)十億臺新設(shè)備提供支持。如果他們選擇公共IPv6地址而不是私有地址，那么這些設(shè)備現(xiàn)在將是可見的。他說，IPv6和5G都沒有問題，但將設(shè)備從IPv4遷移到IPv6的企業(yè)可能會意外地把它們放到公共地址上。

5.邊緣計算增加了攻擊面

那些希望為客戶或者自己分散的基礎(chǔ)設(shè)施減少延遲和提高性能的企業(yè)，正越來越多地關(guān)注邊緣計算。在5G的支持下，終端設(shè)備的通信能力越來越強(qiáng)，邊緣計算的優(yōu)勢也越來越大。

但是，邊緣計算也顯著增加了潛在的攻擊面。那些還沒有開始轉(zhuǎn)向零信任網(wǎng)絡(luò)架構(gòu)的企業(yè)現(xiàn)在應(yīng)考慮好這個問題，然后才能對邊緣計算基礎(chǔ)設(shè)施進(jìn)行大量投資。當(dāng)他們真的開始構(gòu)建時，安全是首要考慮因素，而不能當(dāng)事后諸葛。

6.新的物聯(lián)網(wǎng)供應(yīng)商關(guān)注的是率先上市，而不是安全

物聯(lián)網(wǎng)淘金熱將促使新的供應(yīng)商進(jìn)入這一領(lǐng)域，鼓勵現(xiàn)有供應(yīng)商競相把新設(shè)備推向市場。Barracuda的Tanner說，物聯(lián)網(wǎng)設(shè)備比尋找漏洞的安全研究人員多得多。他說，隨著新制造商的加入，我們將看到一個全新的安全錯誤周期。

Tanner看到業(yè)界正在一遍又一遍地犯著同樣的錯誤，報告的物聯(lián)網(wǎng)設(shè)備漏洞越來越多，而不是減少。他說：“還沒有從業(yè)內(nèi)其他人的錯誤中汲取足夠的教訓(xùn)?！?/p>

Joe Cortese是合規(guī)與安全聯(lián)盟滲透測試實踐主管，他的主要工作是研究怎樣入侵企業(yè)網(wǎng)絡(luò)，他說：“供應(yīng)商不在乎物聯(lián)網(wǎng)設(shè)備是否安全。今年年初，我購買了5臺與電燈開關(guān)相關(guān)的設(shè)備，我能從屋外使用其中的4臺。有些測試模式內(nèi)置在設(shè)備中，供應(yīng)商從未刪除這些模式?！?/p>

Cortese說，所有供應(yīng)商都希望最先進(jìn)入市場。對于許多廠商來說，推出設(shè)備最快的方法是使用現(xiàn)成的平臺，例如嵌入式Linux。他說：“我曾為情報部門工作過。最近，我發(fā)現(xiàn)了一個物聯(lián)網(wǎng)惡意軟件，它只需要7行代碼就能攻破一臺設(shè)備?！彼f，那些不加固設(shè)備的制造商很容易遭受這種攻擊。

比如說，攻擊者可以利用它來關(guān)閉工廠或者關(guān)鍵的基礎(chǔ)設(shè)施，或者劫持公司的系統(tǒng)以進(jìn)行勒索。Cortese說：“我還沒有看到這種情況發(fā)生，但這只是因為5G還沒有被廣泛部署。隨著5G的廣泛采用和物聯(lián)網(wǎng)的擴(kuò)展，我們可能會看到像制造業(yè)這樣的系統(tǒng)將遭受大量的攻擊?！?/p>

7.警惕假冒攻擊

由于大多數(shù)5G網(wǎng)絡(luò)都不是獨立的，仍然容易受到4G和舊協(xié)議固有的一些缺陷的影響。GTP協(xié)議就是一個例子，它用于在4G和更早的網(wǎng)絡(luò)上傳輸用戶和控制數(shù)據(jù)流。它有一個允許攔截用戶數(shù)據(jù)的漏洞，這可能導(dǎo)致假冒攻擊。

Positive科技公司最近發(fā)布了一份關(guān)于GTP漏洞及其對5G網(wǎng)絡(luò)影響的報告。它描述的一個漏洞是，GTP不檢查用戶的位置，因此很難確定哪一數(shù)據(jù)流是合法的。攻擊者只需假冒用戶的IMSI訂戶標(biāo)識和TEID隧道標(biāo)識即可。后者是很容易獲得的，而攻擊者有多種方法獲取IMSI，其中最簡單的方法是在暗網(wǎng)上購買數(shù)據(jù)庫。

為方便攻擊，攻擊者通常借助于執(zhí)行直通身份驗證的服務(wù)來進(jìn)行假冒攻擊。這也可能使第三方合作伙伴遭受未經(jīng)授權(quán)的訪問。

Positive科技公司的研究人員建議安全部門跟蹤用戶或者設(shè)備的位置，但要注意，大多數(shù)網(wǎng)絡(luò)并沒有部署執(zhí)行此類操作所需的安全工具。

8.應(yīng)有人為物聯(lián)網(wǎng)安全負(fù)責(zé)

物聯(lián)網(wǎng)安全的最大障礙不是技術(shù)上的，而是心理上的。沒有人愿意承擔(dān)責(zé)任。大家都想把責(zé)任推給別人。買方指責(zé)賣方?jīng)]有保證他們設(shè)備的安全。賣方指責(zé)買方選擇了更便宜、更不安全的產(chǎn)品。在5G的世界里，讓他人負(fù)責(zé)物聯(lián)網(wǎng)安全是不可想象的。

據(jù)Radware去年發(fā)布的一項調(diào)查，34%的受訪者認(rèn)為應(yīng)由設(shè)備制造商負(fù)責(zé)物聯(lián)網(wǎng)安全，11%的受訪者認(rèn)為應(yīng)由服務(wù)提供商負(fù)責(zé)，21%的受訪者認(rèn)為應(yīng)由消費者負(fù)責(zé)，35%的人則認(rèn)為應(yīng)由業(yè)務(wù)部門負(fù)責(zé)。Radware的戰(zhàn)略副總裁Mike O‘Malley評論說：“換句話說，沒有共識。”此外，他還說，消費者不具備這些知識或者技能。企業(yè)招不到足夠的員工。制造商相互之間太不協(xié)調(diào)、太多而難以控制。

企業(yè)可以雇傭服務(wù)提供商來承擔(dān)一些工作，但這并不能解決消費者設(shè)備不安全、制造商不愿做出改變以及缺乏一致的全球監(jiān)管和執(zhí)行等問題。

每個人都應(yīng)該對物聯(lián)網(wǎng)安全負(fù)責(zé)。買方應(yīng)堅持要求，他們購買的產(chǎn)品不能有默認(rèn)密碼或者測試模式，通信是經(jīng)過加密和認(rèn)證的，設(shè)備要定期打上補(bǔ)丁和更新。供應(yīng)商應(yīng)該把不安全的設(shè)備下架，在產(chǎn)品設(shè)計過程開始時就要考慮安全問題，而不是在安全事件上了新聞頭條后才開始考慮。