建構資安防護機制 審慎面對5G潛在威脅風險
2020年是5G商轉元年,而5G有別於過去2G、3G和4G,挾著前所未有的高頻寬(eMBB)、低延遲(URLLC)和廣連結(mMTC)等優勢,成為史上最能支持企業應用的行動通訊技術,因而使「5G專網」需求看漲。當5G被佈建到企業內部環境,促成IT、CT和OT網路相連,導致資安威脅隨之增加。
工業技術研究院技術副理王子夏表示,針對5G通訊帶來的資安議題,其實與URLLC及mMTC兩項特性較有關聯。以URLLC而論,相關應用情境主要在於工控自動化、無人載具或遠距醫療,一旦出狀況,可能造成巨大損失、甚至危及使用者生命安全,亟需結合完善的資安管控。
至於mMTC,與涵蓋大量IoT裝置的應用場景相關。根據Gartner於今(2020)年7月提出的報告顯示,迄今有超過20%組織曾遭IoT設備的資安攻擊事件,顯見資安需求極為重要。以2016年Mirai殭屍網路攻擊為例,當時造成1 Tbps攻擊流量,如今IoT裝置數量成長到當年4倍,不難想像其攻擊殺傷力勢必更驚人。基於總總原因,王子夏認為在未來5G應用服務普及化前,各界需審慎思考資安事宜。
5G應用情境仍在快速發展中,根據5G America概略分類,包含智慧製造、智慧醫療、無人載具、AR/VR、智慧遊戲、智慧交通、智慧城市等七大應用領域。其中企業導向的自動化系統、遠距操作系統、高互動AR、高密度感應裝置等,皆有高度資安需求。
王子夏說,以往4G時代存在IMSI竊取風險,係因GSM單向認證缺陷所致,按理5G並無此顧慮,但現今多數應用仍為4/5G並存,顯見一些舊威脅依舊會持續發生。不僅如此,5G有新的威脅要面對,譬如基於偽冒CSP業者或偽冒MEC Gateway裝置問題,以及由於5G採用服務化架構(SBA)、功能模組走向軟體化,所以不論核網端或MEC端,皆須慎防身分盜用、資料竊取等問題。
總結來說,5G安全關鍵議題大致有四點。首先「5G安全性是4G安全性的演進」,儘管5G引入虛擬化核網控制功能等新技術,但整體安全架構仍基於4G。其次「核心/無線接取網路(RAN)依循4G通訊系統」,行動通訊系統的基本安全架構,並不會有所改變。第三「實施5G安全規範為安全性的關鍵」,若欲提升安全性,必須要求供應商和營運商採用標準的安全規範。最後「分散式核心網路可能導致實體安全議題」,因通訊網路有低延遲特性,所以在分散式區域運用MEC與核網功能時,更需重視物理性安全的強化。
而不管何種5G垂直應用領域,要想防範資安威脅,皆須建立一些基礎防護機制,包含「全面的可視化可控化」、「版本管控與軟體安全」及「安全信任機制」等等,以便能利用流量與行為分析、漏洞追蹤確認,或藉由CA/SOC執行整合性認證等手段,杜絕5G資安威脅。