Triển khai 5G bảo mật bao gồm nhiều khía cạnh và không một công cụ nào có thể giải quyết tất cả các thách thức bảo mật đó. Trước khi tìm hiểu những công cụ nào nên được sử dụng để bảo mật mạng 5G, cần xem xét các thành phần của mạng và ai là người chịu trách nhiệm bảo mật cho từng thành phần.
Có nhiều cách để nhóm các trách nhiệm bảo mật mạng 5G. Nhóm Dự án đối tác thế hệ thứ 3 3GPP (Third Generation Partnership Project – 3GPP) dự án hợp tác giữa các nhóm hiệp hội viễn thông nhằm chuẩn hóa kỹ thuật hệ thống điện thoại di động thế hệ thứ 3 áp dụng trên toàn cầu đã định nghĩa một số tính năng bảo mật được cung cấp trong một mạng 5G độc lập như sau:
Nhiều tính năng trong số này không có trong mạng 4G. Vì vậy, có thể thấy rằng nhiều bước tiến quan trọng đã được thực hiện để cải thiện tính bảo mật cho mạng không dây 5G, tuy nhiên, vẫn còn nhiều việc phải thực hiện. Dưới đây là danh sách các cân nhắc bảo mật bổ sung dành cho mạng 5G vượt xa những gì 3GPP đã định nghĩa và đặt trực tiếp vào vai trò của các nhà cung cấp dịch vụ và doanh nghiệp triển khai mạng 5G:
Phần tiếp theo sẽ phân tích nội dung của từng chủ đề và một số mối đe dọa liên quan tới bảo mật dành cho mạng 5G:
Phân vùng bảo mật mạng
Đây là nguyên tắc bảo mật cho phép bảo mật Zero Trust, giúp giảm thiểu ảnh hưởng nếu có sự cố xảy ra trong mạng. Zero Trust yêu cầu tất cả người dùng trong và ngoài mạng của tổ chức đều phải được xác thực, ủy quyền và liên tục xác nhận cấu hình và tư thế bảo mật trước khi được cấp quyền truy cập vào ứng dụng và dữ liệu, thực thi quyền truy cập với đặc quyền tối thiểu.
Giả sử nhà điều hành mạng cấp quyền truy cập internet cho một điểm cuối đã bị khai thác hoặc có lỗ hổng đã biết. Khi điểm cuối đó bị xâm phạm, các chính sách bảo mật Zero Trust, nếu được triển khai đúng cách, sẽ ngăn kẻ tấn công truy cập vào các điểm cuối quan trọng khác, chẳng hạn như máy chủ Active Directory hoặc kho lưu trữ mã nguồn.
Khả năng hiển thị và bảo mật mặt phẳng người dùng
Không thể bảo mật những gì không nhìn thấy. Điều quan trọng là phải biết tất cả các ứng dụng và dịch vụ đang chạy trên mạng 5G cần được bảo mật. Tiếp theo là phải đảm bảo không có mối đe dọa nào: Truy vấn DNS này lành tính hay độc hại? URL này có hướng lưu lượng truy cập đến một trang web lừa đảo không? Hay tập tin đó có phải là phần mềm độc hại được tải xuống không? Khi nhận thấy bất kỳ mối đe dọa hoặc hành vi bất thường nào, cần phải xác định được người hoặc thiết bị đăng ký để có thể đưa ra các hành động ứng phó hiệu quả và kịp thời.
Giả sử có một kho các thiết bị thông minh. Trong trường hợp một trong số các thiết bị này bị xâm phạm thông qua quyền truy cập cục bộ, mọi hoạt động liên quan đến mối đe dọa từ thiết bị đó, chẳng hạn như lệnh truy vấn và kiểm soát, sẽ cho phép doanh nghiệp hoặc nhà cung cấp dịch vụ bảo vệ được quản lý MSSP (Managed Security Service Provider) nhanh chóng phát hiện thiết bị nào bị ảnh hưởng. Điều này chỉ có thể được thực hiện nếu ID thiết bị (ví dụ: mã nhận dạng thiết bị di động IMEI) có trong nhật ký mối đe dọa. Với thông tin có độ chính xác cao này, trung tâm điều hành có thể hành động nhanh chóng và giúp thời gian khắc phục giảm đi đáng kể.
Bảo mật vùng chứa
Vùng chứa và kỹ thuật ảo hóa sẽ là các yếu tố chính trong mạng 5G. Vì vậy, việc đảm bảo các yếu tố này được an toàn trước và trong khi được triển khai là rất quan trọng. Khả năng hiểu lỗ hổng trong các thư viện được sử dụng từ ảnh chụp vùng chứa cũng như phát hiện các điểm bất thường khi vùng chứa đang chạy là một trong các tính năng cần thiết cho Bảo mật vùng chứa và nền tảng điều phối vùng chứa mã nguồn mở Kubernetes.
Các nhà khai thác và doanh nghiệp nhận được các ảnh chụp cập nhật của vùng chứa mạng lõi 4G và 5G phải đảm bảo rằng không có lỗ hổng nghiêm trọng nào trong đó trước khi vùng chứa được triển khai. Các nhà khai thác thường không tham gia vào quy trình xây dựng phần mềm lõi mạng của các công ty nhưng vẫn có thể nhận được các ảnh chụp phần mềm nguy hiểm trước khi được triển khai. Bằng cách sử dụng tính năng như Prisma Cloud để quét các ảnh chụp trong sổ đăng ký vùng chứa và cung cấp khả năng hiển thị tất cả các lỗ hổng của mỗi hình ảnh, các nhà vận hành và doanh nghiệp có thể phát hiện và ngừng triển khai một vùng chứa rủi ro.
Bảo mật API
Kiến trúc dựa trên dịch vụ 5G sẽ sử dụng nhiều API để truyền thông cả bên trong và bên ngoài, giữa các thành phần. Các API bổ sung, chẳng hạn như các API được sử dụng cho IoT, cũng cần được bảo mật. Khả năng hiển thị và bảo vệ API khỏi các tấn công DoS, các yêu cầu không đúng định dạng và các vectơ tấn công khác là điều bắt buộc đối với các mạng di động.
Dự án Camara là một trong những dự án hứa hẹn sử dụng nhiều API. Các nhà khai thác triển khai các API này sẽ mở ra những cách thức mới thú vị để khách hàng tương tác với mạng, chẳng hạn như nhận thông tin vị trí thiết bị, yêu cầu chất lượng mạng... Tuy nhiên, các API do Dự án Camara định nghĩa cũng sẽ mở ra nhiều vectơ tấn công mới cần phải được bảo mật bằng bảo mật API, để ngăn chặn nỗ lực khai thác các API đó, các tấn công DoS và lưu lượng API độc hại khác.
Bảo mật Trung tâm điều hành an ninh (SOC)
Khi các mối đe dọa được phát hiện trong mạng, các sự kiện thường được gửi đến SOC để phân tích. Với hàng triệu sự kiện được gửi đến SOC mỗi ngày, các nhiệm vụ như ưu tiên các sự cố sắp xảy ra, loại bỏ các kết quả dương tính giả và cho phép khắc phục nhanh chóng là không dễ dàng. Ở đây, các công cụ như học máy và tự động hóa được sử dụng giúp giảm nhiễu, loại bỏ các tác vụ lặp đi lặp lại và tăng tốc các hành động khắc phục.
Trong mạng 5G, thời gian khắc phục trung bình (MTTR) là rất quan trọng, đặc biệt là trong các mạng hỗ trợ cơ sở hạ tầng trọng yếu. Khi cảnh báo được kích hoạt, các sự kiện phản hồi sẽ diễn ra nhanh chóng để đảm bảo tính kịp thời. Tất cả các sự kiện như mở yêu cầu, gửi email, thực hiện lệnh gọi API, thậm chí có thể cập nhật chính sách bảo mật đều ở tốc độ máy. Con người thường sẽ làm chậm quá trình này và làm tăng MTTR, đó là lý do tại sao tự động hóa và điều phối là quan trọng.
Kết luận
Triển khai 5G bảo mật bao gồm nhiều khía cạnh và trách nhiệm, nó là trách nhiệm chung của cả các nhà cung cấp dịch vụ và các doanh nghiệp triển khai. Danh sách các trách nhiệm trên là chưa đầy đủ tuy nhiên cũng đã nêu bật các lĩnh vực bảo mật khác nhau mà các doanh nghiệp và nhà cung cấp dịch vụ sẽ cần tập trung vào khi triển khai 5G.
|
Tài liệu tham khảo [1] https://www.paloaltonetworks.com/blog/2023/04/5g-security-a-shared-responsibility/ |
Hoàng Thu Phương
13:00 | 09/10/2023
09:00 | 09/03/2023
13:00 | 05/09/2022
09:00 | 17/11/2023
Theo Cục An toàn thông tin (Bộ TT&TT), hiện nay có 24 hình thức lừa đảo qua mạng phổ biến mà các đối tượng lừa đảo nhắm vào người dân. Để tránh trở thành nạn nhân, người dân cần nắm bắt, tuyên truyền cho người thân, bạn bè, đồng nghiệp của mình.
17:00 | 11/08/2023
Wireless Mesh Network là công nghệ mạng truyền thông đầy hứa hẹn với khả năng kết nối mạnh mẽ và ổn định, được ứng dụng trong nhiều lĩnh vực khác nhau. Trong số 1 (071) 2023 của Tạp chí An toàn thông tin, nhóm tác giả đã giới thiệu về cơ sở lý thuyết của Wifi Mesh. Để ứng dụng thực tiễn nền tảng này, trong bài báo dưới đây nhóm tác giả đề xuất một giải pháp thiết kế hệ thống giám sát độ nghiêng của thiết bị trong không gian ba chiều X, Y, Z sử dụng module ESP32 WROOM có tính năng truyền nhận dữ liệu bằng Wifi Mesh.
10:00 | 25/04/2023
HTTP và HTTPS là những giao thức ứng dụng có lịch sử lâu đời của bộ giao thức TCP/IP, thực hiện truyền tải siêu văn bản, được sử dụng chính trên nền tảng mạng lưới toàn cầu (World Wide Web) của Internet. Những năm gần đây, Google đã nghiên cứu thử nghiệm một giao thức mạng mới trong giao thức HTTP phiên bản 3 đặt tên là QUIC, với mục tiêu sẽ dần thay thế TCP và TLS trên web. Bài báo này giới thiệu về giao thức QUIC với các cải tiến trong thiết kế để tăng tốc lưu lượng cũng như làm cho giao thức HTTP có độ bảo mật tốt hơn.
23:00 | 02/09/2022
Trong những năm gần đây, vấn đề bảo mật thông tin trên kênh truyền là yêu cầu rất quan trọng trong mạng máy tính. Để giải quyết vấn đề như vậy, có nhiều giải pháp đã được phát triển và sử dụng, trong số các giải pháp này có thể kể đến những giao thức như IPSEC, SSL/TLS, OpenVPN… Mỗi bộ giao thức đều đã có những thị phần riêng của mình, đã và đang được ứng dụng rộng rãi trên thực tế. Theo thời gian, một số giao thức mới cũng được ra đời với những ưu điểm và tính năng nổi bật hơn so với các giao thức trước đó, điển hình như WireGuard. Bài báo sẽ giới thiệu và trình bày một số nội dung cơ bản của giao thức WireGuard, độ an toàn và ưu điểm về hiệu năng của WireGuard khi được triển khai thực tế. Bài báo cũng sẽ giới thiệu thử nghiệm của nhóm tác giả chúng tôi trong việc kiểm nghiệm tốc độ của WireGuard, đồng thời so sánh với tốc độ của một phần mềm VPN phổ biến khác là OpenVPN, từ đó đưa ra một số nhận định về ưu điểm của WireGuard.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Bằng chứng không tiết lộ tri thức (Zero-Knowledge Proofs - ZKP) là một dạng kỹ thuật mật mã được công bố từ thập niên 90 của thế kỷ trước, công nghệ mật mã này cho phép xác minh tính xác thực của một phần thông tin mà không tiết lộ chính thông tin đó. Tuy nhiên, trong những năm gần đây ZKP mới được đưa vào ứng dụng nhiều trong hệ thống công nghệ thông tin. Bài viết này sẽ trình bày chi tiết về khái niệm, tính chất, cách thức phân loại và một số ứng dụng phổ biến của ZKP trong an toàn thông tin.
09:00 | 24/11/2023
Dựa trên công bố của công ty quản lý định danh và truy cập Okta (Mỹ) vào ngày 20/10/2023 liên quan đến một vi phạm bảo mật gần đây, các nhà nghiên cứu đã xác định rằng các tác nhân đe dọa đã giành được quyền truy cập thành công vào hệ thống hỗ trợ khách hàng của Okta, kẻ tấn công có thể xem các tệp tải lên (upload) liên quan đến các trường hợp hỗ trợ mới bằng mã thông báo phiên hợp lệ, các tác nhân đe dọa sau đó đã có được quyền truy cập vào hệ thống của khách hàng. Trong bài viết này sẽ mô tả tác động của các hành vi vi phạm của nhà cung cấp danh tính (IdP) và cách các tổ chức có thể tự chủ động bảo vệ mình trước các cuộc tấn công này.
16:00 | 14/11/2023
