Triển khai bao gồm nhiều khía cạnh và không một công cụ nào có thể giải quyết tất cả các thách thức bảo mật đó. Trước khi tìm hiểu những công cụ nào nên được sử dụng để bảo mật mạng 5G, cần xem xét các thành phần của mạng và ai là người chịu trách nhiệm bảo mật cho từng thành phần.
Có nhiều cách để nhóm các trách nhiệm bảo mật mạng 5G. Nhóm Dự án đối tác thế hệ thứ 3 3GPP (Third Generation Partnership Project – 3GPP) dự án hợp tác giữa các nhóm hiệp hội viễn thông nhằm chuẩn hóa kỹ thuật hệ thống điện thoại di động thế hệ thứ 3 áp dụng trên toàn cầu đã định nghĩa một số tính năng bảo mật được cung cấp trong một mạng 5G độc lập như sau:
Nhiều tính năng trong số này không có trong mạng 4G. Vì vậy, có thể thấy rằng nhiều bước tiến quan trọng đã được thực hiện để cải thiện tính bảo mật cho mạng không dây 5G, tuy nhiên, vẫn còn nhiều việc phải thực hiện. Dưới đây là danh sách các cân nhắc bảo mật bổ sung dành cho mạng 5G vượt xa những gì 3GPP đã định nghĩa và đặt trực tiếp vào vai trò của các nhà cung cấp dịch vụ và doanh nghiệp triển khai mạng 5G:
Phần tiếp theo sẽ phân tích nội dung của từng chủ đề và một số mối đe dọa liên quan tới bảo mật dành cho mạng 5G:
Phân vùng bảo mật mạng
Đây là nguyên tắc bảo mật cho phép bảo mật Zero Trust, giúp giảm thiểu ảnh hưởng nếu có sự cố xảy ra trong mạng. Zero Trust yêu cầu tất cả người dùng trong và ngoài mạng của tổ chức đều phải được xác thực, ủy quyền và liên tục xác nhận cấu hình và tư thế bảo mật trước khi được cấp quyền truy cập vào ứng dụng và dữ liệu, thực thi quyền truy cập với đặc quyền tối thiểu.
Giả sử nhà điều hành mạng cấp quyền truy cập internet cho một điểm cuối đã bị khai thác hoặc có lỗ hổng đã biết. Khi điểm cuối đó bị xâm phạm, các chính sách bảo mật Zero Trust, nếu được triển khai đúng cách, sẽ ngăn kẻ tấn công truy cập vào các điểm cuối quan trọng khác, chẳng hạn như máy chủ Active Directory hoặc kho lưu trữ mã nguồn.
Khả năng hiển thị và bảo mật mặt phẳng người dùng
Không thể bảo mật những gì không nhìn thấy. Điều quan trọng là phải biết tất cả các ứng dụng và dịch vụ đang chạy trên mạng 5G cần được bảo mật. Tiếp theo là phải đảm bảo không có mối đe dọa nào: Truy vấn DNS này lành tính hay độc hại? URL này có hướng lưu lượng truy cập đến một trang web lừa đảo không? Hay tập tin đó có phải là phần mềm độc hại được tải xuống không? Khi nhận thấy bất kỳ mối đe dọa hoặc hành vi bất thường nào, cần phải xác định được người hoặc thiết bị đăng ký để có thể đưa ra các hành động ứng phó hiệu quả và kịp thời.
Giả sử có một kho các thiết bị thông minh. Trong trường hợp một trong số các thiết bị này bị xâm phạm thông qua quyền truy cập cục bộ, mọi hoạt động liên quan đến mối đe dọa từ thiết bị đó, chẳng hạn như lệnh truy vấn và kiểm soát, sẽ cho phép doanh nghiệp hoặc nhà cung cấp dịch vụ bảo vệ được quản lý MSSP (Managed Security Service Provider) nhanh chóng phát hiện thiết bị nào bị ảnh hưởng. Điều này chỉ có thể được thực hiện nếu ID thiết bị (ví dụ: mã nhận dạng thiết bị di động IMEI) có trong nhật ký mối đe dọa. Với thông tin có độ chính xác cao này, trung tâm điều hành có thể hành động nhanh chóng và giúp thời gian khắc phục giảm đi đáng kể.
Bảo mật vùng chứa
Vùng chứa và kỹ thuật ảo hóa sẽ là các yếu tố chính trong mạng 5G. Vì vậy, việc đảm bảo các yếu tố này được an toàn trước và trong khi được triển khai là rất quan trọng. Khả năng hiểu lỗ hổng trong các thư viện được sử dụng từ ảnh chụp vùng chứa cũng như phát hiện các điểm bất thường khi vùng chứa đang chạy là một trong các tính năng cần thiết cho Bảo mật vùng chứa và nền tảng điều phối vùng chứa mã nguồn mở Kubernetes.
Các nhà khai thác và doanh nghiệp nhận được các ảnh chụp cập nhật của vùng chứa mạng lõi 4G và 5G phải đảm bảo rằng không có lỗ hổng nghiêm trọng nào trong đó trước khi vùng chứa được triển khai. Các nhà khai thác thường không tham gia vào quy trình xây dựng phần mềm lõi mạng của các công ty nhưng vẫn có thể nhận được các ảnh chụp phần mềm nguy hiểm trước khi được triển khai. Bằng cách sử dụng tính năng như Prisma Cloud để quét các ảnh chụp trong sổ đăng ký vùng chứa và cung cấp khả năng hiển thị tất cả các lỗ hổng của mỗi hình ảnh, các nhà vận hành và doanh nghiệp có thể phát hiện và ngừng triển khai một vùng chứa rủi ro.
Bảo mật API
Kiến trúc dựa trên dịch vụ 5G sẽ sử dụng nhiều API để truyền thông cả bên trong và bên ngoài, giữa các thành phần. Các API bổ sung, chẳng hạn như các API được sử dụng cho IoT, cũng cần được bảo mật. Khả năng hiển thị và bảo vệ API khỏi các tấn công DoS, các yêu cầu không đúng định dạng và các vectơ tấn công khác là điều bắt buộc đối với các mạng di động.
Dự án Camara là một trong những dự án hứa hẹn sử dụng nhiều API. Các nhà khai thác triển khai các API này sẽ mở ra những cách thức mới thú vị để khách hàng tương tác với mạng, chẳng hạn như nhận thông tin vị trí thiết bị, yêu cầu chất lượng mạng... Tuy nhiên, các API do Dự án Camara định nghĩa cũng sẽ mở ra nhiều vectơ tấn công mới cần phải được bảo mật bằng bảo mật API, để ngăn chặn nỗ lực khai thác các API đó, các tấn công DoS và lưu lượng API độc hại khác.
Bảo mật Trung tâm điều hành an ninh (SOC)
Khi các mối đe dọa được phát hiện trong mạng, các sự kiện thường được gửi đến SOC để phân tích. Với hàng triệu sự kiện được gửi đến SOC mỗi ngày, các nhiệm vụ như ưu tiên các sự cố sắp xảy ra, loại bỏ các kết quả dương tính giả và cho phép khắc phục nhanh chóng là không dễ dàng. Ở đây, các công cụ như học máy và tự động hóa được sử dụng giúp giảm nhiễu, loại bỏ các tác vụ lặp đi lặp lại và tăng tốc các hành động khắc phục.
Trong mạng 5G, thời gian khắc phục trung bình (MTTR) là rất quan trọng, đặc biệt là trong các mạng hỗ trợ cơ sở hạ tầng trọng yếu. Khi cảnh báo được kích hoạt, các sự kiện phản hồi sẽ diễn ra nhanh chóng để đảm bảo tính kịp thời. Tất cả các sự kiện như mở yêu cầu, gửi email, thực hiện lệnh gọi API, thậm chí có thể cập nhật chính sách bảo mật đều ở tốc độ máy. Con người thường sẽ làm chậm quá trình này và làm tăng MTTR, đó là lý do tại sao tự động hóa và điều phối là quan trọng.
Kết luận
Triển khai 5G bảo mật bao gồm nhiều khía cạnh và trách nhiệm, nó là trách nhiệm chung của cả các nhà cung cấp dịch vụ và các doanh nghiệp triển khai. Danh sách các trách nhiệm trên là chưa đầy đủ tuy nhiên cũng đã nêu bật các lĩnh vực bảo mật khác nhau mà các doanh nghiệp và nhà cung cấp dịch vụ sẽ cần tập trung vào khi triển khai 5G.
Tài liệu tham khảo [1] [2] [3] [4] |
Hoàng Thu Phương
13:00 | 09/10/2023
07:00 | 27/12/2023
09:00 | 09/03/2023
13:00 | 05/09/2022
08:00 | 25/01/2024
Tháng 12/2023, các nhà nghiên cứu của hãng bảo mật Fortinet xác định được ba gói độc hại mới trong kho lưu trữ nguồn mở Python Package Index (PyPI) có khả năng triển khai tệp thực thi CoinMiner để khai thác tiền điện tử trên các thiết bị Linux bị ảnh hưởng. Các nhà nghiên cứu cho rằng các chỉ số xâm phạm (IoC) của các gói này có điểm tương đồng với gói PyPI Culturestreak được phát hiện vào đầu tháng 9/2023. Bài viết này sẽ phân tích các giai đoạn tấn công của ba gói PyPI độc hại này, trong đó tập trung vào những điểm tương đồng và sự phát triển của chúng so với gói Culturestreak.
10:00 | 28/08/2023
Trước đây đã có những quan điểm cho rằng MacBook rất khó bị tấn công và các tin tặc thường không chú trọng nhắm mục tiêu đến các dòng máy tính chạy hệ điều hành macOS. Một trong những nguyên do chính xuất phát từ các sản phẩm của Apple luôn được đánh giá cao về chất lượng lẫn kiểu dáng thiết kế, đặc biệt là khả năng bảo mật, nhưng trên thực tế MacBook vẫn có thể trở thành mục tiêu khai thác của các tin tặc. Mặc dù không bị xâm phạm thường xuyên như máy tính Windows, tuy nhiên đã xuất hiện nhiều trường hợp tin tặc tấn công thành công vào MacBook, từ các chương trình giả mạo đến khai thác lỗ hổng bảo mật. Chính vì vậy, việc trang bị những kỹ năng an toàn cần thiết sẽ giúp người dùng chủ động nhận biết sớm các dấu hiệu khi Macbook bị tấn công, đồng thời có những phương án bảo vệ hiệu quả trước các mối đe dọa tiềm tàng có thể xảy ra.
14:00 | 22/08/2023
Trong sự phát triển mạnh mẽ của các trang mạng nói riêng và công nghệ thông tin nói chung, vấn đề an ninh, an toàn thông tin cũng trở thành một trong những thách thức lớn. Một trong những mối nguy cơ gây tác động đến nhiều hệ thống mạng vẫn chưa xử lý được triệt để trong nhiều năm qua chính là các hoạt động tấn công từ chối dịch vụ (DoS), một thủ đoạn phổ biến của tin tặc nhằm cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, Internet và thiết bị số. Bài báo phân tích thực trạng và các thủ đoạn tấn công DoS, đồng thời nêu lên thách thức trong đảm bảo an ninh, an toàn thông tin trên cổng thông tin điện tử dịch vụ công của các cơ quan nhà nước và các doanh nghiệp trong thời gian qua. Từ đó, đưa ra các giải pháp nhằm nâng cao hiệu quả bảo đảm an ninh, an toàn thông tin cho cổng thông tin điện tử trên mạng Internet trong thời gian tới.
09:00 | 04/05/2023
Những năm gần đây, các ứng dụng sử dụng hệ thống IoT đang ngày càng phát triển bởi khả năng mềm dẻo trong thiết kế phần cứng và thu thập dữ liệu. Đồng hành cùng với sự thay đổi của các công nghệ mạng truyền dẫn, tín hiệu, Wifi Mesh đang trở thành một lựa chọn thực tế và phù hợp đối với các hệ thống IoT công nghiệp, thương mại điện tử. Thông qua bài báo này, nhóm tác giả sẽ giới thiệu về nền tảng công nghệ mạng Wifi Mesh, từ đó làm cơ sở cho việc ứng dụng để thiết kế hệ thống giám sát đo độ nghiêng sẽ được trình bày trong kỳ tới.
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
11:00 | 13/05/2024
Cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. Nhiều giải pháp để bảo vệ phần cứng được đưa ra, trong đó, hàm không thể sao chép vật lý PUF (Physically Unclonable Functions) đang nổi lên như là một trong số những giải pháp bảo mật phần cứng rất triển vọng mạnh mẽ. RO-PUF (Ring Oscillator Physically Unclonable Function) là một kỹ thuật thiết kế PUF nội tại điển hình trong xác thực hay định danh chính xác thiết bị. Bài báo sẽ trình bày một mô hình ứng dụng RO-PUF và chứng minh tính năng xác thực của PUF trong bảo vệ phần cứng FPGA.
10:00 | 13/05/2024