物联网加剧了 5G 骨干网的安全问题

随着物联网转向使用不断扩展的 5G 基础设施，物联网的安全性较差设备对 5G 网络安全构成越来越大的威胁。

互联性和便利性是许多人现在认为对日常生活必不可少的两件事。虽然世界上很多人都期待物联网 (IoT) 的便利，但他们通常很少考虑物联网底层传输网络的安全性。但今年有 138 亿个活跃的物联网设备连接，而且预计在不久的将来会成倍增加，物联网网络安全至关重要。

预计到 2025 年，公司将有超过 250 亿台物联网设备，将最小权限原则应用于其 IT 人员是谨慎的做法。 （来源：freepik）

根据代表全球移动网络运营商的组织 GSM 协会 (GSMA) 的说法，物联网设备制造商仍然未能充分考虑安全性进行设计和构建。

更糟糕的是，GSMA 表明大多数设备制造商对如何保护他们的设备没有足够的了解。不安全的设备使黑客可以轻松访问电信网络，从而为网络攻击带来重大风险。随着物联网随着网络的扩展而转向使用 5G，不安全的设备威胁着 5G 网络的安全。

物联网边缘缺乏安全性给包括电信网络提供商、有线服务和云通信提供商在内的通信服务提供商 (CSP) 带来了重大的安全负担。随着越来越多传统电信公司以外的参与者加入物联网并通过 5G 网络与物联网设备互动，攻击面正在显着扩大。因此，CSP 必须采取额外措施来确保其系统的安全。

不断变化的 CSP 安全问题

在对安全形势的年度审查中，GSMA 确定了移动通信行业的八个主要威胁和漏洞领域：

• 设备和物联网
• 云安全
• 保护 5G
• 信令和互连
• 供应链
• 软件和虚拟化
• 网络和运营安全
• 安全技能短缺

设备和物联网安全一直是 GSMA 关注的问题，特别是在连接设备的数量继续远远超过世界人口的情况下，预计到 2025 年将有 250 亿连接物联网设备。设备技术堆栈的复杂性随之增加。

GSMA 将企业网络和电信网络之间的连接视为重要的潜在攻击媒介，尤其是在公司利用 5G 部署的情况下。行业专业人士和学术界多年来一直在调查 5G 的安全风险，美国政府也是如此。但随着 5G 变得更加普遍，人们仍然担心攻击面会扩大。 GSMA 建议了 5G CSP 应实施的一系列安全协议。

保护 CSP 的推荐措施之一是特权访问管理。正确实施的 PAM 通过限制黑客可以尝试利用的特权和权限的数量来减少攻击面。而且 PAM 对 CSP 操作的影响最小，因为其目的是删除人员和流程执行其工作所不需要的权限。

PAM 与 IAM

许多读者可能熟悉 IAM（身份和访问管理），但对 PAM 不太熟悉。尽管它们有着共同的目标，但它们的范围和应用却不同。

考虑一个金字塔，其中有限数量的管理用户位于顶点，一般用户构成基础。在各种迭代中，IAM 覆盖了整个金字塔。但是，许多 IAM 应用程序侧重于基础用户的权限，即那些经常访问系统但很少或没有管理权限的用户。另一方面，PAM 则关注高层，即因其组织角色而制定最理想目标的人。

请注意，当我们在这里提到用户时，它与说人类不同。 IAM 和 PAM 控制也适用于系统内的非人类身份，例如，可能有自己标识的流程。

提供权限和访问权限

在为组织的用户分配权限时，IT 人员可以采用多种方法。首先，也是最糟糕的是，对公司系统和数据存储的广义、广泛的访问——实际上根本没有控制权。毋庸置疑，这种方法具有高风险，并且会给组织带来重大风险。但许多组织确实允许用户访问远远超出他们需要的访问权限，以避免无意中中断日常活动，扩大公司的攻击面。

谨慎的公司应用最小特权、需要知道的访问或两者的组合原则。最小权限处理用户在系统中的工作方式；需要知道的地址他们可以在系统中访问什么。

在最小特权原则下，用户仅获得其工作所需的权利和许可——不多也不少。通过阻止用户获得他们从未使用过的区域的权限，组织可以消除不必要的漏洞，而不会对用户的表现产生负面影响。

需要知道适用于组织的数据，限制访问与用户执行其工作职能直接相关和必要的数据。

缺乏最低权限或需要知道的控制只是许多组织中常见的一些与身份相关的漏洞。许多组织仍然拥有共享帐户或密码，这削弱了审计活动和确保遵守公司安全策略的能力。公司还经常拥有旧的、未使用的帐户，通常拥有大量特权，理想情况下，这些帐户早就被清除了。许多公司仍然依赖手动或分散的用户凭据配置和维护。

为什么（以及如何）CSP 应该使用 PAM

用户的每项特权和访问权限都为网络犯罪分子创造了独特的利用机会。因此，限制这些特权和访问权限符合每个 CSP 的最佳利益。这样做可以限制潜在的攻击媒介，并在黑客成功盗用特定用户的身份时最大限度地减少可能造成的损害。用户拥有的权限越少，成功的攻击者需要使用的权限就越少。

限制权限还可以限制可能损坏组织系统的攻击类型。例如，某些类型的恶意软件需要更高的权限才能有效安装和运行。如果黑客试图通过非特权用户帐户插入恶意软件，他们就会撞墙。

以下是 CSP 应遵循的一些最佳实践。

1. 实施权限管理政策：鉴于没有单一的、普遍适用的物联网安全标准，CSPS 需要严格定义和监控政策，通过消除任何偏差机会来确保合规性。策略应定义谁控制权限和权利的供应和管理、供应如何发生以及必要时重新供应或取消供应的时间表。此外，政策应解决密码安全问题，包括密码强度、多重身份验证的使用和密码过期。

2. 集中 PAM 和 IAM：CSP 应该有一个集中的系统来配置、维护和取消配置权限和访问权限。建立具有高权限的帐户清单可防止组织将未使用的帐户从裂缝中溜走。

3. 确保最低权限意味着最低权限：虽然用户在必须联系帮助台执行某些任务时可能会感到沮丧，但没有理由为他们提供超出他们需要的权限。大多数公司边缘或端点用户不需要具有管理权限或访问根目录的权限。即使是特权用户也不需要广泛的访问权限。限制对执行工作绝对必要的访问。

4. 通过分段增加安全性：分段系统和网络有助于防止黑客在成功进入公司网络后进行横向攻击。尽可能在分段之间使用零信任策略加强分段。

5. 强制执行密码安全最佳做法：密码不卫生仍然是许多组织的一个重大漏洞。通过培训员工了解强密码、多因素身份验证和密码过期带来的轻微不便，从而建立安全文化，从而保护公司免受泄露的潜在破坏性后果。

安全的 CSP 是安全物联网的支柱

如果没有安全的 CSP 网络，物联网就是网络犯罪分子的游乐场。在担心数以百万计的边缘设备之前，CSP 安全专家应该向内看并尽可能保护其内部系统。应用最小特权原则和特权访问管理系统是有用的第一步。