不要让软件在下一代网络和物联网中挖出一个危险的漏洞

Positive Technologies 的 Dmitry Kurbatov

部署后，管理移动网络的业务过去相对简单。语音和文本具有一定的可预测性。除了特殊事件之外，这两项服务的使用将在一组参数内进行，前瞻性网络运营团队可以充分准确地估计这些参数以阻止问题的发生。

进入移动互联网的美丽新世界，随之而来的是一组全新的变量。运营商发现（有时会为此付出代价）用户会找到一种让他们感到惊讶的方法，无论是数据繁重的应用程序、网络共享还是任何数量的意外互联网连接使用。 Positive Technologies 的电信安全负责人 Dmitry Kurbatov 表示，下意识的反应是限制某些服务、以某些方式使用移动网络的额外成本或有时会完全阻止 .

物联网的数据渴求世界的出现将这个问题带入了一个全新的世界。不仅会有同样的意外惊喜，而且 5G 的承诺已经作为通用连接器大量销售。曾经无生命的物体现在消耗带宽，通常效率低下。

幸运的是，数字达尔文主义是双向的。进入空间已经演化出了NFV和SDN闪亮的新世界。需要快速容量，或者想要提供新服务？很简单，点击它，拖到那里，问题就解决了，对吧？

不完全是。虽然此类软件的开发无疑使运营商的工作变得更容易，但它也做了网络安全行业最害怕的事情，集中控制一些非常重要的东西并将其连接到互联网。这是一种为黑客创造靶心的做法，如果有创意且资源充足的团队提供足够的时间和资源，就可以利用这种资产。在过去的几年里，拥有大型客户或财务数据库的公司一直在学习这一点。把国王的珠宝放在一个箱子里让它成为目标。

了解这种心态是保护任何网络的第一个关键步骤。其次，同样重要的是，实际上正在为此做些什么。这听起来很明显，但网络安全和运营团队在准备过渡到新的虚拟化网络时面临着一百万零一项任务的轰炸，每个任务都是优先事项，并且随着截止日期以惊人的速度匆匆过去而消耗有限的资源。

获得有关安全性的外部观点在这里至关重要。那些参与其规划和部署的人天生就有偏见。这不是批评，任何处于复杂技术部署中的团队都不会只见树木不见森林。给这个范围之外的人打破事物的职责可能是一种宝贵的学习。如前所述，了解黑客心态是一种宝贵的防御工具 - 因此，聘请具有特定职责的团队来发现问题可能会让您大开眼界。

该团队应该可以自由地审核从部署的关键区域中使用的代码到评估您的网络从“外部”具有的可见性的所有内容。许多运营商认为他们对更广泛的互联网的可见性为零，但根据我们的经验，情况并非总是如此。有时只需一个可见的接入点或错误配置的连接即可创建攻击配置文件。把它想象成你盔甲上的一个缝隙。

这适用于所有网络互连。基于过时的 SS7 协议或其较新的前身 Diametre 的底层移动基础设施越来越缺乏需求。底层基础设施中的技术漏洞为攻击者打开了一扇门。进入内部后，攻击者无需通过大量横向步骤即可访问关键的中央控制点。

攻击者获得对这些点的物理访问的假设困难以前曾被用来分散这种特定风险的幽灵。然而，通过黑市访问网关变得越来越容易，甚至可以通过被黑的运营商设备或毫微微蜂窝直接实现。

不是因为恐惧、不确定和怀疑，我将避免概述在一个万物互联的世界中这种弱点可能导致的世界末日情景。我什至不会假装能够猜出倍数。可以说，一个人只需要四处走走世界移动大会 看到大量非常重要的设备，这些设备最终将以某种形式或形式依赖于移动连接。现在想象一下有人恶意超载关键区域，或将容量转移到其他地方，其影响不言而喻。

从广义上讲，软件和虚拟化对移动行业来说是一件好事。它可以帮助运营商提高效率并拥抱创新，同时降低 OPEX。但是，我会敦促移动网络不要在不考虑安全隐患的情况下贸然进入这个乌托邦世界。在部署和维护持续监控之前采取一些相对简单的步骤，这可能是构建一些特别的东西与只是创建另一个风险点之间的区别。

此博客的作者是 Positive Technologies 的电信安全主管 Dmitry Kurbatov