NSA shares tips on mitigating 5G network slicing threats

国家安全保障局 (NSA)、サイバーセキュリティおよびインフラストラクチャ セキュリティ局 (CISA)、および国家情報長官室 (ODNI) は、5G ネットワーク スライシングの実装における最も可能性の高いリスクと潜在的な脅威を強調する共同レポートを発行しました。 .

このレポートは、5G ネットワーク オペレーター、インテグレーター、およびプロバイダーによって実装される防御および防止戦略を開発するための軽減アドバイスとフレームワークも提供します。

5G ネットワーク スライシング レポートは、 5G インフラストラクチャへの潜在的な脅威ベクトルに基づいています。これは、米国の国家安全保障システムのセキュリティと安定性に対するリスクと脅威に対処することに焦点を当てた永続的セキュリティ フレームワーク (ESF) のクロスセクター ワーキング グループによって昨年発行された論文です。

5G ネットワークのスライス

5G ネットワーク スライシングは、共通の物理インフラストラクチャ上に複数の仮想化された独立したネットワークを作成できる構成アーキテクチャです。

各ネットワーク スライスは、各アプリケーションの特定の要件を満たすことに特化した、分離されたエンド ツー エンドのネットワークです。

ネットワーク スライスの潜在的な用途には、自動運転車両、仮想および拡張現実ソリューション、産業オートメーション システムなどがあります。

ネットワーク スライス図
ネットワークスライスの例(CISA)

これらの各アプリケーションのネットワーク スライスのユーザーは、その特定のネットワーク エリアに対して認証され、より広い 5G インフラストラクチャと他のスライスのデータとセキュリティの分離を実現します。

ネットワーク スライシングは、5G ネットワークの主な利点の 1 つであるネットワーク機能仮想化 (NFV) によって可能になり、さまざまなユーザーに運用効率、回復力、およびより高い品質のサービスとサポートを提供します。

NFV は基本的に、ルーターやファイアウォールなどのハードウェアの必要性を取り除き、それらをクラウドベースのサーバーで仮想化します。また、すべてのネットワーク機能を無線インターフェイスまたはクラウドに移動し、各ユーザーのパフォーマンス要件に合わせて帯域幅を動的に割り当てます。

さらに、NFV はより優れた監視およびログ オプションを提供するため、ネットワーク エンジニアは異常を検出し、セキュリティ違反をより効果的に防ぐことができます。

モバイル ネットワーク オペレーターは、専用のネットワーク管理およびネットワーク オーケストレーション システム (MANO) を介して 5G ネットワーク スライシングを実装します。

「MANO システム [下図] は、無線アクセス ネットワーク (RAN)、コア ネットワーク、およびトランスポート ネットワーク ドメイン全体で、スライスの設計と作成、アクティブ化、非アクティブ化、および終了をサポートします」とガイダンスは説明しています。

ネットワークスライス管理システム
通信事業者のネットワーク スライシング管理システム(CISA)

最も顕著な脅威

CISA のガイダンスでは、ネットワーク スライスの管理の複雑さが強調されており、重大なセキュリティ ギャップが生じています。

「ネットワーク事業者が 5G ネットワークを構築する方法に関する仕様を定義する標準はありますが、ネットワーク事業者がネットワーク スライシングのセキュリティをどのように開発および実装する必要があるかについての明確な仕様はありません」 と論文は述べています

「不適切なネットワーク スライス管理により、悪意のあるアクターが別のネットワーク スライスからデータにアクセスしたり、優先ユーザーへのアクセスを拒否したりする可能性があります。」

5G ネットワーク スライシングに最も関連する 3 つの脅威ベクトルは、中央制御要素に対するサービス拒否(DoS) 攻撃、不適切に構成されたシステム制御を利用する攻撃、および暗号化されていないネットワーク チャネルに対する中間者 (MitM)攻撃です。

DoS 攻撃の場合、攻撃者がサービスを妨害するため、正当なユーザーがネットワーク スライスを使用できなくなります。

MitM 攻撃は、機密情報を開示してユーザー データを公開する恐れがあるだけでなく、仲介者が送信されたメッセージを変更して、誤った情報をもたらす可能性もあります。

構成ミスを利用した攻撃は、攻撃者がそれらを悪用してシステム モニターやセキュリティ機能を無効にする可能性があるため、さまざまな影響を与える可能性があります。

複数の攻撃タイプを連鎖させることも可能であり、単一のネットワーク スライスを超えて広がる可能性のある壊滅的な攻撃を実行する可能性があります。

CISA は、攻撃者が自動運転車サービスに対して International Mobile Subscriber Identity (IMSI) キャッシング攻撃を実行し、そのパフォーマンスと信頼性を低下させる攻撃の例を示しています。

攻撃者は IMSI キャッシングを使用して、車両の正確な位置、貨物情報、ルートを導き出します。

次に、脅威アクターは、ネットワーク シグナリングの場所に DoS 攻撃を展開して、自動運転車とそのコントローラー間のリンクを妨害し、構成攻撃を開始して、セキュリティ機能を無効にするか、VNF ポリシーを変更します。

オペレータが、不正なポリシーの変更を防ぐための堅牢なセキュリティ対策を実装していない場合、攻撃者は同じインフラストラクチャ上の他のネットワーク スライスへのアクセスを拡大する可能性があります。

緩和に関する推奨事項

CISA は、ネットワーク管理と監視を 4 つの論理レイヤー (以下に示す) に適用して、悪意のある可能性のある中断をできるだけ早く特定して対処することをオペレーターに提案しています。

レイヤーの監視

さらに、このガイダンスでは、オペレータが複数のネットワーク監視ソリューションを使用することを提案しています。これらのソリューションは、不正なネットワーク アクティビティを把握するために使用できるさまざまなデータを生成するためです。

監視ソリューション

このホワイトペーパーは、ログインしているすべてのユーザーが常に検証され、すべてのネットワーク リクエストが検証されるゼロ トラスト アーキテクチャの原則を推進しています。

これにより、侵入者の活動が見過ごされたり、損害を与えたりする可能性が低くなります。これは、本質的に信頼されているユーザーがいないため、複数のデータ検査ポイントのいずれかで侵入者を阻止する必要があるためです。

一般的なゼロ トラスト戦略のコンポーネントには、多要素認証、データ暗号化、アクセス制御のための多層セキュリティ、クロスドメイン境界、およびインスタンス分離が含まれます。