Не позволяйте программному обеспечению прорвать опасную дыру в сетях следующего поколения и IoT

Дмитрий Курбатов из Positive Technologies

После развертывания бизнес по управлению мобильными сетями был относительно простым. Голос и текст имели определенную предсказуемость. Помимо особых событий, использование этих двух служб будет происходить в пределах набора параметров, которые группа перспективных сетевых операторов может оценить с достаточной точностью, чтобы предотвратить возникновение проблем.

Войдите в дивный новый мир мобильного Интернета, а вместе с ним и целый новый набор переменных. Операторы обнаружили (иногда с учетом своих затрат), что пользователи найдут способ удивить их, будь то приложения с большим объемом данных, модем или любое количество неожиданных подключений к Интернету. Реакцией коленного рефлекса было ограничение предоставления определенных услуг, дополнительные расходы на использование мобильного Интернета определенными способами или иногда прямая блокировка, - говорит Дмитрий Курбатов, руководитель службы безопасности телекоммуникаций в Positive Technologies . .

Появление «жаждущего данных» мира Интернета вещей переносит эту проблему в совершенно новый мир. Мало того, что будут те же самые неожиданные сюрпризы, но и обещание 5G широко продавалось как универсальный соединитель. Некогда неодушевленные предметы теперь потребляют полосу пропускания, часто неэффективно.

К счастью, цифровой дарвинизм работает в обоих направлениях. В космосе появился новый блестящий мир NFV и SDN. Срочно нужна емкость или вы хотите предоставить новую услугу? Просто нажмите на это, перетащите туда, и проблема решена, не так ли?

Не совсем. Хотя разработка такого программного обеспечения, несомненно, упрощает жизнь операторам, оно также делает то, чего в индустрии кибербезопасности опасаются больше всего, централизует контроль над чем-то очень важным и подключает его к Интернету. Это практика, которая создает для хакера «яблочко» - актив, который можно использовать при наличии достаточного количества времени и ресурсов творческой и хорошо обеспеченной ресурсами команды. Это то, что компании с крупными клиентскими или финансовыми базами данных учились на свой страх и риск за последние несколько лет. Помещение королевских драгоценностей в единственный сундук делает его мишенью.

Понимание этого мировоззрения - первый важный шаг в обеспечении безопасности любой сети. Во-вторых, что не менее важно, действительно что-то с этим делает. Это кажется очевидным, но группы по сетевой безопасности и эксплуатации сталкиваются с миллионом и одной задачей, поскольку они готовятся к переходу в свою недавно виртуализированную сеть, каждая из которых является приоритетной и потребляет ограниченные ресурсы, поскольку сроки проносятся с ужасающей скоростью.

Здесь жизненно важно получить внешний взгляд на безопасность. Те, кто участвовал в их планировании и развертывании, от природы предвзяты. Это не критика, ни одна команда, занимающаяся сложным технологическим развертыванием, не сможет увидеть лес за деревьями. Предоставить кому-то за пределами этого полномочия ломать вещи может быть ценным уроком. Как упоминалось ранее, знание образа мыслей хакера является ценным защитным инструментом, поэтому использование команды с особыми полномочиями для поиска проблем может открывать глаза.

Этой команде должна быть предоставлена ​​свобода аудита всего, от кода, используемого в критических областях вашего развертывания, до оценки того, какой видимость вашей сети видна «извне». Многие операторы предполагают, что они не видны в более широком Интернете, но, по нашему опыту, это не всегда так. Иногда достаточно одной видимой точки доступа или неправильно настроенного соединения для создания профиля атаки. Думайте об этом как о щели в вашей броне.

Это касается всех сетевых соединений. Базовая мобильная инфраструктура, основанная либо на устаревших протоколах SS7, либо на ее новом предшественнике, Diametre, все чаще оказывается недостаточной. Технические уязвимости в базовой инфраструктуре дают злоумышленникам открытую дверь, через которую они могут пройти. Попав внутрь, злоумышленник не сможет сделать огромное количество шагов в сторону, чтобы получить доступ к ключевым центральным точкам управления.

Предполагаемая сложность получения злоумышленником физического доступа к этим точкам ранее использовалась, чтобы рассеять призрак этого конкретного риска. Однако получить доступ к шлюзу становится все проще на черном рынке или даже напрямую с помощью взломанного операторского оборудования или фемтосот.

Не опасаясь страха, неуверенности и сомнений, я воздержусь от описания сценариев судного дня, которые такая слабость может вызвать в мире, где все взаимосвязано. Я даже не буду притворяться, что могу угадать кратные. Достаточно сказать, что достаточно пройти Всемирный мобильный конгресс . чтобы увидеть множество очень важных устройств, которые в конечном итоге будут полагаться на мобильную связь в той или иной форме. А теперь представьте, что кто-то злонамеренно перегружает критические области или отвлекает мощности в другом месте, и последствия говорят сами за себя.

Программное обеспечение и виртуализация - это хорошо для мобильной индустрии в целом. Это помогает операторам работать более эффективно и внедрять инновации, сокращая при этом OPEX. Однако я бы призвал мобильные сети не бросаться с головой в этот утопический мир, не учитывая последствий для безопасности. Выполнение нескольких относительно простых шагов перед развертыванием и поддержание постоянного мониторинга может стать разницей между созданием чего-то особенного и просто созданием еще одной точки риска.

Автор этого блога - Дмитрий Курбатов, руководитель отдела безопасности телекоммуникаций компании Positive Technologies