C114通信网  |  通信人家园

专题
2019/7/5 09:12

面对5G安全测试的五大挑战:思博伦有何解决之道?

C114通信网  李明

C114讯 7月5日特稿(李明)这是一把双刃剑:5G在帮助人类实现万物互联美好愿景的同时,也面临着前所未有的安全挑战。

由于5G涉及更多行业,例如大规模物联网部署,因此网络攻击面将急剧扩大,面临的网络安全问题更多、风险可能更大。

那么,5G将面临哪些新的安全风险?5G安全测试又面临哪些新的挑战?业界又有哪些行之有效的应对之策?对此,在MWC19上海期间,思博伦通信亚太区业务发展总监曲博在接受C114专访时为我们进行了详细解读。

5G时代安全风险加剧

5G时代,如何确保关键网络基础设施安全、自动驾驶汽车等用例的安全、保障城市平稳运行,成为5G必须面对的巨大挑战,而在安全问题上5G几乎没有容错的余地。如何通过仿真、新测试方法和网络安全保障,成为为5G保驾护航的必修课。

虚拟化、向云中迁移、网络切片、物联网、5G网关,这些都是促成5G的重要条件,同时这些也都可能成为潜在的漏洞。

“联网设备大量增加,虚拟在边缘和云分布的广泛使用,使得5G安全威胁变得更加严重,并使攻击表面进一步加大。”曲博认为,5G加剧了安全风险,例如NFVi攻击、边缘分布攻击、网络切片攻击、物联网攻击、以太网前沿攻击、安全网关攻击等等。

例如在分布式5G网络漏洞方面,网络切片利用NFVSDN,使5G网络基础设施能够为多个用例共享相同的资源,如物联网、增强的移动宽带的关键通信。然而,最近对这些技术的研究表明,为了确保新的5G服务和基础设施以及用户安全,必须应对这些潜在的安全挑战。

可以说,没有5G的安全,就很难有5G产业。而如何通过有效的测试手段为5G安全保驾护航,成为业界必须要面对的问题。

5G安全测试面临五大挑战

在曲博看来,5G时代的安全测试主要面临以下五大挑战:

挑战1.安全与应用测试的真实性——仿真非常重要

5G时代的网络安全测试,对应用和攻击仿真的真实性要求更高。这里有两种方法:“仿真”是指复制精确的场景,使之成为一种重现或复制,与原始场景无法分别;而“模拟”只是指假想出一个目的是模仿或类似于所述情景的场景,即如果没有仔细评估,它可能是可以通过的。但是,目前市场上的解决方案利用PCAP重放(即模拟),这可能导致不正确的结果和错误的安全感知。

为何仿真非常重要?这是因为首先需要理解CALLFLOW如何在正确的时间被阻断,例如当注入攻击时,对于验证防火墙是否正确是至关重要的,模拟只能实现阻断是由另一个会话的影响,仿真的阻断发生在攻击注入时。

应用与安全测试的仿真要求包括:一是需要提供多元化应用仿真,包括特定区域的流行应用(如:中国的微信、韩国的Kakao Talk、日本的LINE等);二是5G网络环境多变,需要仿真不同网络应用流量模型;三是攻击种类多元化,包括已知攻击(基于CVE的攻击、DDoS攻击、恶意软件等)和未知攻击(模糊攻击Fuzzing)仿真;四是攻击仿真不仅仅是发送攻击特征,还要仿真攻击行为(如C&C、二进制传输等);五是应用与攻击的混合测试,充分验证安全设备在真实网络场景下的表现;六是提供应用、攻击、恶意软件数据库,并保持定期更新;七是提供高性能应用/攻击仿真的测试平台,只有使用仿真的应用、攻击和恶意软件进行测试,才能得到准确的测试结果。

如在应用场景仿真方面,各种应用场景仿真(Emulation)不再仅是模拟客户端和服务器端之间的交互,而是仿真整个应用的执行过程(可能涉及多台主机之间的通信交互过程)、各种应用的不同版本、应用的不同行为仿真、应用是否加密、应用基于的操作系统类型。

对此,思博伦正引领业界进入一个安全和应用性能测试的全新时代。思博伦Avalanche和CyberFlood为5G测试提供真实场景下的应用和攻击仿真。

思博伦CyberFlood是一种下一代安全和性能测试解决方案,这种易于使用的全面测试平台适用于各类复杂的测试场景,通过仿真模糊技术、恶意软件和DDoS攻击等真实的流量、威胁和攻击场景,用户可以确保其安全和性能测试能够满足其特定环境的各项要求,这是一种用于验证应用感知基础设施安全性、性能和扩展能力的下一代测试解决方案,适用于从企业级到运营商级的所有网络规模。

思博伦Avalanche解决方案提供1Gbps至超过100Gbps的容量、安全性和性能测试能力,适用于网络基础设施、Web应用基础设施和媒体服务器,确保客户获得高水平的服务质量(QoS)和体验质量(QoE)。

此外,思博伦的TestCloud是一种持续更新的数据库,其中包含数以千计的最新应用和攻击,以及其它订用内容,例如超过12000种应用场景仿真,超过3400种攻击仿真,超过35000种高级恶意软件仿真,能够确保测试库永远处于最新状态,并且包含真正有意义的最新内容。CyberFlood能够利用TestCloud来生成真实的应用流量,其中还包含真正的状态和基于实际使用情况的真实负载,实现真实的安全、负载和功能测试。

挑战2:安全网关测试标准——基准测试方法

对于安全网关测试,若想让测试结果更加真实,那么行业就必须有一种开放式、标准化方法,以便对网络安全产品进行测试。

NetSecOPEN是由业界领先的测试设备厂商、网络设备制造商、测试实验室、企业和服务商共同成立的网络安全组织,致力于构建公平、透明和开放的网络安全与性能测试标准。

思博伦一直活跃于促进协作发展的行业活动,作为NetSecOPEN的创始成员之一,思博伦与NetSecOPEN有着紧密合作,NetSecOPEN测试已经内建于思博伦CyberFlood中,与NetSecOPEN合作制定网络安全测试标准,将安全产品厂商、测试厂商和测试实验室的力量融会贯通,进而开发出完整的测试规格。

目前,NetSecOPEN概念验证(PoC)测试正在进行中,测试标准草案已提交给IETF,第一个证书于2019年上半年颁布。

挑战3-主动评估与监控DBA——现网监控,防患于未然

为何需要DBA?这是因为过去几年来,数据泄露的总数不断增加。在2017年,数据泄露的平均损失为3.62亿美元,在数据泄露中每个被盗记录的平均成本为141美元。对于用户来说,如果现在什么都不做要付出更大的代价。

与其坐以待毙,不如主动出击。

在曲博看来,“主动监控的好处在于:实时了解安全内容检查的影响,评估安全检查的影响,为客户所保护的服务生成合法的、逼真的仿真流量;同时通过发现那些降低性能以及不能提供附加安全范围的安全策略,来限制这些对网络用户的影响,使用主动监控来微调网络安全策略。”

例如数据泄露评估,可以根据各区域的知识,定制可执行的漏洞和恶意软件到网络环境中,监控网络安全部件对这些安全攻击的防范效果;通过持续评估,满足/准备遵守法规的要求,评估你网络面对威胁的前景,也就是在坏人之前找出漏洞。此外,还包括数据丢失预防验证、继续“不干涉的”安全评估等。

挑战4:物联网安全测试 ——五大攻击面、十大漏洞 

物联网安全包括五大攻击面:一是网络(服务、防火墙);二是应用(身份验证、授权、输入验证);三是设备硬件(物理安全);四是移动(客户端数据存储、数据传输、API);五是云(后端服务器、授权、更新安全性)。

基于对物联网安全五大攻击面的分析,曲博认为,物联网安全面临十大漏洞:不安全的Web界面应用;不足的身份验证/授权;不安全的网络服务;缺乏传输加密/完整性验证;隐私担忧;不安全的云界面;不安全的移动界面;不足的安全配置;不安全的软件/固件;缺乏的物理安全。

针对物联网设备安全检测,首先需要自动的漏洞扫描,包括对物联网设备进行漏洞扫描,以发现与不安全服务器配置、默认系统密码、不安全防火墙配置、不安全通信、信息泄漏和错误处理有关的漏洞;其次是手工渗透性测试,包括物联网设备渗透性测试,渗透测试将评估物联网设备固件、二进制代码、相关的Web服务和HTTP(S)通信中的可利用漏洞,发现并利用底层Web应用程序解决安全漏洞,如身份验证旁路、授权边界、SQL注入等。

思博伦在物联网设备和物联网安全等方面均有全面的测试解决方案。思博伦SecurityLabs目前已能提供全面的物联网安全性和性能测试,并且成为CTIA物联网网络安全认证的授权测试实验室。

挑战5:测试自动化

新架构使得5G网络面临新的复杂性挑战,这也使得测试变得越来越复杂。

如果人工干预过多,就不能保证每次测试都能处于同等条件,也就无法得到准确的测试结果;如果编写成一个测试自动化脚本,用自动化把测试流程串起来,能够大量节省测试成本、提高效率和准确率。

测试自动化的典型场景例如回归测试,测试用例相对固定,需要测试的设备种类繁多(网络设备选型测试);但测试步骤非常复杂,需要在同一测试中协调多个资源或设备,在测试期间收集日志,测试结果自动分析与比较。

据了解,思博伦通过主动测试与自动化,每年为客户节约大量测试成本。

20多年安全测试经验为5G保驾护航

总结整个5G安全测试的关键词,曲博认为,首先,连续安全测试和审查的原理高于一切,因为黑客即使受到阻止也不可能会轻易罢休;同时,业界测试5G网络安全性,必须强调测试应反映真实的条件,并验证现行的安全解决方案是否依旧适用。

“思博伦的网络安全测试方法,能够以前瞻的方式查明威胁和漏洞,并帮助企业优先确定消减方向和投资方向。思博伦不仅能够为5G安全测试提供真实场景下的应用和攻击仿真,还能够提供全面的安全性能和安全效能评估;测试平台从虚拟化到100G,提供高性能应用和攻击仿真;数据泄露评估(DBA)提供现网监控,防患于未然;SecurityLabs团队为客户提供5G安全测试服务,扫描和渗透性测试;网络靶场解决方案,为5G安全检测培养测试人才。”曲博表示,思博伦在安全测试领域耕耘了20多年,拥有强大的安全测试技术和团队,服务众多客户的同时积累了大量安全测试的实战经验,能够对安全测试趋势进行更准确的洞察,助力新技术和新产品的研发,为5G安全测试保驾护航。

给作者点赞
0 VS 0
写得不太好

版权说明:C114刊载的内容,凡注明来源为“C114通信网”或“C114原创”皆属C114版权所有,未经允许禁止转载、摘编,违者必究。对于经过授权可以转载我方内容的单位,也必须保持转载文章、图像、音视频的完整性,并完整标注作者信息和本站来源。编译类文章仅出于传递更多信息之目的,不代表证实其描述或赞同其观点;翻译质量问题请指正

热门文章
    最新视频
    为您推荐

      C114简介 | 联系我们 | 网站地图 | 手机版

      Copyright©1999-2024 c114 All Rights Reserved | 沪ICP备12002291号

      C114 通信网 版权所有 举报电话:021-54451141