在5G环境中，每个物联网安全问题都会被大幅放大。部署5G之前，请解决好这8个方面的事宜。

超高速5G移动网络不仅可以提高人们相互联系的效率，还可以实现机器、物体和设备间更好的互连和控制。其高Gbps数据传输速率、低延迟和高容量，无论对消费者还是企业来说都是福音。但这一切伴随着新型重大安全风险，因为早期采用者仍处于学习和摸索阶段。

全球家电制造商惠而浦（Whirlpool）已经开始在旗下一家工厂开展5G部署工作。该公司使用物联网设备，利用传统局域WiFi网络进行预测性维护、环境控制和过程监控，但5G能使该公司做到使用WiFi无法完成的事：部署自动驾驶叉车和其他车辆。

惠而浦北美地区IT和OT制造基础设施应用经理道格拉斯·巴恩斯（Douglas Barnes）表示：“我的工厂里到处都是金属。金属会反射WiFi信号。即使我在工厂里用了网状WiFi，我们的金属还是太多了。但5G可以穿墙，而且不会被金属反射。”

这意味着，一旦5G在工厂车间安装到位，惠而浦可以做出巨大的改变。他说：“这将使我们能够在整个工厂里真正全面使用自动驾驶汽车，用于维护、交付和支持生产运营的所有事务。这个业务案例分量极重，能节省很多开支。5G的回报是非常有利的。”

他表示，公司已经做了测试，确保自动驾驶汽车能正常运行。资金将在本月到位，这些自动驾驶汽车今年年底前就能运行在5G上了。“只要我们能成功，自动驾驶汽车的业务案例将值回其他一切。”

巴恩斯敏锐地意识到，物联网已经给企业带来了新的网络安全问题，而所有这些问题在切换到5G时将会被大幅放大。惠而浦与其5G合作伙伴AT&T共同解决这些隐忧。巴恩斯称：“我们每天都在跟这些问题缠斗。在真正开始前，我们与AT&T谈论的第一个话题，就是怎么打造一个安全的5G网络。”

在创建5G实施计划时，惠而浦这样的公司企业需要考虑下列8个关键方面的问题。

1. 加密和保护5G网络流量

随着5G的发展，接入网络的智能设备数量预计将急剧增加，这些网络的流量也将显著增长。Gartner调查研究表明，明年企业和汽车物联网设备的数量将增长至58亿台，比今年预计的48亿台物联网端点设备增长21%。这就使得这些网络成为了攻击者的理想环境——可供选择的攻击目标比现在丰富得多。

巴恩斯表示，为解决此问题，惠而浦将加密5G流量，并将5G天线配置为仅接受经批准的流量。他说：“在添加设备的时候，我们在5G网络上将之配置为可接受的设备。只要不在白名单上，我们就不监听。而由于是加密的，我不担心有人试图捕获信号，因为捕获了也没什么用。”

一旦流量离开本地网络，进入到公共5G网络或互联网，通信将经由加密VPN隧道保证安全。他解释道：“因为可能不得不使用5G与外界通信，我们预先设置了这些加密信道。”

2. 保护并隔离易受攻击的设备

设备本身也是潜在脆弱点。业内安全意识其实不是很高。尤其是工业设备，这些设备通常采用专有操作系统，并且毫无安装补丁或许可堵上漏洞的能力，在设计时就没想过要预留补丁安装接口。

Barracuda Networks高级安全研究员乔纳森·坦纳（Jonathan Tanner）表示，事实上，大多数物联网安全问题尚未解决。他说，有些设备的问题无法通过固件更新来修复，或者就没有更新固件的机制。即使设备制造商在下一代设备中加装安全功能，那些不安全的旧型号仍然散落各处继续运行。

坦纳补充道，有些公司无视指出漏洞的安全研究人员。一些生产出脆弱设备的公司已经倒闭了。他们的设备里满是原来就有的各种漏洞也没人管。

如果被这种不安全的物联网设备绊住手脚，该怎么办呢？惠而浦的巴恩斯认为，网络隔离结合上其他网络安全技术，可以提供一定的保护。他说：“我们采取了双层方法：监控所有流量的网络安全层，以及执行深度包检测的二级安全层。第二层安全建立在协议层面上，查找协议中植入的那类恶意活动。”

此外，还有一般意义上的安全措施，比如尽可能打上补丁，定期对所有设备执行安全审计，全面清查统计网络上的所有设备。

3. 为大型DDoS攻击做好准备

一般来说，5G并不意味着不如前几代无线技术安全。诺基亚威胁情报实验室主管凯文•麦克纳米（Kevin McNamee）表示：“5G确实带来了4G或3G无法提供的新安全功能。5G的整个控制面板已迁移至Web服务类型的环境，这种环境采用强身份验证，非常安全。这是安全上的进步。”

但与此同时，僵尸网络在5G环境中拥有更多发展壮大的机会，也可能会抵消掉这些安全上的改进。麦克纳米称：“5G将大大增加设备的可用带宽。而物联网僵尸主机也能利用这些大幅增加的带宽。”

增加的带宽可被用于查找更多脆弱设备和扩散感染，僵尸网络也可以找到更多脆弱设备加以利用。智能家居设备的销量逐年增长，且增长速度越来越快。与惠而浦一样，企业也是物联网设备的大用户。还有政府部门和其他类型的组织机构在不断购入物联网设备。

借助5G，难以维护的偏远地区也可以设置各种设备。ESET安全研究员，俄勒冈州无线互联网服务提供商协会联席主席卡梅隆•坎普（Cameron Camp）表示：“将会有大量传感器记录一切，从天气到空气质量到视频馈送。这意味着有许许多多的新机器可能被黑，被征召进僵尸网络中作恶。但由于这些传感器在很大程度上无人看管，我们将难以发现和响应此类黑客事件。”

此外，物联网设备通常更新没那么频繁。用户不会替换仍然可以实现预期功能的设备。攻击者也会保持低调，让僵尸网络不引起任何注意。即使有可用的补丁，或者制造商推出了更新、更安全的版本，客户也可能不会费心更新或升级换代。

同时，许多智能物联网设备运行的是嵌入式Linux之类真正的操作系统，这些设备几乎就是全功能的计算机。攻击者可利用被感染的设备托管非法内容、恶意软件、命令与控制（C2）数据，以及其他有价值的系统和服务。用户却不会将这些设备视为需要防病毒保护、修复和更新的计算机。许多物联网设备也不保留入站和出站流量的日志。因而，攻击者能够保持匿名，想关停僵尸网络也就更难了。

这构成了三重威胁。潜在可利用设备的数量、可用于扩散僵尸网络的带宽、僵尸主机执行DDoS攻击的可用带宽，统统增加了。由于很多设备依然不安全，有些设备还根本无法修复，相比当前状况，5G环境下公司企业需应对的DDoS攻击规模呈数量级上升。

4. 转向IPv6可能会令私有互联网地址变得公开

随着设备数量激增和通信速度提升，公司企业可能会想尝试使用IPv6代替当前常见的IPv4。IPv6是容纳更长IP地址的网际协议，于2017年成为互联网标准。

IPv4仅有43亿个网络地址可用，不能满足为激增的网络资源分配地址的需求。早在2011年，一些互联网注册管理机构就开始无址可分了，2012年开始，组织机构纷纷转向使用IPv6。但互联网协会（The Internet Society）的资料显示，直至今日，仅有不到30%的谷歌用户通过IPv6访问谷歌平台。

诺基亚的麦克纳米称，很多组织机构和几乎全部家用设备，还有很多手机网络，都在使用私有IPv4地址。这些私有地址为他们提供了天然的保护，因为在互联网上不可见。

随着5G时代的到来，为支持几十亿新增设备，运营商自然会迁移到IPv6。如果他们选择采用公共IPv6地址而不是私有地址，这些设备就会变得可见。这不是IPv6的问题，也不是5G的问题，但将设备从IPv4迁移到IPv6的企业，可能会将设备意外放到公共地址上。

5. 边缘计算助长攻击界面

公司企业想要为客户或自身分布式基础设施减少延迟、提升性能，他们将目光投向了边缘计算。借助5G，边缘计算的优势还能更大，因为端点设备将能拥有更强的通信能力。

但是，边缘计算也会大幅增加潜在的攻击界面。尚未开始转向零信任网络架构的公司企业，现在应该开始考虑这事儿了，要在大幅投入边缘计算基础设施之前完成向零信任网络的迁移。真正开始构建边缘计算基础设施的时候，安全应是首要考虑，而非事后补救。

6. 物联网供应商重视率先进入市场而轻安全

物联网淘金潮将激励一批新供应商进入这个领域，也将刺激现有供应商加快向市场推出新产品的脚步。Barracuda高级安全研究员坦纳称，寻找漏洞的安全研究人员已经赶不上物联网设备的推出速度了。随着新制造商的不断涌入，我们将见证新一轮的安全漏洞爆发。

据坦纳观察，同样的错误不断重现，物联网设备的漏洞报告一直在上升，从未下降。“前事不忘，后事之师”这句话，似乎并未在前赴后继的物联网供应商身上体现分毫。

A-lign Compliance and Security公司渗透测试主管乔·柯蒂斯（Joe Cortese）称：“供应商一点都不在意安全。今年早些时候，我买了5个与开关灯相关的设备，其中4个我从屋子外面就能访问。供应商从未移除设备中内置的测试模式。”

柯蒂斯表示，所有供应商都想首先进入市场。对很多供应商而言，推出设备的最快方式，就是使用嵌入式Linux等现成的平台。他说：“我以前在情报部门工作。最近，我经手的一个恶意软件只用7行代码就能搞定一台设备。不加固自身设备安全的制造商，对此类攻击毫无抵抗力。”

使用这类恶意软件，攻击者可以关停工厂或关键基础设施，或者劫持公司企业的系统索要赎金。柯蒂斯说：“我还没看到此类安全事件发生，但这仅仅是因为5G尚未广泛部署。随着5G采纳增加和物联网设备数量增长，我们很可能会看到制造业系统漏洞利用井喷。”

7. 小心假冒攻击

因为大多数5G网络不是独立组网，4G和更早些的协议中固有的一些缺陷，仍能影响到5G网络。在4G等早期网络上传输用户和控制流量的GTP协议就是其中一例。攻击者可以利用GTP协议中的一个漏洞拦截用户数据，进而实施假冒攻击。

Positive Technologies公司最近发布了一份报告，描述GTP协议漏洞及其对5G网络的影响。其中一个漏洞就是GTP不检查用户的位置，导致无法判断哪个流量才是合法的。攻击者冒充用户所需要的全部东西，仅仅是用户的IMSI用户识别码和TEID隧道标识。后者很容易获取，但攻击者有多条途径获得IMSI，最简单的办法就是在暗网上购买数据库了。

为方便用户而执行直通身份验证的服务，也常会方便攻击者开展假冒攻击。这一便利还可能会导致第三方合作伙伴遭遇未授权访问。

Positive Technologies的研究人员建议组织机构跟踪用户或设备位置，但又指出，大多数网络上并未部署执行跟踪所需的安全工具。

8. 应有人负责物联网安全

物联网安全最大的障碍并不是技术上的，而是心理上的。没人愿意承担责任。谁都想指责别人。买家指责供应商制造的设备不安全。供应商责怪买家选择廉价的不安全产品。在5G世界中，假设别人该为物联网安全负责的后果将会严重得多。

Radware去年发布的一份调查研究表明，34%的受访者认为设备制造商应为物联网安全负责，11%的受访者认为物联网安全的责任人应该是服务提供商，21%认为责任在私人消费者身上，还有35%认为公司企业应为此承担责任。Radware战略副总裁麦克·奥马利（Mike O’Malley）称：“换句话说，根本没有什么共识。而且，消费者也没有这方面的知识或技能。”企业雇不到足够的人手。制造商又是一盘散沙，各自为战，难以控制。

企业可以雇佣服务提供商来减轻一些负担，但问题依然存在，比如不安全的消费者设备、不想做出改变的制造商，还有不一致的全球监管和实施。

物联网安全人人有责。买家需保持所购买产品没有遗留默认密码或测试模式，采用经加密和身份验证的通信，并定期修复和更新设备。供应商需下架不安全设备，并在产品设计过程初期就引入安全，而不是在发生安全事件之后，更不是在安全事件见诸报端之后。

转载自：数世咨询