比如说,攻击者可以利用它来关闭工厂或者关键的基础设施,或者劫持公司的系统以进行勒索。Cortese说:“我还没有看到这种情况发生,但这只是因为5G还没有被广泛部署。随着5G的广泛采用和物联网的扩展,我们可能会看到像制造业这样的系统将遭受大量的攻击。”
7.警惕假冒攻击
由于大多数5G网络都不是独立的,仍然容易受到4G和旧协议固有的一些缺陷的影响。GTP协议就是一个例子,它用于在4G和更早的网络上传输用户和控制数据流。它有一个允许拦截用户数据的漏洞,这可能导致假冒攻击。
Positive科技公司最近发布了一份关于GTP漏洞及其对5G网络影响的报告。它描述的一个漏洞是,GTP不检查用户的位置,因此很难确定哪一数据流是合法的。攻击者只需假冒用户的IMSI订户标识和TEID隧道标识即可。后者是很容易获得的,而攻击者有多种方法获取IMSI,其中最简单的方法是在暗网上购买数据库。
为方便攻击,攻击者通常借助于执行直通身份验证的服务来进行假冒攻击。这也可能使第三方合作伙伴遭受未经授权的访问。
Positive科技公司的研究人员建议安全部门跟踪用户或者设备的位置,但要注意,大多数网络并没有部署执行此类操作所需的安全工具。
8.应有人为物联网安全负责
物联网安全的最大障碍不是技术上的,而是心理上的。没有人愿意承担责任。大家都想把责任推给别人。买方指责卖方没有保证他们设备的安全。卖方指责买方选择了更便宜、更不安全的产品。在5G的世界里,让他人负责物联网安全是不可想象的。
据Radware去年发布的一项调查,34%的受访者认为应由设备制造商负责物联网安全,11%的受访者认为应由服务提供商负责,21%的受访者认为应由消费者负责,35%的人则认为应由业务部门负责。Radware的战略副总裁Mike O'Malley评论说:“换句话说,没有共识。”此外,他还说,消费者不具备这些知识或者技能。企业招不到足够的员工。制造商相互之间太不协调、太多而难以控制。
企业可以雇佣服务提供商来承担一些工作,但这并不能解决消费者设备不安全、制造商不愿做出改变以及缺乏一致的全球监管和执行等问题。
每个人都应该对物联网安全负责。买方应坚持要求,他们购买的产品不能有默认密码或者测试模式,通信是经过加密和认证的,设备要定期打上补丁和更新。供应商应该把不安全的设备下架,在产品设计过程开始时就要考虑安全问题,而不是在安全事件上了新闻头条后才开始考虑。
编译:Charles
原文网址:
文章来源:《物联网技术》 网址: http://www.wlwjszz.cn/zonghexinwen/2020/0723/460.html