Trách nhiệm bảo mật mạng 5G của các nhà cung cấp dịch vụ và triển khai

08:59 | 06/11/2023

Khi 5G ngày càng phổ biến và được nhiều doanh nghiệp sử dụng cho truyền tải không dây, một câu hỏi quan trọng được đặt ra đó là: “Ai chịu trách nhiệm đảm bảo bảo mật cho 5G?”. Việc triển khai 5G bảo mật bao gồm nhiều khía cạnh và trách nhiệm, nó sẽ là trách nhiệm chung của cả các nhà cung cấp dịch vụ và các doanh nghiệp triển khai.

Triển khai 5G bảo mật bao gồm nhiều khía cạnh và không một công cụ nào có thể giải quyết tất cả các thách thức bảo mật đó. Trước khi tìm hiểu những công cụ nào nên được sử dụng để bảo mật mạng 5G, cần xem xét các thành phần của mạng và ai là người chịu trách nhiệm bảo mật cho từng thành phần.

Có nhiều cách để nhóm các trách nhiệm bảo mật mạng 5G. Nhóm Dự án đối tác thế hệ thứ 3 3GPP (Third Generation Partnership Project – 3GPP) dự án hợp tác giữa các nhóm hiệp hội viễn thông nhằm chuẩn hóa kỹ thuật hệ thống điện thoại di động thế hệ thứ 3 áp dụng trên toàn cầu đã định nghĩa một số tính năng bảo mật được cung cấp trong một mạng 5G độc lập như sau:

  • Bảo vệ tính toàn vẹn lưu lượng truy cập của người dùng
  • Quyền riêng tư của người đăng ký
  • Che giấu định danh của người đăng ký
  • Giao diện chuyển vùng và bảo mật nội dung
  • Xác thực và mã hóa lẫn nhau

Nhiều tính năng trong số này không có trong mạng 4G. Vì vậy, có thể thấy rằng nhiều bước tiến quan trọng đã được thực hiện để cải thiện tính bảo mật cho mạng không dây 5G, tuy nhiên, vẫn còn nhiều việc phải thực hiện. Dưới đây là danh sách các cân nhắc bảo mật bổ sung dành cho mạng 5G vượt xa những gì 3GPP đã định nghĩa và đặt trực tiếp vào vai trò của các nhà cung cấp dịch vụ và doanh nghiệp triển khai mạng 5G:

  • Phân vùng bảo mật mạng
  • Khả năng hiển thị và bảo mật mặt phẳng người dùng
  • Bảo mật vùng chứa
  • Bảo mật API
  • Bảo mật trung tâm điều hành an ninh (SOC)

Phần tiếp theo sẽ phân tích nội dung của từng chủ đề và một số mối đe dọa liên quan tới bảo mật dành cho mạng 5G:

Phân vùng bảo mật mạng

Đây là nguyên tắc bảo mật cho phép bảo mật Zero Trust, giúp giảm thiểu ảnh hưởng nếu có sự cố xảy ra trong mạng. Zero Trust yêu cầu tất cả người dùng trong và ngoài mạng của tổ chức đều phải được xác thực, ủy quyền và liên tục xác nhận cấu hình và tư thế bảo mật trước khi được cấp quyền truy cập vào ứng dụng và dữ liệu, thực thi quyền truy cập với đặc quyền tối thiểu.

Giả sử nhà điều hành mạng cấp quyền truy cập internet cho một điểm cuối đã bị khai thác hoặc có lỗ hổng đã biết. Khi điểm cuối đó bị xâm phạm, các chính sách bảo mật Zero Trust, nếu được triển khai đúng cách, sẽ ngăn kẻ tấn công truy cập vào các điểm cuối quan trọng khác, chẳng hạn như máy chủ Active Directory hoặc kho lưu trữ mã nguồn.

Khả năng hiển thị và bảo mật mặt phẳng người dùng

Không thể bảo mật những gì không nhìn thấy. Điều quan trọng là phải biết tất cả các ứng dụng và dịch vụ đang chạy trên mạng 5G cần được bảo mật. Tiếp theo là phải đảm bảo không có mối đe dọa nào: Truy vấn DNS này lành tính hay độc hại? URL này có hướng lưu lượng truy cập đến một trang web lừa đảo không? Hay tập tin đó có phải là phần mềm độc hại được tải xuống không? Khi nhận thấy bất kỳ mối đe dọa hoặc hành vi bất thường nào, cần phải xác định được người hoặc thiết bị đăng ký để có thể đưa ra các hành động ứng phó hiệu quả và kịp thời.

Giả sử có một kho các thiết bị thông minh. Trong trường hợp một trong số các thiết bị này bị xâm phạm thông qua quyền truy cập cục bộ, mọi hoạt động liên quan đến mối đe dọa từ thiết bị đó, chẳng hạn như lệnh truy vấn và kiểm soát, sẽ cho phép doanh nghiệp hoặc nhà cung cấp dịch vụ bảo vệ được quản lý MSSP (Managed Security Service Provider) nhanh chóng phát hiện thiết bị nào bị ảnh hưởng. Điều này chỉ có thể được thực hiện nếu ID thiết bị (ví dụ: mã nhận dạng thiết bị di động IMEI) có trong nhật ký mối đe dọa. Với thông tin có độ chính xác cao này, trung tâm điều hành có thể hành động nhanh chóng và giúp thời gian khắc phục giảm đi đáng kể.

Bảo mật vùng chứa

Vùng chứa và kỹ thuật ảo hóa sẽ là các yếu tố chính trong mạng 5G. Vì vậy, việc đảm bảo các yếu tố này được an toàn trước và trong khi được triển khai là rất quan trọng. Khả năng hiểu lỗ hổng trong các thư viện được sử dụng từ ảnh chụp vùng chứa cũng như phát hiện các điểm bất thường khi vùng chứa đang chạy là một trong các tính năng cần thiết cho Bảo mật vùng chứa và nền tảng điều phối vùng chứa mã nguồn mở Kubernetes.

Các nhà khai thác và doanh nghiệp nhận được các ảnh chụp cập nhật của vùng chứa mạng lõi 4G và 5G phải đảm bảo rằng không có lỗ hổng nghiêm trọng nào trong đó trước khi vùng chứa được triển khai. Các nhà khai thác thường không tham gia vào quy trình xây dựng phần mềm lõi mạng của các công ty nhưng vẫn có thể nhận được các ảnh chụp phần mềm nguy hiểm trước khi được triển khai. Bằng cách sử dụng tính năng như Prisma Cloud để quét các ảnh chụp trong sổ đăng ký vùng chứa và cung cấp khả năng hiển thị tất cả các lỗ hổng của mỗi hình ảnh, các nhà vận hành và doanh nghiệp có thể phát hiện và ngừng triển khai một vùng chứa rủi ro.

Bảo mật API

Kiến trúc dựa trên dịch vụ 5G sẽ sử dụng nhiều API để truyền thông cả bên trong và bên ngoài, giữa các thành phần. Các API bổ sung, chẳng hạn như các API được sử dụng cho IoT, cũng cần được bảo mật. Khả năng hiển thị và bảo vệ API khỏi các tấn công DoS, các yêu cầu không đúng định dạng và các vectơ tấn công khác là điều bắt buộc đối với các mạng di động.

Dự án Camara là một trong những dự án hứa hẹn sử dụng nhiều API. Các nhà khai thác triển khai các API này sẽ mở ra những cách thức mới thú vị để khách hàng tương tác với mạng, chẳng hạn như nhận thông tin vị trí thiết bị, yêu cầu chất lượng mạng... Tuy nhiên, các API do Dự án Camara định nghĩa cũng sẽ mở ra nhiều vectơ tấn công mới cần phải được bảo mật bằng bảo mật API, để ngăn chặn nỗ lực khai thác các API đó, các tấn công DoS và lưu lượng API độc hại khác.

Bảo mật Trung tâm điều hành an ninh (SOC)

Khi các mối đe dọa được phát hiện trong mạng, các sự kiện thường được gửi đến SOC để phân tích. Với hàng triệu sự kiện được gửi đến SOC mỗi ngày, các nhiệm vụ như ưu tiên các sự cố sắp xảy ra, loại bỏ các kết quả dương tính giả và cho phép khắc phục nhanh chóng là không dễ dàng. Ở đây, các công cụ như học máy và tự động hóa được sử dụng giúp giảm nhiễu, loại bỏ các tác vụ lặp đi lặp lại và tăng tốc các hành động khắc phục.

Trong mạng 5G, thời gian khắc phục trung bình (MTTR) là rất quan trọng, đặc biệt là trong các mạng hỗ trợ cơ sở hạ tầng trọng yếu. Khi cảnh báo được kích hoạt, các sự kiện phản hồi sẽ diễn ra nhanh chóng để đảm bảo tính kịp thời. Tất cả các sự kiện như mở yêu cầu, gửi email, thực hiện lệnh gọi API, thậm chí có thể cập nhật chính sách bảo mật đều ở tốc độ máy. Con người thường sẽ làm chậm quá trình này và làm tăng MTTR, đó là lý do tại sao tự động hóa và điều phối là quan trọng.

Kết luận

Triển khai 5G bảo mật bao gồm nhiều khía cạnh và trách nhiệm, nó là trách nhiệm chung của cả các nhà cung cấp dịch vụ và các doanh nghiệp triển khai. Danh sách các trách nhiệm trên là chưa đầy đủ tuy nhiên cũng đã nêu bật các lĩnh vực bảo mật khác nhau mà các doanh nghiệp và nhà cung cấp dịch vụ sẽ cần tập trung vào khi triển khai 5G.

Tài liệu tham khảo

[1] https://www.paloaltonetworks.com/blog/2023/04/5g-security-a-shared-responsibility/

[2] https://kubernetes.io/

[3] https://www.paloaltonetworks.com/prisma/cloud

[4] https://camaraproject.org/