Não há dúvidas de que o 5G está associado a grandes benefícios quando o assunto é o futuro das telecomunicações. Porém, como se sabe, novas tecnologias trazem consigo novos riscos cibernéticos . Quanto mais a tecnologia evolui, maior é a superfície de atuação dos cibercriminosos. Obviamente, não há como abrir mão das novas tecnologias no contexto organizacional. Por isso, é hora de começar a pensar sobre a cibersegurança no 5G.
O 5G trouxe uma disrupção tecnológica para as redes de comunicações e promoveu várias melhorias tecnológicas, entre elas, aumento significativo da taxa de transmissão de dados, diminuição considerável da latência da rede, ambiente mais adequado para dispositivos IoT (Internet das Coisas), entre outras . Contudo, já foram identificados algumas brechas de segurança no novo padrão. .
Os testes realizados por investigadores estadunidenses evidenciaram vulnerabilidades que podem ser exploradas, por exemplo, para o rastreamento de dispositivos, desconexão forçada de equipamentos da rede e emissão de falsos alertas de emergência. que também podem estar presentes nas redes 4G.
Instituições renomadas operam à cibersegurança, como o NIST ( National Institute of Standards and Technolog y) já divulgam documentos em que reconhecem os desafios que as empresas enfrentam ao passarem pela transição entre o 4G e o 5G .
Um desses desafios de cibersegurança no 5G é a carência de padrões e orientações relacionadas à proteção dos componentes e ao uso da tecnologia.
Nesse contexto, operadores e usuários têm dificuldade em decidir o que fazer e como fazer para manter seus seguros ativos.
Por isso, o NCCoE ( National Cybersecurity Center of Excellence ), que é um braço do NIST, desenvolveu o projeto 5G Cybersecurity para fornecer exemplos de abordagens de cibersegurança no 5G.
Essas abordagens estão relacionadas à proteção das redes por meio de uma combinação de recursos definidos nos padrões 5G e em controles de segurança. Este projeto também tem o objetivo de identificar novas lacunas de cibersegurança no 5G que precisam ser abordadas. O projeto ainda está em desenvolvimento, mas já foi divulgado um documento preliminar que inclui orientações acionáveis e prescritivas sobre o que falaremos nos próximos.
Principais soluções para promover a
É importante observar que a arquitetura da rede 5G se diferencia das arquiteturas das redes anteriores a ela. Principalmente pela nova abordagem de um núcleo de rede com arquitetura baseada em serviços (SBA – Service-Based Architecture). Nessa nova arquitetura, o núcleo de rede pode ser implementado como se fosse um datacenter composto de várias funções de rede virtualizadas (VNFs – Virtualized Network Functions). Sendo assim, recursos de segurança antes aplicados a sistemas móveis virtualizados, agora também fazem parte do escopo de redes de comunicações. Como por exemplo, os problemas de segurança associados a hardwares, firmwares, hipervisores, sistemas operacionais, máquinas virtuais, contêineres virtuais, micro-serviços, entre outros.
O NCCoE possibilita recursos de cibersegurança no 5G destinados à mitigação de certas categorias de ameaças e vulnerabilidades de modo a reduzir o risco geral a um nível aceitável .
Vamos ver em seguida quais são os principais problemas de segurança e seus controles de mitigação dos riscos.
Medição de plataforma baseada em hardware
O sistema básico de entrada/saída (BIOS) ou o código do firmware podem ser alterados ou substituídos, dando ao invasor o controle total do sistema.
Além disso, os agentes mal intencionados podem adicionar componentes de hardware ao sistema para dar acesso a usuários não autorizados sem o conhecimento do proprietário do sistema.
Essa situação pode ser atenuada a partir de controles criptográficos experimentados em hardware , que fornecem um mecanismo de verificação da integridade do sistema. Esse mecanismo é normalmente conhecido como HRoT (Hardware Root of Trust), que consiste em um sistema que sustenta todas as operações seguras em um chip e protege seus ativos críticos. O HRoT fornece uma base segura para inicialização de sistemas promovendo o login de cada camada de sua arquitetura, desde o hardware até à aplicação, passando pelo firmware e também pelo sistema operacional.
Assim, BIOS, firmware e os componentes de hardware conectados serão padronizados para que quaisquer alterações ou modificações sejam facilmente reconhecidas.
Rotulação baseada em hardware
Rótulos de software são frequentemente aplicados a sistemas ou conjuntos de sistemas para designá-los para cargas de trabalho específicas.
Porém, os rótulos geralmente são aplicados no nível do sistema operacional, o que pode ser contornado em um sistema comprometido.
A rotulagem de sistemas baseada em hardware fornece etiquetas exclusivas definidas pelo usuário .
Esses rótulos podem ajudar a identificar um sistema por qualquer conjunto de atributos, efetivamente a cibersegurança no 5G.
Os rótulos, também chamadas de etiquetas de ativos, são assinadas criptograficamente e armazenadas em hardware , que podem ser usadas para demonstrar sua integridade e propriedade.
Atestado de Plataforma Remota
O controle dos datacenters e de seus respectivos firmwares é uma tarefa difícil para os operadores, principalmente quando eles são compostos por uma grande quantidade de servidores.
Sem um gerenciamento centralizado das plataformas de servidores, as mudanças sem aprovação prévia podem ser realizadas em seu firmware sem serem detectadas pelo operador do datacenter.
O atestado de plataforma remota fornece uma lista de quais componentes têm permissão para serem executados em plataformas de servidores em todos os sistemas de hardware em um datacenter.
Nesse sentido, há um upgrade da cibersegurança no 5G porque a capacidade de verificar em uma lista de permissão coletiva de plataformas de servidor e seus componentes de firmware associados, em oposição a um sistema local que impõe uma política de cadeia de suprimentos, fornecer aos operadores mais flexível e controle em um ambiente criptograficamente protegido.
Orquestração das funções de redes virtualizadas
Na arquitetura SBA do 5G, cada função da rede é virtualizada e, portanto, essas funções são implementadas em aplicações de software que são responsáveis pela entrega de funções específicas, como: seleção dos slices de rede, autenticação e autorização de usuários na rede, entre várias outras funções. Quem já trabalhou com sistemas virtualizados sabe que, em certas ocasiões, é necessário fazer a migração de máquinas virtuais, contêineres virtuais ou de micro-serviços entre os servidores que compõem o datacenter. Quando ocorrer essa migração no 5G, os VNFs poderão ser instanciados ou migrados para servidores de computação com vulnerabilidades , ou com versões de firmware não permitidas ou, até mesmo, para sistemas fora de um limite lógico.
Assim, o controle de cibersegurança recomendado para mitigação desse problema no 5G é o uso de agendadores de orquestração de carga de trabalho integrados a um Trust Broker , que usam medições de confiança e tags de ativos como fatores de posicionamento da carga de trabalho. Isso garante que as VNFs sejam migradas apenas para servidores de computação com medição de conformidade de confiança e tags de ativos com confiança enraizada no hardware.
Criptografia de imagem de função de rede
As imagens de carga de trabalho geralmente são armazenadas em um local compartilhado e podem conter informações concluídas ou informações proprietárias.
Assim, pode ocorrer uma violação de dados se as imagens forem acessadas ou copiadas para outro site por um usuário não autorizado, causando um grave problema de cibersegurança no 5G.
A criptografia das imagens de carga de trabalho garante que apenas a plataforma de hospedagem possa descrevê-las e acessar suas informações.
Monitoramento de segurança de infraestrutura
Como em todas as redes de telecomunicações, o monitoramento de segurança da infraestrutura é fundamental para evitar invasores ou usuários internos mal-intencionados. Contudo, diferentemente das gerações anteriores, o 5G precisa de um cuidado especial no monitoramento da infraestrutura, pois, a restrição da rede 5G nem sempre é muito bem definida e pode conter partes da rede em uma infraestrutura local, em nuvem ou, até mesmo, em infraestrutura de terceiros.
Sem recursos de monitoramento adequados para detectar ataques à infraestrutura , esses podem persistir e tornar-se um empecilho para a cibersegurança no 5G.
As ferramentas de monitoramento são uma maneira eficiente de detectar e rastrear riscos de segurança para que uma empresa possa tomar decisões preventivas .
segmentação de rede
A rede 5G comporta diferentes tipos de tráfego e, sem a segmentação de rede, um usuário regular de 5G poderia interagir potencialmente com os componentes operacionais e de gerenciamento.
Nesse sentido, a segmentação de rede é fundamental em termos de cibersegurança no 5G, pois aplica controles de acesso a diferentes partes da rede .
Essa técnica cria segmentos de rede isolados para cada tipo de tráfego dentro da rede 5G para impedir o acesso não autorizado a outros tipos de tráfego.
Proteção de identificador permanente de assinatura
As redes legadas acima ao 5G não têm um procedimento seguro para evitar o rastreamento do IMSI (International Mobile Subscriber Identity). Isso acontece, pois, durante o procedimento de autenticação, o usuário de redes legadas envia seu IMSI em texto claro pela rede móvel. Assim, um atacante pode espionar essa identidade e rastrear a movimentação dos usuários da rede móvel.
Para evitar esse problema e fortalecer a cibersegurança no 5G, o 3GPP roubou um mecanismo de criptografia do IMSI durante o procedimento de autenticação, evitando assim a espionagem e o rastreamento dos usuários da rede móvel. No 5G, durante o procedimento de autenticação, o usuário móvel criptografa o IMSI, criando uma identidade oculta denominada SUCI (Subscription Concealed Identifier). Essa criptografia é feita por meio de um sistema criptográfico intitulado de ECIES (Elliptic Curve Integrated Encryption Scheme), que trata-se de um esquema de criptografia elaborado que integra algoritmos simétricos e assimétricos para garantir confidencialidade, segurança e integridade durante o procedimento de autenticação segura fazer 5G.
Realocação de IDs temporários
Em ataques passivos de informações de assinantes, os cibercriminosos coletam vários identificadores temporários que podem ser usados para diferentes propósitos, prejudicando a cibersegurança no 5G.
Por isso, é importante que os identificadores temporários sejam atualizados com a frequência adequada .
A rede pode ser configurada para alocar um novo identificador após cada pedido de serviço, garantindo que IDs temporários não sejam usados para o rastreamento de assinantes.
Segurança da mensagem NAS inicial
É comum separar as pilhas de protocolos das camadas da rede móvel em duas classes: NAS (Non-Access Stratum) e AS (Access Stratum). A camada NAS é definida pela pilha de protocolos que permite a conexão entre o usuário e o núcleo da rede, enquanto que a camada AS é definida pela pilha de protocolos existentes na parte da conexão sem fio, ou seja, na conexão entre o usuário e a rede de acesso sem fio.
Quando um usuário precisa estabelecer um serviço dentro da rede, seja para fazer uma chamada ou para troca de dados, como mandar mensagens de texto ou navegar pela Internet, é necessário estabelecer antes do contexto NAS.
Se todas as mensagens enviadas durante a criação do contexto NAS são enviadas em texto claro, algumas informações específicas do equipamento do usuário podem ser exploradas.
Portanto, a recomendação do 3GPP para o padrão 5G determina que, quando o equipamento não tem contexto de segurança NAS, ele deve enviar um conjunto limitado de elementos de informação. Por outro lado, quando o equipamento do usuário já possui criptografia válida ou chaves de integridade, ele deve enviar a mensagem NAS inicial completa cifrada em um contêiner NAS junto com os elementos de informação de texto não criptografados , com a integridade da mensagem protegida.
Responder à solicitação de identificador com SUCI
No LTE (Long Term Evolution), que é considerado uma tecnologia 4G, a rede pode solicitar a identidade de um equipamento durante certos procedimentos e definir especificamente o tipo de identificador móvel solicitado como, por exemplo, o IMSI, que é um identificador permanente. Assim, o equipamento do usuário precisa responder com o identificador contendo o IMSI solicitado e enviá-lo ao sistema em texto-claro.
Isso pode permitir que um terceiro malicioso faça o rastreamento do usuário dentro da rede móvel, como já mencionado anteriormente.
No 5G, a rede não pode definir o tipo de identificador móvel solicitado como o identificador permanente de texto não criptografado (SUPI), mas pode definir o tipo de identificador do celular solicitado como identificador oculto de assinatura (SUCI).
Isso significa que na mensagem de resposta, o equipamento do usuário poderá ocultar seu identificador permanente se o operador ativar esse recurso de cibersegurança no 5G.
Proteção da integridade do plano do usuário
A integridade do tráfego do plano do usuário entre o dispositivo e a rede não foi protegida nas gerações anteriores.
No 5G, a proteção da integridade do plano do usuário entre o dispositivo e a rede foi apresentada como um novo recurso, complementando a proteção de confidencialidade existente no tráfego do plano do usuário.
A ativação da proteção da integridade do plano do usuário evita esse problema de cibersegurança no 5G.
O suporte deste recurso é obrigatório tanto para o dispositivo quanto para a rede, enquanto o uso é opcional e fica sob o controle do operador.
Prática recomendada de algoritmos criptográficos
Um operador de rede está limitado aos algoritmos criptográficos suportados no equipamento aprimorado em suas redes.
Se os algoritmos configurados para uso forem determinados como transitórios de alguma forma, o sistema pode estar em risco.
O 5G suporta os mesmos algoritmos criptográficos disponíveis para uso no LTE.
Para as especificações do 3GPP, o equipamento de rede 5G é necessário para suportar uma criptografia de algoritmo baseada em padrão (AES), bem como um algoritmo baseado em SNOW3G.
O sistema suporta a alternância entre algoritmos implementados no equipamento de rede . Essa mudança pode ser acionada se o algoritmo configurado para uso em uma rede por considerada fraca.
Isso traz alguma agilidade de algoritmo inerente ao sistema , fortalecendo a cibersegurança no 5G.
Suporte nativo ao protocolo de autenticação extensível (EAP)
Nas gerações anteriores ao 5G, apenas o AKA era usado como autenticação primária para autenticar o equipamento do usuário e a rede.
A chave de login não estava vinculada ao nome da rede do servidor. Portanto, vários tipos de problemas de segurança podem ocorrer, como uma rede de serviço comprometida ou uma chave de login sendo usada para acesso não autorizado.
Os padrões 5G especificam o uso de autenticação independente de acesso , usando o EAP-AKA’ para habilitar a autenticação mútua entre o equipamento e a rede e estabelecer o conjunto de chaves de confidencialidade e integridade que pode ser usado entre o equipamento e a rede servidora em procedimentos de segurança subseqüentes.
O EAP-AKA’ vincula o nome da rede servidora à chave de login , o que impede o acesso não autorizado.
Acessos não-3GPP
Os assinantes da rede 5G podem acessar os serviços 5G por meio de redes de acesso não 3GPP.
Essas redes podem ser próximas com vários tipos de ataques de segurança, incluindo pontos de acesso falsos para sessões de sequestro de usuários residentes e ataques de espionagem.
Um contexto de segurança comum é mantido na rede principal 5G quando um equipamento se conecta a redes 3GPP e não 3GPP.
No 5G, para acessos não 3GPP, os túneis IPsec podem ser usados para proteger o assinante e o tráfego de sinalização do ponto de acesso não 3GPP para o N3IWF.
armazenamento de credenciais baseado em hardware
Os padrões 5G especificam que as chaves de longo prazo e as chaves públicas da rede doméstica devem ser armazenadas em um contêiner de software em execução geralmente no cartão SIM.
Para redes 5G que usam EAP-AKA ou 5G-AKA, quase todas as chaves de confidencialidade e de integridade são derivadas da chave de longo prazo pré-compartilhada.
Chaves de longo prazo mantidas no dispositivo são grandes alvos e, se estavam comprometidas, o tráfego do plano de usuário e o tráfego do plano de sinalização podem ser interceptados.
A proteção da chave de longo prazo é importante para a cibersegurança no 5G. A segurança física dos dispositivos móveis pode proteger contra ataques de canal lateral.
No 5G, os módulos de identidade do assinante recebem um serviço de longo prazo cuja chave é armazenada dentro do módulo inviolável e dentro da rede central .
Segurança de API para função de exposição de rede (NEF)
Em gerações anteriores de redes 3GPP, não foi definido um mecanismo de segurança para uma exibição de rede padronizada.
O NEF atua como um gateway seguro para funções de aplicativos (AFs) monitorados (internos) e não monitorados (externos), para expor vários serviços, como análises, tráfego de usuários, localização, acessibilidade e informações relacionadas à mobilidade.
Ele autentica e autoriza serviços solicitados pelas AFs. Os padrões 5G protegem integridade, repetição e proteção de confidencialidade para comunicação entre o NEF e as AFs.
Monitoramento de Segurança de Tráfego de Assinantes
Embora as operadoras de rede móvel e as empresas tenham visibilidade de sua mobilidade de tráfego, os agentes mal-intencionados podem burlar o controle de decisão de uma operadora.
Isso cria vulnerabilidades para Centros de Operações de Rede e Segurança (NOCs e SOCs) incapazes de detectar o uso de recursos de rede por um ator mal-intencionado.
A transmissão do tráfego do plano de usuário e do plano de controle permite a visibilidade contextual do tráfego na rede , com o mapeamento de SUPIs e PEIs.
Depois que essas informações são coletadas de várias fontes, uma compreensão clara de quais tipos de dispositivos e usuários causam problemas e quais precipitam, esses problemas podem ser causados.
Isso resulta em uma análise de causa raiz mais rápida para incidentes de cibersegurança no 5G ligados à rede.
Aplicação de segurança do plano do usuário
O malware pode ser fornecido por vários controles, como downloads incorporados em conteúdo de e-mail ou SMS, downloads de sites maliciosos, aplicativos ou até mesmo de hardware malicioso.
O software malicioso instalado pode causar vários problemas na rede e o equipamento do usuário infectado pode ser usado para cessar e exfiltrar dados com sucesso, apenas para citar alguns exemplos.
Para interromper a entrega de malware da Internet, o tráfego de entrada deve ser inspecionado por um dispositivo de análise de malware e controle de arquivos.
Usar o método de detecção baseado em assinatura é uma maneira precisa de detectar um malware conhecido.
Para identificar rapidamente os desconhecidos, você pode usar uma abordagem multimétodo , emparelhando as análises estáticas e dinâmicas com o aprendizado da máquina para reduzir a latência e o tempo de processamento.
A melhor maneira de proteger dados, aplicativos, ativos e serviços é remover a confiança implícita por meio da arquitetura zero trust para redes 5G, o que requer a implementação de políticas de controle granular .
de agradecer o Guilherme Aquino , professor da Inatel , pela colaboração e curadoria deste conteúdo. Para saber mais sobre esta abordagem e melhorar sua estratégia de cibersegurança no 5G, recomendamos a leitura: Zero Trust: o modelo de segurança revolucionou a cibersegurança .