■ 陜西 崔志軍

編者按：隨著移動(dòng)互聯(lián)時(shí)代的到來，不僅用戶移動(dòng)設(shè)備面臨安全風(fēng)險(xiǎn)，為設(shè)備提供網(wǎng)絡(luò)支持的電信運(yùn)營(yíng)商也面臨嚴(yán)峻的安全挑戰(zhàn)。

電信運(yùn)營(yíng)商和服務(wù)提供商構(gòu)成了現(xiàn)代社會(huì)中通信和商務(wù)的骨干。他們的網(wǎng)絡(luò)和基站將互聯(lián)網(wǎng)及依賴互聯(lián)網(wǎng)的一切信息傳遞給全世界的個(gè)人、企業(yè)和各種移動(dòng)設(shè)備，這種結(jié)構(gòu)和技術(shù)的復(fù)雜性帶來了巨大的安全挑戰(zhàn)。

大型電信運(yùn)營(yíng)商提供后端數(shù)據(jù)中心、回程網(wǎng)絡(luò)和基站，始終為用戶的設(shè)備及其上的一系列應(yīng)用提供連接。他們還提供許多營(yíng)業(yè)廳，為廣大個(gè)人及企業(yè)用戶服務(wù)。

對(duì)于從電網(wǎng)到各種應(yīng)用的爆炸式增長(zhǎng)，這個(gè)遍布全球的行業(yè)為數(shù)十億個(gè)端點(diǎn)提供了連接。一個(gè)普通的智能手機(jī)上可能有幾十個(gè)應(yīng)用。應(yīng)用和設(shè)備中的后門及漏洞可能會(huì)帶來更多挑戰(zhàn)。

服務(wù)提供商還部署了許多應(yīng)用程序——不僅支持電話、互聯(lián)網(wǎng)和帳戶服務(wù)，而且還支持許多其他面向客戶的功能，而且后端可能有數(shù)百個(gè)應(yīng)用支持這些服務(wù)的交付。

這些組件中的每一個(gè)都可能成為攻擊者潛在的攻擊點(diǎn)。由于該行業(yè)幾乎涉及到每個(gè)人和每個(gè)組織，因此發(fā)生這些攻擊的動(dòng)機(jī)可能來自任何地方。某些攻擊者的意圖可能是服務(wù)中斷，但其更多地會(huì)試圖滲透到管理帳戶中，并以此為跳板，更深入地滲透到最終目標(biāo)網(wǎng)絡(luò)中——最終客戶——無論是個(gè)人還是大型企業(yè)。

近期德國(guó)的研究人員發(fā)現(xiàn)了現(xiàn)代LTE/4G設(shè)備中的漏洞，攻擊者可以利用該漏洞模擬設(shè)備的所有者，訪問帳戶并下載任何未加密的信息。由于實(shí)施攻擊的話，要求攻擊者靠近目標(biāo)，基于這一限制條件，因此大多數(shù)人不太可能受到該漏洞的影響。

但是，如果是出于間諜、網(wǎng)絡(luò)戰(zhàn)或經(jīng)濟(jì)利益的目的，能夠非法獲取具有敏感信息的高價(jià)值信息的話，那么攻擊者就可能會(huì)嘗試這一手段，通過使用受破壞的設(shè)備進(jìn)入具有高價(jià)值信息的更大目標(biāo)網(wǎng)絡(luò)。

通過移動(dòng)設(shè)備進(jìn)行入侵的事件正在上升，但與其他類型的攻擊相比，這種攻擊仍然不那么普遍。來自F5 Labs的數(shù)據(jù)表明，在過去幾年中，無論是客戶還是電信運(yùn)營(yíng)商成為目標(biāo)時(shí)，DDoS和暴力攻擊都是電信行業(yè)最常見的攻擊方式。針對(duì)電信運(yùn)營(yíng)商的DDoS攻擊通常集中在服務(wù)、應(yīng)用或IT基礎(chǔ)架構(gòu)上，通過耗盡帶寬的方式達(dá)到破壞網(wǎng)絡(luò)的目的。

訪問和身份驗(yàn)證也是攻擊者通過電信網(wǎng)絡(luò)攻擊更下游客戶的常見方式，暴力攻擊（Brute Force Attacks）是最常用于破壞客戶或試圖獲取管理憑據(jù)的攻擊，包括使用被盜的憑證進(jìn)行憑證填充（Credential Stuffing）即撞庫(kù)，嘗試使用常見的弱密碼，或者以自動(dòng)化方式進(jìn)行大規(guī)模猜解等。

即便在以上任何一種情況下，電信運(yùn)營(yíng)商可能都難以發(fā)現(xiàn)和應(yīng)對(duì)攻擊，以致于客戶服務(wù)中斷帳戶被控制。

那么，電信行業(yè)應(yīng)該如何捍衛(wèi)這一龐大領(lǐng)域的網(wǎng)絡(luò)安全？由于許多攻擊被掩蓋在流量激增或業(yè)務(wù)中斷的表象之下，因此電信運(yùn)營(yíng)商必須具備根據(jù)預(yù)期條件分析異常流量的能力，然后在其網(wǎng)絡(luò)服務(wù)日志中識(shí)別相應(yīng)的垃圾請(qǐng)求。

在攻擊深入目標(biāo)網(wǎng)絡(luò)之前，能夠檢測(cè)到登錄嘗試的次數(shù)激增，或網(wǎng)絡(luò)查詢錯(cuò)誤的情況，或其他可疑流量的能力，是緩解攻擊的最佳方法。

為了保護(hù)從后端到世界各地基站，再到用戶設(shè)備的流量的安全，電信運(yùn)營(yíng)商還需要擁有高級(jí)防火墻的保護(hù)，這些防火墻能夠檢測(cè)更多LTE網(wǎng)絡(luò)和該基礎(chǔ)架構(gòu)中的協(xié)議，包括諸如Diameter和SIP之類的信令協(xié)議。保護(hù)在該網(wǎng)絡(luò)路徑上的應(yīng)用程序也很關(guān)鍵，因此也需要具備應(yīng)用運(yùn)行狀況監(jiān)測(cè)、WAF、Web訪問控制及TCP優(yōu)化的相關(guān)解決方案。

針對(duì)電信行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù)已經(jīng)成為非常重要的工作，隨著LTE網(wǎng)絡(luò)的深入發(fā)展和即將到來的5G網(wǎng)絡(luò)的普及，新的通信技術(shù)將更多的應(yīng)用、數(shù)據(jù)和智能轉(zhuǎn)移至與用戶進(jìn)行交互的網(wǎng)絡(luò)邊緣，電信運(yùn)營(yíng)商的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)只會(huì)越來越大。并且隨著軟件定義方式的不斷拓展，也使得基于硬件設(shè)備的網(wǎng)絡(luò)正在變成軟件定義網(wǎng)絡(luò)，很多應(yīng)用都需要由服務(wù)提供商來支撐。

在新技術(shù)的發(fā)展帶來的不確定性越來越大的時(shí)代，有一點(diǎn)是確定的——隨之而來的安全風(fēng)險(xiǎn)將會(huì)越來越大，面臨的威脅將會(huì)越來越多。

隨著電信網(wǎng)絡(luò)變得越來越普遍，基礎(chǔ)設(shè)施變得越來越重要，價(jià)值越來越高，被網(wǎng)絡(luò)犯罪分子惡意利用的機(jī)會(huì)也將越來越大。幸運(yùn)的是，針對(duì)性的安全防御也在不斷發(fā)展，并為這一關(guān)鍵行業(yè)提供強(qiáng)有力的支持。