物聯網安全運營商面臨的真正考驗還沒有到來

王英哲

對于全世界來說，2020年都是非比尋常的一年，當時間進入年中的時候，大多數通信服務提供商（CSP）可能松了一口氣，以相對毫發無損地抵御了新型冠狀病毒大流行。即使在巨大的壓力下，例如在歐洲疫情高峰期間，歐洲運營商的流量需求激增了70 %時，CSP仍然能夠維持網絡連接。

根據世界銀行集團下屬國際金融集團的一項成員調查，該集團上半年的運營表現正常，服務水平超過99.95 %。但是，對于CSP而言，第二波更加險惡的風險浪潮即將來臨。

為了響應居家隔離以降低傳播感染風險的命令，企業和消費者迅速采用了IoT設備來支持遠程工作、學習和護理。

在醫療保健中，物聯網設備正用于遠程患者監測、遠程醫療和支持數字診斷。例如美國，智能溫度計的使用量激增，這可以幫助流行病學家預測疫情可能很快發生的地方。在零售業中，自主機器人被視為一種解決方案，用于保持地板清潔并在雜貨店、大型零售商、購物中心和機場中交付商品，這表明過去的6個月中某些行業的數字化轉型比其他行業快了許多。

隨著物聯網采用率的提高，現在是服務提供商認真評估物聯網設備安全隱患的時候了。

實際上，網絡安全風險已經很大。Mobileum對90家全球通信服務提供商進行的民意調查發現，自COVID-19爆發以來，有61 %的人表示網絡安全威脅有所增加，另有75 %的人經歷了新的欺詐事件。

設備更多，但安全性更低

根據Gartner的數據，到2023年全球IoT連接設備數量預計將增加到430億，比2018年增長近3倍。5年來，隨著數十億IoT設備的廣泛應用，CSP網絡的攻擊面呈指數增長。

但是，就物聯網而言，數百萬個此類設備將使用有限或過時的安全固件連接到網絡。例如，自從Zigbee低功耗IoT協議首次發現安全漏洞以來已經3年時間，該協議已在許多智能燈和其他IoT產品中使用，至今仍未完全糾正。這表明連接到CSP網絡的不安全IoT設備無處不在，并且只需輕按一下電燈開關，就具有發動DDoS攻擊的火力。

隨著物聯網設備變得更具移動性和自治性，它們還需要在網絡之間漫游并由網絡切片提供動力，每個切片都有自己的安全要求。物聯網設備的這一新風險狀況表明，舊的網絡安全方法已不能滿足需求。

多網絡，多個安全漏洞

物聯網安全不僅涉及管理各種硬件、固件和操作系統，還可能需要管理2G、3G、4G / LTE和5G通信協議。當今的多代網絡基于不同的信令協議，這些協議會帶來不同的安全風險。例如，2G和3G網絡運行在SS7協議上，而4G則依賴于Diameter，這2個都缺乏內置的安全功能，例如加密和發送方身份驗證，并且容易被欺騙。

5G網絡已經在4G安全機制的基礎上采取了積極的措施，增強了加密、相互認證、完整性預測和隱私性。但是，5G的內置網絡安全功能無法使時間倒流，也不會堵塞其他網絡中的現有漏洞。由于5G的覆蓋范圍仍然分散，并且在可預見的將來，流量將繼續在2G、3G和4G / LTE網絡之間穿越，因此，這特別需要關注。雖然5G被證明可能更安全，但是當流量穿越不同的網絡時，無法給予相同的信任。

物聯網設備安全變得更加復雜

5G網絡切片的引入將支持更多的新用例和創收機會。但是，網絡切片的興起也暴露了更多需要保護的入口點，黑客可以利用其擴大攻擊面，包括：用戶設備、無線電訪問和核心網絡、移動邊緣、Internet、漫游和空中接口。所有這些都必須受到保護。

將這些API添加到切片中意味著將有更多類型的企業進行通信，他們都具有不同的安全性要求。在管理誰可以發送所需內容方面具有更大的靈活性，這意味著需要在各個級別上解決安全注意事項。例如，即使4G和5G應用都支持視頻服務，但對于像遠程手術這樣的關鍵型視頻應用，安全性要求卻大不相同，這與簡單視頻會議所需的安全性相反。

為了保護物聯網設備的發展，CSP必須了解該設備是什么，其通信環境至關重要。這樣可以了解設備是否正在更改其行為，或者eSIM / SIM卡是否已更改。例如，行為的改變（例如流量的突然激增）可能表明該設備已被僵尸網絡接管。通過檢測行為的變化，可以識別惡意設備的簽名，用它來查找更多具有相同指紋的設備，并盡可能將其阻止。

此外，通過分析設備正在使用移動連接信息發送數據，能夠識別出流氓設備是一個單獨的參與者還是更廣泛協同攻擊的一部分。令人困惑的是，COVID-19已從根本上轉變為所謂的“正常”行為和流量。運營商現在看到數據和語音的數量都顯著增加，家庭使用模式逐漸轉變為白天而不是晚上，且由于遠程工作而導致業務流量減少。

根據GSMA報告，通話時間等典型用法也在發生變化。傳統的基于規則的欺詐和檢測工具將無法理解這種轉變，這可能導致錯誤報警激增甚至更糟，從而使欺詐和安全威脅不減。這突顯了需要使用AI和機器學習輔助的欺詐和安全威脅檢測工具來識別新模式，以便網絡安全團隊能夠進行有效保護。

此外，CSP需要對IoT設備和訂戶如何受到網絡保護以及何時漫游具有相同的了解。如果有人在你的網絡上駕駛他們的自動駕駛汽車，則要確保它不會受到攻擊。同樣，當訂戶的設備正在另一網絡上漫游時，也需要確保他們受到保護。

Juniper Research預測，到2022年，物聯網漫游收入將增長20 % ～30 %。因此，需要使用多協議信令防火墻來確保在3G、4G和5G網絡之間穿越的流量具有適當的安全保護，并將漫游設備引導到首選的合作伙伴網絡。

由Mobileum贊助的最新研究發現，消費者和企業都希望CSP在保護其數據和設備方面發揮領導作用，并且希望CSP正在向他們采取的詳細步驟。實際上，訂戶將以此來體驗其客戶忠誠度。該研究還發現，有58 %的企業和52 %的消費者表示，如果發生安全漏洞，他們將拋棄當前的運營商。

物聯網網絡的安全性很復雜，但并非不可能。多信號防火墻以及AI和機器學習功能的發展意味著，在涉及物聯網設備安全性方面，網絡安全團隊不再準備不足。相反，他們擁有檢測當前和新出現威脅的能力與保護的工具，以確保IoT的消息是經過驗證發送給該用戶。