現(xiàn)在出門，滿滿的“5G仙氣”便迎面撲來：

三秒下大片、手機(jī)看4K、V/AR普及不是夢，地鐵站、商業(yè)樓、宣傳墻......5G手機(jī)的宣傳廣告亦是令人眼花繚亂。

工信部公布，目前全國已經(jīng)開通5G基站11.3萬個，預(yù)計到年底將達(dá)到13萬個，5G套餐簽約用戶已有87萬個，發(fā)展勢頭良好。

在亞信安全首席技術(shù)官薛輝看來，5G未來將至，一面是手機(jī)廠商和消費(fèi)者的狂歡Party；另一面，是5G技術(shù)對安全從業(yè)者提出的新式挑戰(zhàn)。

5G安全，撐起異構(gòu)世界的基石

規(guī)定時間、地點(diǎn)和人員，大家對第一名沒有異議。這，是有限的游戲；安全：沒有規(guī)定玩法、時間和對象。這，是場無限的游戲。

在5G安全的“游戲棋盤”里，關(guān)鍵在于“異構(gòu)”二字。

5G技術(shù)落地，為建立異構(gòu)化的世界夯實(shí)基礎(chǔ)。隨之出現(xiàn)的，是公有云、私有云和混合云的長期共存、SA（獨(dú)立組網(wǎng)；Standalone）和NSA（非獨(dú)立組網(wǎng)；Non－Standalone）的長期共存、邊緣云（如Telco1 MEC+Telco2 MEC）的長期共存以及運(yùn)營和解決方案（運(yùn)營商角度）的長期共存。

異構(gòu)的另外一個顯現(xiàn)，是包含PC、手機(jī)、Vehicle、Camera等更多端點(diǎn)設(shè)備的接入。安全需求的多樣化在所難免，而安全需求多樣化的真正挑戰(zhàn)在于異構(gòu)化下的安全尺度如何確保其統(tǒng)一性。

理論上講，安全就是指讓系統(tǒng)活著、讓系統(tǒng)不被篡改以及系統(tǒng)能夠保住秘密。但是在實(shí)戰(zhàn)中，安全人員往往更加重視的是設(shè)計合理和實(shí)現(xiàn)正確這兩點(diǎn)，而在5G場景下做到這兩點(diǎn)則極其不易。

為什么這樣說？我們來一次“實(shí)戰(zhàn)演練”看看：

第一點(diǎn)，設(shè)計合理。

假如黑客將系統(tǒng)攻破了，原本系統(tǒng)被設(shè)計成做A工作的，結(jié)果黑客突然通過越權(quán)能夠控制系統(tǒng)，并且它讓去做D工作了。此時，系統(tǒng)對于原本的設(shè)計承諾就無法保持了，而這往往就是一次攻擊的開端。

第二點(diǎn)，實(shí)現(xiàn)正確。

以反欺詐為例，攻擊者往往是按照系統(tǒng)規(guī)矩開始這場“游戲”的。他們不會使用非常規(guī)手段來攻破系統(tǒng)，而是通過撞庫來進(jìn)行批量嘗試。這個行為對于系統(tǒng)來說，是沒有異常的，而隨著嘗試次數(shù)的增多，概率事件讓其最終不攻自破。

這里的問題，涉及到系統(tǒng)功能的濫用，即該系統(tǒng)的設(shè)計仍存在缺陷。

回到5G，上述兩種情況被逐一放大。首先， 這種異構(gòu)體系下出現(xiàn)的切片情況，意味著上述情況會在許多層上重復(fù)上演，那么要讓這里的安全屬性得以保持，其每一層的實(shí)現(xiàn)方式都可能不同（意味著復(fù)雜性的提升）。

其次，系統(tǒng)之間的共存關(guān)系導(dǎo)致其設(shè)計合理性成為影響整個鏈路是否安全的重要一環(huán)。

針對5G時代的到來，異構(gòu)化下的安全尺度卻必須統(tǒng)一化。針對上述問題，薛輝總結(jié)出以下三點(diǎn)建議：

1、安全抽象必須與各異構(gòu)部分保持一致

2、安全防濫用必須在異構(gòu)部分全鏈路實(shí)施

3、安全是準(zhǔn)入尺度

5G基礎(chǔ)建設(shè)進(jìn)程中，安全不應(yīng)該作為‘幕后英雄’存在。

將安全作為尺度，是指將安全化為運(yùn)營商、手機(jī)廠商等5G服務(wù)提供者的考慮范疇。簡單來說，就是以前我們只考慮網(wǎng)速、成本和體驗(yàn)，安全是后盾；現(xiàn)在安全不光要在其之中，更要在其之首。

災(zāi)難降臨時，我們會慌嗎？

黑天鵝總是有，正如墨菲定律所說：如果有兩種或兩種以上的方式去做某件事情，而其中一種選擇方式將導(dǎo)致災(zāi)難，則必定有人會做出這種選擇。

5G安全也不是絕對的，隨著新型技術(shù)的應(yīng)用，新的攻擊手法和策略也層出不窮。因此，即使我們準(zhǔn)備了“萬全之策”，也必定會在某天突然發(fā)覺大事不妙。

在能預(yù)想到的5G安全隱患中，首當(dāng)其沖的要數(shù)軟件功能的硬件化帶來的問題。

現(xiàn)今時代，這樣一種思想十分流行：如果你覺得這個功能極其重要，那就要為它設(shè)計硬件。但是，這也為安全保障帶來了極大挑戰(zhàn)。

2018年，加州大學(xué)河濱分校（University of California, Riverside）發(fā)布論文，公開了三種存在于NVIDIA GPU上的側(cè)信道攻擊漏洞，其可用于獲取顯卡用戶的網(wǎng)絡(luò)活動、破壞密碼甚至是挖掘Tensor核心的架構(gòu)秘密。

在此之前，熔斷、幽靈兩大安全漏洞更是攪得處理器行業(yè)滿城風(fēng)雨。

那么，5G技術(shù)會遇到與之類似的問題嗎？答案是肯定的。

薛輝稱，其實(shí)網(wǎng)卡上自帶破解路由器網(wǎng)絡(luò)密碼的類似攻擊早就有了。那么放在5G，控制云（也稱轉(zhuǎn)發(fā)云）是起到數(shù)據(jù)連接的重要作用，顯然將其硬件化會獲得更多收益，同時也會面臨與上述類似的情況。

其次，開源軟件供應(yīng)鏈安全的問題也有可能造成重大的安全事故。

以XcodeGhost污染編譯工具鏈為例，由于國內(nèi)開發(fā)者下載XBOX很慢，有的人就會選擇一些第三方網(wǎng)站。如果編譯器中被編入了XcodeGhost病毒，那么開發(fā)人員寫的4000個iOS代碼中幾乎都會存在這種病毒。

5G技術(shù)下，各鏈路的安全保障同樣存在類似問題。試想，如果開源軟件的控制器被植入了高危漏洞，而作為開發(fā)者的你，原本盡心盡責(zé)的對現(xiàn)有版本進(jìn)行了審計?，F(xiàn)在，新漏洞的修復(fù)難度與之前的審計等級差了100個等級，怎么辦？（理想情況下，一個小時之內(nèi)必須完成審計）

然后，邊緣云（MEC）將成為大量相同設(shè)備的入手點(diǎn)。

其實(shí)邊緣云的物理保護(hù)起到的是“門”的作用，一旦邊緣云被插一塊板卡，基本是無法保證其安全性的，何況還存在直接燒毀的可能性。

4G時代，其本質(zhì)一點(diǎn)是全球開發(fā)者都會為兩款低成本的操作系統(tǒng)（安卓和iOS，它們被多少攻擊者所青睞，想必不必多說）編寫程序，它可以滿足任何人的需求，不需要門檻。

顯然，邊緣云不會是中心云切開然后一把線撒出去那么簡單，而是其組織、運(yùn)營和計算方式都需要進(jìn)行遷移，這也讓所謂“由于服務(wù)器安好，因此安全漏洞只影響少數(shù)設(shè)備”的說法不復(fù)存在。

因此，邊緣云很有可能成為攻擊者眼中的香餑餑，就像雙系統(tǒng)之于4G時代一樣。

接著，是攻防雙方對白盒化系統(tǒng)了解更加趨于對等。

之前的安全理念，很多廠商認(rèn)為我只要對外保密，讓你不了解我就更安全?，F(xiàn)在，所有廠商幾乎都是這么做的，但實(shí)際情況是受到的攻擊并不在少數(shù)。

其原因在于，攻擊者已經(jīng)從“搗蛋鬼”變成了“反叛軍”。更多攻擊行為以組織形式出現(xiàn)，針對某個電信設(shè)備，進(jìn)行API接口、從網(wǎng)絡(luò)服務(wù)、應(yīng)用、MANO、SDN控制器等進(jìn)行深入研究，尋找突破口。

這意味著，攻擊方有著足夠的人力、物理來和廠商打一場拉鋸戰(zhàn)，保密則安全的說法也就立不住腳了。

最后，是基于端邊云的安全挑戰(zhàn)。

5G技術(shù)的應(yīng)用，離不開手機(jī)、IOT、人工智能等技術(shù)的加成，基于這些設(shè)備引起的勒索事件、DDOS，零日攻擊層出不窮。另一邊，5G應(yīng)用系統(tǒng)和商業(yè)服務(wù)也面臨著IP端口掃描TCP Syn攻擊偷貫逃貫、DDOS拒絕服務(wù)、APT高級威脅、IP詐騙、DNS詐騙等一系列攻擊風(fēng)險。

最終，這些端會通過LTE、Wifi和5G被傳輸?shù)?G IP核心網(wǎng)，并且讓5G網(wǎng)絡(luò)失去低延遲、安全性的特點(diǎn)，變成一條“黑鏈”。

So，這是一個關(guān)于“病毒”傳播的故事。就好像一只雞得了禽流感，傳給了別的雞，后者又被養(yǎng)雞場買走，最終感染了整個雞場。

面對以上5G“噩夢”，安全該何去何從？

薛輝認(rèn)為，之前，安全設(shè)備放在總?cè)肟偝龅逆溌范丝趥?cè)；現(xiàn)在，在大量難以配置的防火墻規(guī)則面前，編排能力的大幅提高是突破防護(hù)瓶頸的重點(diǎn)所在。

5G端到端的安全框架，以終端安全、接入網(wǎng)絡(luò)安全、核心網(wǎng)安全、服務(wù)/應(yīng)用安全為核心，其一共劃分出23種防護(hù)分區(qū)，安全編排能力的提升將體現(xiàn)在從點(diǎn)及面、從端到端向節(jié)點(diǎn)到節(jié)點(diǎn)的變化過程，其部署時刻影響著通用安全的能力。

新技術(shù)的發(fā)展，亦是為安全保駕護(hù)航。不光5G，量子加密、人工智能、VR/AR等技術(shù)的發(fā)展，都將為安全技術(shù)提供新的解決方案。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。