Laat software geen gevaarlijk gat kauwen in netwerken van de volgende generatie en het IoT

Eenmaal geïmplementeerd, was het beheer van mobiele netwerken relatief eenvoudig. Spraak en tekst hadden een zekere voorspelbaarheid. Afgezien van speciale gebeurtenissen, zou het gebruik van deze twee diensten plaatsvinden binnen een reeks parameters die het toekomstgerichte netwerkops-team met voldoende nauwkeurigheid zou kunnen inschatten om problemen te voorkomen.

Betreed de dappere nieuwe wereld van mobiel internet, en daarmee een hele nieuwe reeks variabelen. Operators ontdekten (soms tegen hun kosten) dat gebruikers een manier zouden vinden om hen te verrassen, of het nu ging om data-zware applicaties, tethering of een aantal onverwachte internetverbinding. De reflexmatige reactie was het afknijpen van bepaalde services, extra kosten om het mobiele internet op bepaalde manieren te gebruiken of soms regelrechte blokkering, zegt Dmitry Kurbatov, hoofd telecommunicatiebeveiliging bij Positive Technologies .

De opkomst van de datadorstige wereld van het IoT verplaatst dit probleem naar een geheel nieuwe wereld. Niet alleen zullen er dezelfde onverwachte verrassingen zijn, maar de belofte van 5G is zwaar verkocht als een universele connector. Eens levenloze objecten verbruiken nu bandbreedte, vaak inefficiënt.

Gelukkig werkt digitaal darwinisme in twee richtingen. Into the space is de glanzende nieuwe wereld van NFV en SDN geëvolueerd. Snel capaciteit nodig of een nieuwe dienst aanbieden? Simpel, klik hierop, sleep het daarheen en het probleem is opgelost, toch?

Niet precies. Hoewel de ontwikkeling van dergelijke software de zaken ongetwijfeld gemakkelijker maakt voor operators, doet het ook waar degenen in de cyberbeveiligingsindustrie het meest bang voor zijn:het centraliseren van de controle over iets heel belangrijks en het verbinden met internet. Dit is een praktijk die een hacker een schot in de roos maakt, een troef die, met voldoende tijd en middelen door een creatief en goed uitgerust team, zou kunnen worden uitgebuit. Dit is iets dat bedrijven met grote klanten- of financiële databases de afgelopen jaren tot hun eigen risico hebben geleerd. Door de juwelen van de koning in een enkele kist te stoppen, wordt het een doelwit.

Het begrijpen van deze mentaliteit is de eerste cruciale stap bij het beveiligen van elk netwerk. Ten tweede, en net zo belangrijk, is er daadwerkelijk iets aan te doen. Dit klinkt voor de hand liggend, maar netwerkbeveiligings- en operatieteams worden gebombardeerd met een miljoen en één taken terwijl ze zich voorbereiden op de overgang naar hun nieuw gevirtualiseerde netwerk, elk met een prioriteit en het opzuigen van beperkte middelen terwijl deadlines met angstaanjagende snelheid voorbij razen.

Het krijgen van een externe kijk op veiligheid is hierbij essentieel. Degenen die betrokken zijn geweest bij hun planning en inzet zijn van nature bevooroordeeld. Dit is geen kritiek, elk team dat midden in een complexe technologische implementatie zit, zal door de bomen het bos niet meer kunnen zien. Iemand buiten dit de opdracht geven om dingen te breken, kan waardevol zijn om te leren. Zoals eerder vermeld, is kennis van de hacker-mindset een waardevol verdedigingsmiddel - dus het kan een eye-opener zijn om een ​​team in dienst te nemen met de specifieke opdracht om problemen op te sporen.

Dit team moet de vrijheid krijgen om alles te controleren, van de code die wordt gebruikt in kritieke gebieden van uw implementatie tot het beoordelen van de zichtbaarheid van uw netwerk van 'buiten'. Veel operators gaan ervan uit dat ze geen zicht hebben op het bredere internet, maar dit is niet altijd het geval in onze ervaring. Soms is slechts één zichtbaar toegangspunt of een verkeerd geconfigureerde verbinding voldoende om een ​​aanvalsprofiel te maken. Zie het als een kier in je pantser.

Dit geldt voor alle netwerkinterconnecties. De onderliggende mobiele infrastructuur, gebaseerd op ofwel verouderde SS7-protocollen of zijn nieuwere voorganger Diametre, wordt steeds vaker gebrekkig bevonden. De technische kwetsbaarheden in de onderliggende infrastructuur geven aanvallers een open deur om doorheen te lopen. Eenmaal binnen is het voor een aanvaller niet een groot aantal zijwaartse stappen om toegang te krijgen tot cruciale centrale controlepunten.

De vermeende moeilijkheid voor een aanvaller om fysiek toegang te krijgen tot deze punten is eerder gebruikt om het spookbeeld van dit specifieke risico te verspreiden. Toegang krijgen tot een gateway wordt echter steeds gemakkelijker via de zwarte markt, of het kan zelfs rechtstreeks worden bereikt via gehackte carrier-apparatuur of femtocellen.

Omdat ik er niet één ben van angst, onzekerheid en twijfel, zal ik mij onthouden van het schetsen van de doemscenario's die dergelijke zwakheden kunnen veroorzaken in een wereld waar alles met elkaar verbonden is. Ik zal niet eens doen alsof ik de veelvouden kan raden. Het volstaat te zeggen dat je gewoon rond moet lopen Mobile World Congress om de overvloed aan zeer belangrijke apparaten te zien die uiteindelijk in een of andere vorm afhankelijk zullen zijn van mobiele connectiviteit. Stel je nu eens voor dat iemand kwaadwillig kritieke gebieden overbelast, of capaciteit naar elders omleidt, en de impact spreekt voor zich.

Software en virtualisatie zijn in het algemeen een goede zaak voor de mobiele industrie. Het helpt operators om efficiënter te werken en innovatie te omarmen, terwijl de OPEX wordt verminderd. Ik zou er echter op aandringen dat mobiele netwerken niet halsoverkop deze utopische wereld binnenstormen zonder rekening te houden met de veiligheidsimplicaties. Het nemen van een paar relatief eenvoudige stappen voorafgaand aan de implementatie en het onderhouden van voortdurende monitoring, kan het verschil zijn tussen iets speciaals bouwen en gewoon een ander risicopunt creëren.

De auteur van deze blog is Dmitry Kurbatov, hoofd telecommunicatiebeveiliging bij Positive Technologies