Datensicherheit in 5G-Netzen
6. Juni 2019Der kommerzielle 5G-Netzausbau wird die Bereitstellung zahlreicher Dienste seitens der Communication Service Provider (CSPs) beschleunigen. Daher ist es notwendig, Sicherheitsstrategien zu entwickeln, die ein sicheres Betriebsumfeld während der Einführung von 5G gewährleisten. Palo Alto Networks und Heavy Reading haben sich zusammengetan, um die aktuellen Prioritäten und Präferenzen der CSPs in Bezug auf die Implementierung von 5G-Sicherheit zu verstehen. Heavy Reading befragte 103 CSP (Communication Service Provider) aus einem Querschnitt globaler Carrier.
In seinem aktuellen Info Insights Brief „7 Service Provider Insights on Securing 5G Networks During Commercial Deployment” hat Palo Alto Networks die sieben wichtigsten Erkenntnisse dieser Studie zusammengefasst. Die Erweiterung der Bedrohungslandschaft auf 5G wird das Leistungsversprechen von Managed Security Services erhöhen. Das rasante Tempo und die zunehmende Komplexität der mobilen Bedrohungsvektoren haben das Leistungsversprechen des Marktes für Managed Security Services gestärkt. Die Ausweitung der Angriffsfläche auf 5G wird zusätzlich dazu beitragen. Die funktionale Trennung von 5G New Radio (NR) – mit neuen Backhaul- und Fronthaul-Schnittstellen – und der vollständig verteilten, Slice-fähigen und entkoppelten internetbasierte Signalisierungssteuerungsebene von 5G Next Generation Core (NGC) sind die Treiber dieser Entwicklung.
Die Sicherung von RAN und Core ist für CSPs während des kommerziellen 5G-Betriebs kritisch. Vor dem Beginn der kommerziellen Implementierungen lag die oberste Priorität auf der Sicherung von Narrowband-IoT (NB-IoT). Das Thema Edge Cloud Security folgte. Andere Bereiche von Interesse waren die Sicherheit pro Slice und die Signalsicherheit in Roaming-Netzwerken. Trotz Testpräferenzen ist die Sicherung des Cloud Radio Access Network (RAN) und des Kernnetzes für CSPs während der 5G-Markteinführung derzeit von größter Bedeutung. Durch die Priorisierung von RAN und Core wollen die CSPs die unmittelbaren Sicherheitsherausforderungen von 5G NR und des Cloud-nativen 5G NGC angehen.
Sicherheit von Managed Services
RAN und Core werden die Einnahmen aus der Sicherheit von Managed Services steigern und Zukunftsinvestitionen anziehen. Der Fokus auf die Stärkung der Sicherheitsmaßnahmen sowohl für das RAN als auch Core liegt in der Überzeugung, dass diese Anwendungsfälle in Zukunft zu erheblichen Sicherheitseinnahmen führen werden. Die Teilnehmer der Umfrage gehen davon aus, dass die RAN-Sicherheit in den nächsten drei bis fünf Jahren ein jährliches Wachstum von mehr als 20 Prozent erreichen wird.
Die Core-Sicherheitsdienste und die Core-Netzwerkkonfigurationsdienste werden Wachstumsraten von 22 Prozent bzw. 21 Prozent erreichen. Mit Blick auf die nächsten drei bis fünf Jahre nach der kommerziellen Einführung werden RAN und Core voraussichtlich weiterhin die höchsten Investitionen in sicherheitsrelevante Managed Services mit 5 bis 10 Prozent der 5G-Investitionen anziehen. Ein Grund für diesen Optimismus ist die Differenzierung von 5G-Sicherheitsdienstleistungen durch Skalierung und nicht durch den Preis.
Security-as-a-Service (SECaaS) ist von zentraler Bedeutung für die Erweiterung des Portfolios an Managed Security Services. Das SECaaS-Modell ermöglicht die Bereitstellung von Managed Security Services aus der Cloud. Eine Reihe von Schlüsselangeboten sind von zentraler Bedeutung für die Erweiterung des 5G-SECaaS-Portfolios der CSPs. Am wichtigsten für die CSPs sind hierbei die folgenden Aspekte:
- Aufrechterhaltung einer tiefgehenden, anwendungsbezogenen Sichtbarkeit und granularen Kontrolle über IoT-Dienste,
- Verwendung von International Mobile Subscriber Identity (IMSI)-Nummern, um gefährdete Mobilfunkteilnehmer für die Korrelation von Bedrohungen zu identifizieren,
- Sicherung von Anwendungen und Diensten auf der mobilen Seite,
- Minimierung bekannter und unbekannter Bedrohungen durch Cloud-basierte, automatisierte Sicherheit sowie
- Verwendung von International Mobile Equipment Identity (IMEI)-Nummern zur Isolierung und Quarantäne von infizierten Geräten.
Bedrohungskorrelation „as-a-Service“ ist für 5G/IoT von entscheidender Bedeutung. 5G wird ein exponentielles Wachstum der Anzahl der Geräte-zu-Teilnehmer-Verbindungen mit sich bringen, wobei eine massive Anzahl von IoT-Geräten für den Anschluss an das Mobilfunknetz vorgesehen ist. Fortgeschrittene Ansätze zur Korrelation von Bedrohungen, wie die Möglichkeit, IMSI- und IMEI- mit GTP-Inspektionsdaten (GPRS Tunneling Protocol) zu korrelieren, werden bei der Bedrohungsreaktion dabei helfen, bestimmte Benutzer und Geräte zu identifizieren, die infiziert oder gefährdet sind, um schnelle Maßnahmen zur Quarantäne und Lösung sicherheitsrelevanter Probleme zu ergreifen.
Schutz der 5G-Steuerungsebene
Die Signalsicherheit ist entscheidend für den Schutz der 5G-Steuerungsebene. Obwohl die 2G/3G- und 4G-Signalisierungssteuerungsebenen aktueller Netzwerke größtenteils stabil sind, sind die meisten CSPs weniger zuversichtlich, dass dieses Sicherheitsniveau auf der 5G-Steuerungsebene verdoppelt werden kann. Es wird erwartet, dass 5G-Steuerungsebenen komplexer zu sichern und anfälliger für Cyberangriffe und -betrug sind. Es wird noch einige Jahre dauern, bis die Dienstanbieter ihre bestehenden Netzwerke vollständig in 5G-fähige Netzwerke umgewandelt haben. Daher müssen sie ihre Strategie für den Einsatz von Firewalls im Hybrid-Bereich von 3G- und 4G-Protokollen in der Steuerungsebene angehen, während sie die besonderen Sicherheitsanforderungen von 5G isoliert handhaben.
Full-Content-Inspection-Fähigkeit ist für die Angriffsabwehr unerlässlich. Die Fähigkeit, Anwendungs-Traffic-Inhalte, die das Netzwerk durchqueren, zu inspizieren und zu kontrollieren, wird entscheidend für die Sicherung von 5G-Netzwerken sein. Full Content Inspection erweitert die Sichtbarkeit von RAN und Core. Diese ist erforderlich, um sich vor unbefugten Daten- und Dateiübertragungen zu schützen, eine breite Palette von Exploits, Malware und bösartigen URLs zu erkennen und zu blockieren sowie bekannte und unbekannte Bedrohungen zu entschärfen.
CSPs kommen derzeit an einem Entscheidungspunkt an, was die Prioritäten und Architekturpräferenzen bei der Implementierung der 5G-Sicherheit betrifft. Bei den ersten Rollouts von 5G sind gewaltige Herausforderungen in Sachen Sicherheit zu erwarten. Die wichtigsten Ergebnisse dieser Studie deuten nach Meinung von Palo Alto Networks darauf hin, dass die CSPs klare Erkenntnisse über strategische Sicherheitsansätze haben, die den Erfolg am ehesten versprechen. (rhh)