物联网加剧了 5G 骨干网安全问题

互联性和便利性是许多人现在认为对日常生活至关重要的两件事。尽管世界上很多人都期待物联网 (IoT) 的便利性，但他们通常很少考虑物联网底层传输网络的安全性。但今年有138 亿活跃的物联网设备连接，并且在不久的将来有望成倍增长，物联网网络安全至关重要

预计到 2025 年，物联网设备将超过 250 亿台，公司将谨慎地将最小特权原则应用于其 IT 人员。（来源：freepik）

根据代表全球移动网络运营商的组织 GSM 协会 (GSMA) 的说法，物联网设备制造商仍然未能充分考虑安全性进行设计和构建。

更糟糕的是，GSMA 建议大多数设备制造商对如何保护他们的设备没有足够的了解。不安全的设备使黑客可以轻松访问电信网络，从而为网络攻击带来重大风险。随着物联网随着网络的扩展而转向使用 5G，不安全的设备威胁着 5G 网络的安全。

物联网边缘缺乏安全性给通信服务提供商 (CSP)带来了巨大的安全负担，包括电信网络提供商、有线电视服务和云通信提供商。随着越来越多的传统电信公司以外的参与者通过 5G 网络参与物联网并与物联网设备互动，攻击面正在显着扩大。因此，CSP 必须采取额外措施来确保其系统的安全性。

CSP 不断演变的安全问题

GSMA 在其对安全形势的年度审查中确定了移动通信行业的八个主要威胁和漏洞领域：

设备和物联网

云安全

保护 5G

信令和互连

供应链

软件和虚拟化

网络和运营安全

安全技能短缺

设备和物联网安全一直是 GSMA 关注的问题，尤其是在联网设备的数量继续远远超过世界人口的情况下，预计到 2025 年将有250 亿台联网的物联网设备。设备技术堆栈的复杂性随之增加。

GSMA 将企业网络和电信网络之间的连接视为一个重要的潜在攻击媒介，尤其是在公司利用 5G 部署的情况下。多年来，行业专业人士和学者一直在调查 5G 的安全风险，美国政府也是如此。但随着 5G 的普及，攻击面的扩大仍然存在担忧。GSMA 建议 5G CSP 应实施一系列安全协议。

保护 CSP 的推荐措施之一是特权访问管理。正确实施的 PAM 通过限制黑客可以尝试利用的特权和权限的数量来减少攻击面。而且 PAM 对 CSP 操作的影响最小，因为其目的是删除人员和流程完成工作所不需要的权限和权限。

PAM 与 IAM

许多读者可能熟悉 IAM（身份和访问管理），但不太熟悉 PAM。虽然它们有共同的目标，但它们的范围和应用却不同。

考虑一个金字塔，其中有限数量的管理用户位于顶点，一般用户构成基础。在其各种迭代中，IAM 涵盖了整个金字塔。但是，许多 IAM 应用程序专注于基础用户的权限，即那些经常访问系统但几乎没有或没有管理权限的用户。另一方面，PAM 专注于高层，即那些因为他们的组织角色而成为最理想目标的人。

请注意，当我们在这里提到用户时，它与说人类不同。IAM 和 PAM 控制也适用于系统内的非人类身份，例如，可能有自己的身份的流程。

配置权限和访问权限

在为组织的用户分配权利和权限时，IT 人员可以采用多种方法。首先，也是最糟糕的，是对公司系统和数据存储的广泛访问——实际上根本没有控制权。不用说，这种方法是高风险的，会给组织带来很大的风险。但许多组织确实允许用户获得比他们需要的更多的访问权限，以避免无意中扰乱日常活动，扩大公司的攻击面。

谨慎的公司采用最小特权、需要知道的访问或两者结合的原则。最小权限处理用户如何在系统中工作；Need-to-know 解决了他们可以在系统中访问的内容。

在最小权限原则下，用户只获得他们工作所必需的那些权利和许可——不多也不少。通过阻止用户获得他们从未使用过的区域的权限，组织可以消除不必要的漏洞，而不会对用户的性能产生负面影响。

需要知道适用于组织的数据，限制访问与用户执行其工作职能直接相关和必要的数据。

缺乏最低权限或需要知道的控制只是许多组织中常见的与身份相关的一些漏洞。许多组织仍然拥有共享帐户或密码，这削弱了审计活动和确保遵守公司安全策略的能力。公司还经常拥有旧的、未使用的帐户，通常具有大量特权，理想情况下这些帐户早就被清除了。许多公司仍然依赖手动或分散配置和维护用户凭证。

为什么（以及如何）CSP 应该使用 PAM

用户拥有的每一项特权和访问权限都为网络犯罪分子创造了独特的机会。因此，限制这些特权和访问权限符合每个 CSP 的最佳利益。这样做可以限制潜在的攻击媒介，并在黑客成功盗用特定用户的身份时将可能造成的损害降至最低。用户拥有的权限越少，成功的攻击者就越少。

限制权限还可以限制可能损坏组织系统的攻击类型。例如，某些类型的恶意软件需要更高的权限才能有效地安装和运行。如果黑客试图通过非特权用户帐户插入恶意软件，他们就会碰壁。

以下是 CSP 应遵循的一些最佳实践。

实施权限管理策略：鉴于没有单一的、普遍适用的物联网安全标准，CSPS 需要严格定义和监控的策略，通过消除任何偏差机会来确保合规性。策略应定义谁控制权限和权限的供应和管理，供应如何发生，以及必要时重新供应或取消供应的时间表。此外，策略应解决密码安全问题，包括密码强度、多因素身份验证的使用和密码到期。

集中 PAM 和 IAM：CSP 应该有一个集中的系统，用于权限和访问权限的配置、维护和取消配置。建立具有高权限的帐户清单可防止组织将未使用的帐户漏掉。

确保最低权限意味着最低权限：虽然如果用户必须联系帮助台来执行某些任务，他们可能会感到沮丧，但这并不是为他们提供比他们需要的更多权限的理由。大多数公司边缘或端点用户不需要具有管理权限或访问根目录。即使是特权用户也不需要广泛的访问权限。限制对执行工作绝对必要的访问。

通过分段增加安全性：分段系统和网络有助于防止黑客在成功进入公司网络时进行横向攻击。在可能的情况下，使用分段之间的零信任策略来加强分段。

实施密码安全最佳实践：密码卫生不良仍然是许多组织的一个重大漏洞。通过培训员工了解强密码、多因素身份验证和密码过期带来的轻微不便，可以保护公司免受泄露的潜在破坏性后果，从而建立安全文化。

安全 CSP 是安全 IoT 的支柱

如果没有安全的 CSP 网络，物联网就是网络犯罪分子的游乐场。在担心数以百万计的边缘设备之前，CSP 安全专家应该向内看，并尽可能地保护他们的内部系统。应用最小特权原则和特权访问管理系统是有用的第一步。

审核编辑 黄昊宇