超高速5G移动网络不仅有望能更有效地把人们连接起来，而且进一步提高了连通性，从而更好地控制机器、物体和设备。其极高的Gbps数据传输速率、低延迟和大容量对消费者和企业来说是好消息。但是，正如一位早期采用者所体会到的，这也带来了重大的新安全风险。

   全球家电制造商惠而浦公司已经开始在旗下一家工厂推出5G技术。该公司在传统局域网Wi-Fi网络环境下，使用物联网设备开展预测性维护、环境控制和过程监控等方面的工作，但在5G环境下，公司还能够做一些Wi-Fi无法完成的工作，比如部署自动叉车和其他车辆。

   惠而浦北美地区IT和OT制造基础设施应用经理Douglas Barnes介绍说：“我的工 厂里有很多金属物品。Wi-Fi会被金属反射。即使我在工厂里用的是网格Wi-Fi，但金属实在太多了。而5G则能穿过墙壁，不会被金属反射。”

   他说，“这意味着一旦在工厂车间部署好5G，惠而浦就将迎来巨变。这将使我们能够在整个工厂里使用真正的无人驾驶车辆，进行维护、交付，以及支持制造运营的所有工作。这个业务案例非常重要，节省了很多成本。5G的回报太丰厚了。”

   他说，公司已经进行了测试，以确保无人驾驶车辆能够正常工作。这个月会分配好资源，今年年底前，车辆将在5G环境中运行。他说：“如果我们成功了，我们在无人驾驶车辆这一业务案例上的所有付出都是值得的。”

   Barnes敏锐地意识到物联网已经给企业带来了网络安全问题，这些问题在很大程度上会因转向5G而被放大。惠而浦与其5G合作伙伴AT&T一起解决了这些问题。他说：“我们每天都像是在打仗。在我们开始之前，我们和AT&T讨论的第一件事就是网络怎样才是安全的。”

   以下是惠而浦等企业在制定5G实施计划时需要考虑的8个方面的关键问题。

   加密和保护5G网络数据流

   随着5G的出现，连接到网络的智能设备数量将大幅增加，这些网络的数据流量也将随之大幅增加。Gartner预测，明年企业的汽车物联网设备数量将增加到58亿，比今年预计的48亿物联网终端总数增长21%。由此，攻击者认为这些网络环境中有丰富的被攻击目标，甚至比现在还要多。

   Barnes说，为了解决这个问题，惠而浦将加密所有5G数据流，并将5G天线配置为只接受获得许可的数据流。他说：“当我们添加设备时，我们将其配置为5G可接受设备。如果没有被列入白名单，我们就不会接受它。既然是经过加密的，我就不担心有人试图截获信号，因为他们做不了什么。”

   他说，如果数据流离开本地网络，通过公共5G或者互联网流出，那么将通过受保护的VPN隧道对通信进行保护。他说：“由于我们可能不得不使用5G与外部进行通信，因此，我们预先进行了设置。”

   2.保护和隔离易受攻击的设备

   下一个可能出漏洞的是设备本身。Barnes说：“这个行业非常缺乏安全意识。特别是工业设备通常都有专有的操作系统，而且不能安装补丁或者通过许可来禁用它们。它们在设计之时并没有考虑到补丁问题。”

   Barracuda网络公司的高级安全研究员Jonathan Tanner认为，事实上，大多数物联网安全错误都没有得到解决。他说，有些设备存在无法通过固件更新来修复的问题，或者没有更新固件的机制。即使设备制造商在下一代设备上增加了安全功能，而那些不安全的老设备仍然没有得到保护。

   Tanner补充说，有些企业并不在意，甚至忽略了指出漏洞的安全研究人员。Tanner说：“有些设备易受攻击的企业已经倒闭了。他们对设备原先存在的任何漏洞都听之任之。”

   如果一家企业受困于这些不安全的物联网设备时，应该怎么办？惠而浦的Barnes说，网络隔离措施与其他网络安全技术相结合可以帮助保护他们。他说：“我们的方法分为两层。第一层是通过网络安全功能监视所有的数据流，第二层是采用受协议驱动的安全措施，执行深层数据包检查，查找协议中嵌入的恶意活动类型。”

   除此之外，还有一般的安全环境保护措施，例如，尽可能打上补丁，定期对所有设备进行安全审计，对网络上的所有设备都建立完整的设备清单。

   3.准备好应对更大的DDoS攻击

   一般来说，5G并不意味着安全性会比前几代无线技术差。诺基亚威胁情报实验室主任Kevin McNamee说：“5G确实带来了4G和3G所不具备的新安全功能。有了5G，整个控制平面都被迁移到网络服务类型的环境中，在这种环境中，经过了严格的身份验证，是非常安全的。这是一种进步。”

   McNamee介绍说，僵尸网络进攻的机会也增加了，给加强安全带来了挑战。他说：“5G将极大地提高设备的可用带宽。带宽的增加会提高物联网机器人的可用带宽。”

   增加的带宽会被用于寻找更容易受到攻击的设备，并传播感染，而僵尸网络将发现更多容易受攻击的设备。消费者开始越来越多地购买智能家居设备。与惠而浦一样，企业都是物联网设备的大用户。政府机构和其他类型的组织也是如此。

   5G技术支持将设备放置在偏远地区，在这些地方是难以进行维护的。ESET安全研究员兼俄勒冈州无线互联网服务提供商协会联合主席Cameron Camp评论说：“将会有成群的传感器记录从天气到空气质量直至视频的所有信息。这意味着新的机器群有可能被黑客入侵并成为僵尸网络的一部分。由于这些传感器大部分都是无人值守的，因此很难发现黑客并作出响应。”

   物联网设备有时也会空闲一段时间。用户不会去更换一个仍在正常工作的设备。攻击者会对他们的僵尸网络采取低调的方式，这样他们就不会引起任何注意。即使有可用的补丁，或者制造商开始销售更新的、更安全的设备版本，客户也可能不会费心地去进行更改。

   与此同时，很多智能物联网设备正在运行真正的操作系统，例如嵌入式Linux，使其成为几乎功能齐全的计算机。受感染的设备可用于承载非法内容、恶意软件、命令和控制数据以及其他对攻击者有价值的系统和服务。用户不会把这些设备视为需要防病毒保护、打补丁和更新的计算机。很多物联网设备不保存流入和流出数据流的日志。这使得攻击者能够保持匿名，更加难以关闭僵尸网络。

   这就构成了三重威胁。有可能被利用设备的数量、僵尸网络的可用带宽以及设备进行DDoS攻击的可用带宽都在增加。5G环境中，很多设备仍然不安全，有些设备没有补丁，DDoS攻击呈指数增长，因此，企业现在要为此做好准备。

   4.向IPv6迁移可能会使私有互联网地址公开

   随着设备的激增和通信速度的提高，企业可能会倾向于使用IPv6来替代现在常见的IPv4。支持更长IP地址的IPv6在2017年成为互联网标准。

   IPv4地址不够分配，只有大约43亿个地址。2011年，一些注册中心的地址数量逐渐用尽，2012年，一些组织开始转向IPv6。但据互联网协会（Internet Society）的数据显示，如今只有不到30%的谷歌用户通过IPv6访问平台。

   诺基亚的McNamee说，很多企业以及几乎所有的家用设备和大量的移动电话网络都使用私有IPv4地址，而不是IPv6。他说：“这为他们提供了一种自然保护，使他们免受攻击，因为他们在互联网上是不可见的。”

   随着全球转向5G，运营商自然会转向IPv6，以便为数十亿台新设备提供支持。如果他们选择公共IPv6地址而不是私有地址，那么这些设备现在将是可见的。他说，IPv6和5G都没有问题，但将设备从IPv4迁移到IPv6的企业可能会意外地把它们放到公共地址上。

   5.边缘计算增加了攻击面

   那些希望为客户或者自己分散的基础设施减少延迟和提高性能的企业，正越来越多地关注边缘计算。在5G的支持下，终端设备的通信能力越来越强，边缘计算的优势也越来越大。

   但是，边缘计算也显著增加了潜在的攻击面。那些还没有开始转向零信任网络架构的企业现在应考虑好这个问题，然后才能对边缘计算基础设施进行大量投资。当他们真的开始构建时，安全是首要考虑因素，而不能当事后诸葛。

   6.新的物联网供应商关注的是率先上市，而不是安全

   物联网淘金热将促使新的供应商进入这一领域，鼓励现有供应商竞相把新设备推向市场。Barracuda的Tanner说，物联网设备比寻找漏洞的安全研究人员多得多。他说，随着新制造商的加入，我们将看到一个全新的安全错误周期。

   Tanner看到业界正在一遍又一遍地犯着同样的错误，报告的物联网设备漏洞越来越多，而不是减少。他说：“还没有从业内其他人的错误中汲取足够的教训。”

   Joe Cortese是合规与安全联盟渗透测试实践主管，他的主要工作是研究怎样入侵企业网络，他说：“供应商不在乎物联网设备是否安全。今年年初，我购买了5台与电灯开关相关的设备，我能从屋外使用其中的4台。有些测试模式内置在设备中，供应商从未删除这些模式。”

   Cortese说，所有供应商都希望最先进入市场。对于许多厂商来说，推出设备最快的方法是使用现成的平台，例如嵌入式Linux。他说：“我曾为情报部门工作过。最近，我发现了一个物联网恶意软件，它只需要7行代码就能攻破一台设备。”他说，那些不加固设备的制造商很容易遭受这种攻击。

   比如说，攻击者可以利用它来关闭工厂或者关键的基础设施，或者劫持公司的系统以进行勒索。Cortese说：“我还没有看到这种情况发生，但这只是因为5G还没有被广泛部署。随着5G的广泛采用和物联网的扩展，我们可能会看到像制造业这样的系统将遭受大量的攻击。”

   7.警惕假冒攻击

   由于大多数5G网络都不是独立的，仍然容易受到4G和旧协议固有的一些缺陷的影响。GTP协议就是一个例子，它用于在4G和更早的网络上传输用户和控制数据流。它有一个允许拦截用户数据的漏洞，这可能导致假冒攻击。

   Positive科技公司最近发布了一份关于GTP漏洞及其对5G网络影响的报告。它描述的一个漏洞是，GTP不检查用户的位置，因此很难确定哪一数据流是合法的。攻击者只需假冒用户的IMSI订户标识和TEID隧道标识即可。后者是很容易获得的，而攻击者有多种方法获取IMSI，其中最简单的方法是在暗网上购买数据库。

   为方便攻击，攻击者通常借助于执行直通身份验证的服务来进行假冒攻击。这也可能使第三方合作伙伴遭受未经授权的访问。

   Positive科技公司的研究人员建议安全部门跟踪用户或者设备的位置，但要注意，大多数网络并没有部署执行此类操作所需的安全工具。

   8.应有人为物联网安全负责

   物联网安全的最大障碍不是技术上的，而是心理上的。没有人愿意承担责任。大家都想把责任推给别人。买方指责卖方没有保证他们设备的安全。卖方指责买方选择了更便宜、更不安全的产品。在5G的世界里，让他人负责物联网安全是不可想象的。

   据Radware去年发布的一项调查，34%的受访者认为应由设备制造商负责物联网安全，11%的受访者认为应由服务提供商负责，21%的受访者认为应由消费者负责，35%的人则认为应由业务部门负责。Radware的战略副总裁Mike O'Malley评论说：“换句话说，没有共识。”此外，他还说，消费者不具备这些知识或者技能。企业招不到足够的员工。制造商相互之间太不协调、太多而难以控制。

   企业可以雇佣服务提供商来承担一些工作，但这并不能解决消费者设备不安全、制造商不愿做出改变以及缺乏一致的全球监管和执行等问题。

   每个人都应该对物联网安全负责。买方应坚持要求，他们购买的产品不能有默认密码或者测试模式，通信是经过加密和认证的，设备要定期打上补丁和更新。供应商应该把不安全的设备下架，在产品设计过程开始时就要考虑安全问题，而不是在安全事件上了新闻头条后才开始考虑。