5G安全模式懸而未決 威脅模型管理網絡風險

STRIDE Threat Model 威脅模型是微軟工程師Praerit Garg 和Loren Kohnfelder開發，已有20年歷史，不少保安領域奉為圭臬。

新科技速遞

網絡或電視機的廣告，不難見到5G服務宣傳；近期香港小姐選美，觀眾透過5G技術，身在家中，仍可通過5G Apps，如置身現場，近距離欣賞選美環節等，港姐美貌身材，燕瘦環肥盡入眼簾。

美國剛舉行第104屆IndyCar系列比賽的頂級錦標賽 Indy 500。疫情下，車迷也無法實場觀賞，營運商Verizon透過5G擴增實境（Augmented reality）技術，增加觀看賽事的臨場真實感。

香港隨先進國家步伐，流動電訊營運商陸續推出5G服務；包括5G手機及網絡，5G服務會一如數年前LTE，慢慢到百花齊放的局面。

現時各地5G網絡，多基於營運商現成的4G或 LTE架構建立，統稱為5G NSA （Non-Standalone）模式，只是加入5G天線設備 （New Radio），配合新5G手機接收，提升網絡速度，核心網絡設備和架構，其實仍處於4G時代。

市場上稱為5G第一階段，數據技術層面升級至5G， 控制層面卻原封不動。

5G第2階段才是核心改變，配合大量的虛擬技術，加上雲端化運作，更有效支援新一批的應用，如自動駕駛、虛擬現實（Virtual Reality）遊戲、物聯網（IoT ）管理等。5G第二階段發展仍未落實，除了核心網改變，故得重新設計，網絡安全亦重要一環。

現時編訂國際5G標準的全球機構3GPP，很多工業的安全標準，到了5G列為非必要選項。放寛了安全標凖，有助營運商靈活建立5G的核心；但如何保護5G架構，以至用戶數據，甚至手機至路由器交換機等設備安全，則仍處於討論階段。

去年，Mobile World Congress 年度大會內，廠商或電訊商提供的5G核心模式，已陸續浮現；以日本為總部的Rakuten，率先提出以全雲端架構，建成5G核心，這家新成立5G營運商，頓時一鳴驚人。

今年MWC 因疫情取消，未有機會見到大型的5G演示會。兩個月前，RSA亞太區會議終於改為網上直播；三藩市每年舉行RSA會議，屬於全球最大型資訊安全會議之一；今年集中在雲端安全、5G、IoT保護。

有講者提議，使用威脅模型以分析及管理5G風險，此趨勢甚為值得留意。講者以Microsoft 工程師建立STRIDE Threat Model 威脅模型，逐一分析5G 風險及防護方式。

STRIDE 以深入淺出模式，評估安全風險，從6個類別探討不同方法的攻擊，以及帶來影響，可普及應用於評估網絡安全，工程師或設計人員理解5G架構，進一步瞭解潛在的攻擊及危險。

STRIDE提出了6種潛在威脅，包括了：1）偽裝，譬如使用其他用戶的身份。2）篡改用戶身份資料。3）抵賴已經簽署文件及行為，4） 洩漏重要資訊，5）DoS攻擊及拒絕某種服務； 6）超越用戶權限。

雖然STRIDE 模型沿用多年，5G 網絡從業員從威脅模型出發，包涵蓋了主要問題，亦可管理好5G技術帶來新風險。

作者：梁定康（Andy Leung）現任網絡保安工程師，主要向電信商及企業提供網絡保安設計方案。