圖、美國NIST與 CISA合作建立5G安全評估程序五步驟
CISA與OUSD R&E合作建立美國聯邦機關之5G安全評估程序
美國聯邦政府於今年五月間推出「五步驟5G安全評估程序調查」(5G Security Evaluation Process Investigation),以解決針對5G的新特性與服務而興起的現有安全評估指引與標準的不足之處,美國聯邦政府的「網路安全與基礎設施安全署」(Cybersecurity and Infrastructure Security Agency, CISA)與「國防部研究工程防衛次長」(OUSD R&E)合作,共同開發了此一評估程序。
CISA、NIST、MITRE Corporation合作發掘技術評估之安全與韌性落差
此一共同評估程序的目的在於提供單一的、彈性的途徑,供聯邦機關運用以進行評估、理解及處理他們的技術評估(technology assessment)標準與政策中的安全與韌性評估落差。CISA視此一聯邦機關「風險管理架構準備」(RMF Prepare)步驟中可使用的反覆程序為聯邦機關針對新的5G執行的重要工具。
此一程序將確保政府事業系統受到保護,並使網路罪犯無法透過5G技術經由後門進入機關網絡。評估程序的目標是讓聯邦政府更加了解5G網路部署的安全與韌性,更具體地說,聯邦機關試圖在聯邦局處進行安全評估與取得營運授權(authorization to operate, ATO)之前,成為先行者。
CISA、NIST與MITRE Corporation共同組成研究小組,以調查5G將為現行安全評估程序與架構所定義的傳統ATO程序,帶來甚麼樣的挑戰,例如:對於NIST的風險管理架構(Risk Management Framework, RMF)所形成的挑戰。
五步驟之5G安全評估調查程序
此一跨機構小組所提出的5G調查程序,包括下列五個步驟:
- 界定聯邦5G使用個案:尋求使用個案定義以識別系統營運所涉及的5G次系統、組成設定(component configurations)、應用與介面。使用個案實例被提升了行動寬頻、超可靠、低延遲通訊、大規模機器型態通訊。
- 識別評估邊界:有鑑於 5G技術的複雜性使得聯邦ATO程序難以界定安全評估界線,因而,此一步驟對5G安全評估而言極為重要。此一步驟涵蓋了界定邊界以識別必須要進行評估與授權(assessment and authorization, A&A)的技術與系統,並考量使用構成個案的商品與服務之所有權(ownership)與部署。
- 識別安全要件:識別安全要件是多階段步驟,包括:針對每個5G次系統執行高階威脅分析,並識別A&A活動將要處理的網路安全要件。此一步驟試圖識別緩解式網路安全能力,如:A&A活動需要處理的身分、認證(credential)、存取管理、網路安全(network security)、溝通與介面安全。
- 於聯邦指引中擘劃安全要件:此一步驟尋求建立聯邦指引的新目錄,此一指引涵蓋RMF、NIST的網路安全架構、供應鏈風險管理、聯邦風險與授權管理方案(FedRAMP),以及與安全能力與適用產業規格相關的其他NIST與聯邦網路安全指引。
- 評估安全指引落差與替代方案:第五個步驟必須識別在哪裡的安全要件存在,但缺乏評估指引以引導A&A活動。此外,當我們相信安全要件存在可緩解威脅,但事實上正式要件卻未被建立時,也會存在落差。
CISA的5G安全評估程序遵循NIST的5G Cybersecurity指引
CISA與NIST的5G實務指引融洽地相互協調,CISA的5G安全評估程序遵循NIST的國家網路安全National Cybersecurity Center of Excellence (NCCoE)。
CISA的5G安全評估程序遵循了NIST的國家網路安全卓越中心(NCCoE)所出版的實務指引草案:5G Cybersecurity,NCCoE指出其所提出的解決方案包含組織可用以經由搭配5G安全特性與第三方安全管控的多種途徑,更佳地確保5G網路安全。
NIST與產業界夥伴合作檢視各種安全評估途徑
NIST經由與範圍廣泛的各種產業夥伴在研究聯盟(consortium)中合作,此一聯盟成員包括:AT&T, Intel, Nokia, T-Mobile, and Palo Alto Network等主要電信與安全廠商。
如同CISA的評估程序調查一樣,NCCoE初版強調5G技術新式、演進特性所固有的挑戰,5G正位於、技術同時地被標準機關指定、被設備廠商所執行網路營運商所部署、被消費者所採用的轉型點上。
從NIST的觀點來看,現實的挑戰在於5G標準雖然處理5G組成間的可交互操作介面,但它們並不處理其支持及營運5G系統的基礎的資訊技術組成,這使得組織難以以其安全途徑地有信心地運用5G。因此NCCoE與5G與網路安全技術供應商合作,以開發採用可信任與安全的雲原生(cloud-native)代管基礎環境之範例解決方案。
此計畫的第一階段也將顯示5G安全特性如何解決先前世代的行動通訊標準LTE等已知的安全挑戰,聚焦於4G獨立部署。NCCoE計畫聚焦於針對兩個焦點領域的典型安全5G獨立部署:
- 基礎環境安全焦點領域:這提供完整式5G網路之可信賴平台及整體式安全參考架構。
- 5G獨立式安全焦點領域:此領域可促成以展現5G SA部署之現有網路安全能力的方式,進行5G Core的安全特性的基礎式設定。
此計畫的未來階段將包括擴大聚焦於5G特定使用個案之安全,這些焦點領域的可能實力為網路切片(network slicing)安全、漫遊安全及5G邊緣運算,CISA和NIST正邀請各界針對提案給予意見。(1700字;圖1)
參考資料:
U.S. government proposals spell out 5G security advancements. CSO,2022/5/31
相關文章:
1. 5G企業專網在資安迷思與四個關鍵影響因素
2. 歐盟公布5G網路安全指南、未完全排除華為
3. 台積電:資安也是國安議題供應鏈應具韌性
4. 5G企業專網在資安迷思與四個關鍵影響因素
5. 行政院2022年編列5164萬資安預算成立兩大國家級資安實驗室
6. 趨勢科技:2021年度網路資安報告從回顧看出五項趨勢
--------------------------------------------------------------------------------------------------------------------------------------------