第五代行動通訊技術(5G)在全球商用領域的應用越來越活絡,5G技術不僅將經由智慧型手機帶來許多新的個人服務,同時也將在產業中扮演重要角色。
目前IBM QRadar使用裝置支援模組(Device Support Module,DSM)來支援各式各樣的日誌來源,例如各種防火牆或路由器的日誌。正5G專網帶來了所謂的「電信平民化」,這項技術讓私人企業和地方政府能夠自行建置和營運最新的電信系統。不過,並非所有企業機構都擁有駕馭電信技術的知識和能力,很可能因而引來一些資安風險。本文透過趨勢科技(Trend Micro)所架設之使用5G設備的煉鋼廠模擬實驗環境,來詳細探討其可能的潛在風險。
在工業環境建置行動通訊系統
5G是當今與人工智慧(AI)及物聯網(IoT)並駕齊驅的尖端技術之一。5G提供了建構次世代社會的基礎,能使數位轉型大幅躍進。5G最大的特點為大頻寬(eMBB)、支援大量同時連線的裝置(mMTC),以及超低延遲(URLLC)。有別於4G網路大多用於以人為導向的服務,5G的特性讓它很適合用於各種設備之間的通訊。
尤其,5G超低延遲的特性已經達到了工業應用要求的最低門檻,這意味著5G很可能引爆一波工業行動網路的建置熱潮,例如一些傳統行動網路系統無法應付的營運關鍵應用(圖1)。
圖1 行動通訊系統的演進:5G將引爆一波工業行動通訊系統的建置熱潮
將行動通訊系統建置在工業環境,象徵著企業IT的重大轉型,這一切皆拜5G之賜。隨著5G可支援的同時連線裝置數量大幅提升,很可能將看到IoT裝置加速發展。因此,5G不僅是一種高速網路,更是企業數位轉型的重要基礎。
行動通訊隨時保持連線
5G是第五代行動通訊系統,所謂行動通訊,就是讓使用者不論走到哪裡都能保持連線的一種技術。行動通訊系統的基本架構從第一代(1G)至今從未變過,主要包含三大構成要素(圖2)。
圖2 行動通訊系統三大構成要素
第一個要素是「使用者設備(UE)」,這指的是智慧型手機及其他插有SIM卡的裝置。在5G時代,可預見的是除了智慧型手機之外,各式各樣的使用者設備也會開始出現,例如工廠設備、汽車、感測器、監視攝影機以及其他IoT裝置,這些裝置將經由無線方式與最近的基地台通訊。基地台設有無線天線,所有的基地台加起來,就構成了一個「無線存取網路(RAN)」。透過RAN傳輸的資訊將傳送到「核心網路(CN)」,核心系統可說是整個行動網路的大腦,負責管理使用者的登錄和移動,以及資料的處理。行動通訊系統藉由這三大要素互相配合,讓使用者不論走到哪裡都能隨時保持通訊。這樣的基本架構到了第五代系統(也就是5G)仍維持不變,5G依然由UE、RAN及CN所構成。
目前智慧型手機已經大量普及,但相較於UE,很少人知道CN和RAN如何運作。這是因為在行動電話與其他個人裝置所使用的公共5G網路裡,CN和RAN由電信業者負責建置和營運。換句話說,使用者無須了解CN運作原理或其他細節就能使用行動通訊。但隨著5G專網的來臨,這樣的情況將有所改變。
5G專網的資安風險
5G專網正如其名,是專為特定用途、局限於特定區域的獨立5G網路。這個網路可能專為個別用途而彈性設計及建置,有別於電信業者所提供的公共5G網路。5G專網會針對微服務層次進行優化,這也是吸引企業選擇在自身IT環境建置電信基礎架構的因素。傳統上,無線行動網路的核心網路和無線存取網路皆由電信業者負責建置和營運,而5G專網則由企業或地方政府自行負責建置(圖3)。
圖3 使用5G專網,企業必須自行負責CN與RAN的建置和營運
這波「電信平民化」的浪潮雖然有助於開放技術的發展並帶動市場及業務的成長,卻也讓使用這項技術的企業機構承擔更多的責任,尤其一般企業的IT部門對於電信基礎架構通常並不熟悉。
針對這些問題,趨勢科技特別以一項實驗來發掘企業機構在建立5G專網之前可能必須先了解的網路資安風險。
5G專網關鍵場域:鋼鐵業
該實驗模擬鋼鐵業的網路使用環境。產業特性使然,鋼鐵業是一個非常適合導入5G的領域,具有以下三項特點(圖4)。
圖4 鋼鐵業適合導入5G專網的三個特點
第一,生產鋼鐵需要大面積的廠房。鋼鐵業是一個典型硬體導向的產業,需要一大片的廠房來設置必要的生產設備。5G專網可提供比Wi-Fi更大的覆蓋範圍,因此業界對它有很高的期待,希望能藉由遠端設備遙控、高畫質4K攝影機遠端監控,以及現場工作人員的遠端協助來節省能源。 第二,生產鋼鐵會產生一些化學反應所帶來的危險,必須在高溫下將鐵原料處理成鋼材,這表示人員無法直接檢查原料在生產過程中的狀況,需要借助感測器和電腦來做這件事。因此,資料的一致性與系統可用性非常重要。
第三,鋼鐵業的生產流程分得相當細。鋼鐵業不像汽車製造業,將許多零件組裝成最終產品,而是將單一原料(鐵)生產成各種不同的產品。原料在處理時需要非常精密的溫度、氣壓及原料混合的調控。大型煉鋼廠每年約可接到高達一百萬筆的訂單,因此需要一套IT系統來處理這麼大量的資訊。
綜合以上特性,5G專網會是該產業達成這些需求並提高生產力的得力助手。
5G專網工廠模擬實驗環境
為了進行研究,趨勢科技打造了一個採用5G設備的煉鋼廠模擬實驗環境,包含三大重點(圖5)。
圖5 工廠模擬實驗環境三大重點
第一,將核心網路和無線存取網路建構在廠房內。雖然打造5G專網的方式多種多樣,但實驗中假設的情境是企業自行打造並操作其5G專網,因此企業擁有一個完全屬於自己的網路。
第二,該實驗打造的是一個非獨立組網(Non-Standalone, NSA)的5G網路,換句話說,所研究之5G網路架構會盡可能利用原有運作中的4G網路設備。如果是獨立組網(Standalone, SA)的5G網路,便需要將所有的通訊設備換成5G設備,因此現階段採用非獨立組網的情況應占大多數。
第三,盡可能模擬工業網路的實際情形,包括PLC、HMI及其他裝置,這可幫助發掘一些可能發生的實體傷害。
該實驗環境的網路組態如圖6所示,可以看到網路中包含資訊技術(IT)、營運技術(OT)以及通訊技術(CT)。
圖6右側代表現場網路(Field Network)的組態,該網路連接PLC與其他裝置,代表煉鋼廠的實際環境。圖6左下方為控制網路(Control Network),該網路與系統管理員所使用的電腦連接,負責控制現場網路。圖片中央為核心網路與無線存取網路,也就是實驗的主要對象,兩者皆屬於通訊技術的範疇。核心網路就像通訊系統的控制塔台,因此對於建置行動通訊專網來說是個特別重要的環節。
圖6 實驗環境的網路組態
圖7的左側是模擬工廠實際的實驗環境。乍看之下或許相當簡單,但其實裡面的軟體架構非常複雜(如圖7右方區塊圖所示)。值得注意的一點是,核心網路是由負責使用者註冊及管理的控制層(Control Plane)所構成,而使用者層(User Plane)則負責資料處理,5G通訊需要這兩層才能正常運作。一般的企業IT人員對核心網路當中的通訊技術並不熟悉,所以這對使用者來說是一個未知的領域。
圖7 實際的實驗環境(左)與控制層(Control Plane)的邏輯架構圖(右)
經過這個環境的實驗之後,發現核心網路有四個可能被駭客滲透的路徑,以及三個訊號可能被駭客攔截的點。下篇將進一步說明實驗結果。
(本文由趨勢科技威脅研究中心提供)
應對通訊高風險環節 工廠5G專網建構兼顧資安(上)
四大滲透路徑/六種攻擊手法全解析 工廠5G專網建構兼顧資安(下)