(GSMA 移动电信安全格局)

2024年2月 这是GSMA的信息文件 安全分类：非机密 访问和分发本文件仅限于安全分类允许的人员。本文件受版权保护，仅用于提供本文件的目的，未经协会事先书面批准，本文件中包含的信息不得全部或部分披露或以任何其他方式提供给安全分类许可以外的人员。 版权声明 版权所有© 2024 GSM协会 免责声明 GSM协会（以下简称“协会”）不对本文档中包含的信息的准确性、完整性或及时性做出任何陈述、保证或承诺（明示或暗示），也不承担任何责任。本文档中包含的信息可能会发生变化，恕不另行通知。 反托拉斯通知 此处包含的信息完全符合GSM协会的反托拉斯合规策略。 Contents 4.对虚拟化基础设施的攻击10 5.供应链12 6.全球所有权滥用和互连14 7.恶意软件和勒索软件16 8.间谍软件18 9.移动应用安全20 10.新的和重新打包的欺诈类型22 12.最后的想法30 GSMACTO前言 随着5G在消费者和企业环境中的使用步伐加快，其好处将遍及全球经济。到2023年第三季度末，我们在全球范围内实现了超过14亿个5G连接。如今，100多个市场的270多家移动运营商已经推出了商用5G服务。到2030年，5G移动连接预计将为全球经济增加近1万亿美元，其中近一半来自新的企业服务和应用程序，包括金融、医疗保健和教育等领域。 5G网络是移动基础设施多代演进的一部分。2G，3G和4G网络继续在全球范围内提供服务，这种连接对我们的日常生活变得越来越重要。因此，这些网络的网络安全是一个基本的技术推动者，越来越受到政府的强制要求，需要不断的审查和投资，以跟上本报告和以前的GSMA移动电信安全形势报告中描述的不断变化的威胁性质。 企业内部的建议。 欢迎其他感兴趣的利益相关者参与：他们可以通过加入GSMA来实现，这将确保获得广泛的安全建议和最佳实践。 本威胁形势报告在传达我们行业面临的威胁的持续、演变和升级性质方面发挥着关键作用。 重要的是，该报告借鉴了公共来源和GSMA安全社区内部的报告。请花时间阅读本报告，并参与我们的团队努力，以加强对运营商部署的技术和基础设施、客户身份、安全性和隐私的保护。GSMA现有成员可以继续为我们的安全工作做出贡献，并鼓励他们应用GSMA安全准则。 亚历克斯·辛克莱- GSMA首席技术官 GSMA欺诈和安全小组主席 过去的一年是移动安全领域的又一个多事之秋。全球范围内的冲突通常集中在电信技术和服务上，要么作为直接目标，要么作为通往另一个目标的途径。此外，犯罪攻击可能而且已经是毁灭性的；勒索软件是一种持续的焦虑，损害企业的技术变得越来越有效，通常侧重于个人员工和社会工程。 为了规避防御措施，攻击者经常试图破坏供应链的其他部分，并滥用组织之间的信任关系。这是我们作为一个行业需要继续解决的问题，以及其他供应链考虑因素，例如以有效和快速的方式处理软件库中的部署常见漏洞，以便将攻击面的暴露降至最低。 人们越来越认识到移动电信安全在保护关键系统方面的重要性以及失败对个人和企业的后果。我们作为一个行业采取的安全措施和我们制定的建议都反映在世界各国政府的网络安全政策制定中，并为其提供信息。 所有人都有广泛的承诺来应对所面临的挑战，但对于那些可能没有资源解决所有问题的企业来说，这也变得越来越繁重，特别是在传统技术方面。这似乎是一个不可能的挑战，但是这些问题不会消失，也不会躲避攻击-必须解决。GSMA欺诈和安全小组(FASG)是一个全球移动技术专家社区，可以为您的公司提供帮助。请加入我们并参与进来。 我们继续在全球范围内看到大量欺诈行为，使用许多不同的技术。在几乎所有这些中，包括涉及社会工程的地方，都有潜在的技术漏洞被发现，然后作为攻击链的一部分被利用。我们的行业需要确保有关新的和新兴的欺诈的情报被迅速分享和传播，最重要的是-采取行动，以便有效地打击欺诈者，让他们很少有机会利用系统和用户。 我们在防御移动威胁方面的工作就是我所说的“Janus问题”。我们既要回顾我们需要保护的所有遗留系统，以抵御新旧攻击，又要向前看并保护正在部署的新5G网络，同时考虑未来的网络安全情况以及什么攻击 我们可能会面临。今年我们关注的一个关键领域是解决商业间谍软件载体，这些载体通常使用新旧技术的组合。我们将继续确定这些威胁行为者的技术、策略和程序，以便使移动网络成为他们在其中运行的敌对环境。 大卫·罗杰斯MBE- GSMA欺诈和安全集团主席兼铜马有限公司首席执行官 1.0关键点 本图显示了今年报告中确定的主要主题领域。 恶意软件和勒索软件对移动行业，其客户和更广泛的服务提供商供应链构成了重大，持久和持续的威胁。移动行业（以及所有其他行业）必须显着加快其修补和缓解漏洞的能力。 该报告还描述了本报告前几版中报告的Flubot和网络钓鱼等攻击类型是如何演变的。同时，它探讨了更广泛的安全操作环境，这些环境应与上图所示的威胁主题领域相关联。 虚拟化和云基础架构的安全性至关重要，而且将继续如此。对此类基础架构的成功攻击可以产生大规模的广泛影响。 近期行动和投资决策应考虑到当前的威胁和这种方法将有助于确保投资是有效的，并产生长期的战略利益。 保护人工智能/机器学习(AI / ML)平台、数据和算法是关键的保护措施。除此之外，生成AI安全应用程序具有巨大的潜力，可以发现高级和复杂的攻击类型，并通过高级分析来对抗欺诈技术。恶意行为者也很有可能使用AI / ML来生成先进的攻击技术，这表明防御团队需要能够进行复杂的实时防御。取得了重大而迅速的进展。正在这个领域制造，使其成为重点领域。 2.0 Introduction 本报告描述了一些对立的力量— —下图所示— —尽管当然，它们并不代表该行业必须应对的所有不同类型的攻击，也不代表其所有防御。 这是GSMA的第六份年度移动电信安全形势报告。1，它反映了事态发展在2023年。 随着安全格局的迅速变化，持续的挑战是“打破平衡” 图2 此移动安全环境报告并非孤立存在。其他高度相关的安全环境报告包括： ❚欧盟网络安全机构（ENISA）威胁格局2❚《2023年集体罢工全球威胁报告》3❚ANSSI针对电信部门的威胁状况4❚IBM Security X - Force威胁情报指数20235❚ETIS安全形势20236❚Zimperium全球电信威胁报告20237 对操作员的攻击 5G独立内核、网络应用程序编程接口(API)、开放无线电接入网络(RAN)架构和新的人工智能服务。下图展示了典型移动网络的高级视图，为本报告的以下部分提供了上下文。 In order to establish and operate effective securitydefences, it is necessary to understand the assetsthat make up the network ’ s attack surface. Thisincluding all the systems (development andoperational), people和用于操作、设计和维护网络的过程。网络攻击 surfacesare expanding.There are increasingnumbersofconnecteddevices(forexample,connected vehicles and IoT equipment), new 图3 移动网络运营商(MNO)已成为攻击目标多年,这些攻击在2023年仍在继续。 分析 我们可以将这些攻击分为八种类型： 客户和员工数据和信息的吸引力使其成为一个明显的持续潜在攻击者的目标。其他攻击寻求获取侦察信息或初始网络访问，从中发起后续攻击或通过特权升级获得进一步访问-运动和横向运动(事实上，MITRE ATT和CK ®对手战术的全方位1). ❚数据泄露❚勒索软件攻击❚供应链攻击❚侦察和初始访问❚对服务交付的直接攻击❚DDOS攻击❚社会工程学❚妥协“边缘” DDoS攻击12旨在使Internet服务的流量超过他们可以处理的流量，目的是破坏它们并使其对合法用户不可用。此类攻击已启动（通常具有高频率和大带宽13)针对MNO14。DDoS攻击可以通过多种协议发起，包括应用层，网络层，如IP，传输层，如UDP，以及通过信令路由。正在出现寻求发起DDoS攻击的服务 更容易15防御性DDoS工具是网络防御的重要组成部分，应该跟上不断增加的攻击范围和方法。常见的防御控制是通过将数据包路由到“污水坑”来丢弃数据包（即更改流量路由，以便丢弃数据包而不是允许向前连接到目标网络)。 大量攻击主要针对客户和员工的数据，这些数据可以进一步利用，出售或利用。勒索软件攻击可能会影响对基本网络资源和数据，内部服务器和公报系统的访问，并可能导致未经授权从IT系统中提取数据。直接攻击8，包括DDoS尝试，可能会暂时或长期损害服务的可用性9。运营商的员工已成为目标-编辑并操纵以使攻击者访问敏感系统。威胁行为者还试图破坏启用系统的“边缘”（稍后请参阅更多）。随着MNO加强了网络安全控制并改善了端点检测和响应，攻击者已转向支持基础网络基础架构的目标设备10. 安全控制，如定制防御工具和主动安全测试，都可以在成功防御中发挥重要作用。 通过第三方进行的攻击凸显了需要考虑内包和外包产品和服务的整体攻击面。 对于那些意图造成损害的人来说，扩展的供应链仍然是一个有吸引力的目标（如后面的部分所述）。 由GSMA成员开发的有效且经过验证的安全控制。 更广泛地说，一些有趣的新工具可以帮助设计安全防御态势。例如，MITRE已发布18一个“导航”工具，以协助网络弹性系统的设计和“决策”工具，以帮助分析师将对手行为映射到MITRE ATT和CK框架。 试图破坏“边缘”的攻击可能涉及针对设备，例如VPN，防火墙，Citrix环境，“跳转”框，负载平衡器，代理，端点和带外服务器管理接口；尤其是在其管理接口直接连接到可公开访问的Iteret连接的情况下。这些攻击类型强调了构建强大安全防御的持续需求，包括支持基础设施以及第三方和托管服务提供商提供的基础设施，以及整个攻击面和服务清单。 为了保护完整的攻击面，建立和维护准确，完整的资产和服务清单至关重要。资源，例如网络安全与基础设施局（CISA）已知利用的漏洞目录16，可以为实际被利用的攻击向量提供有用的情报，而不是更多的理论攻击方法。 更广泛地说，GSMA的欺诈和安全小组（FASG）提供了广泛的现有安全防御指南。GSMA最近全面更新了其基线控制文件FS.311，它描述了一组 对虚拟化基础架构的攻击 容器可以在工作负载之间提供流程级分离,使其部署快速且廉价。 ❚Ermetic研究团队报告了Azure API管理服务中的三个漏洞21:两个服务器端内部Azure工作负载上的请求伪造(SSRF)漏洞和文件上传路径遍历。由于漏洞是通过协调披露共享的，因此已对其进行了全面修补。GSMA鼓励向CVD方案披露漏洞，以便在更广泛地披露漏洞之前对其进行评估和修补（如有必要）。GSMA的CVD方案22提供了一种用于报告和解决不影响单个供应商或公司的行业漏洞的机制。 由于产品和功能相关的软件现在可以在一系列非专有平台上运行，因此操作员确保他们使用的任何硬件和软件组合都保持安全。这包括确保软件是最新的，在原始和真实的硬件上运行，并且没有被未经授权的一方更改。 以下是对虚拟化基础架构的攻击的一些最新示例。 ❚Mandiant报告19Microsoft Azure中的事件，攻击者借此恶意使用Azure虚拟机(VM)上的串行控制台在客户端环境中安装第三方远程管理软件。❚SentinelLabs报告20标记为“WIP26 ”的威胁活动，针对中东的电信提供商。WIP26的特点是滥用公共云基础架构-Microsoft 365 Mail,Microsoft Azure、Google Firebase和D