建構資安防護機制 審慎面對5G潛在威脅風險

工業技術研究院技術副理王子夏。

2020年是5G商轉元年，而5G有別於過去2G、3G和4G，挾著前所未有的高頻寬(eMBB)、低延遲(URLLC)和廣連結(mMTC)等優勢，成為史上最能支持企業應用的行動通訊技術，因而使「5G專網」需求看漲。當5G被佈建到企業內部環境，促成IT、CT和OT網路相連，導致資安威脅隨之增加。

工業技術研究院技術副理王子夏表示，針對5G通訊帶來的資安議題，其實與URLLC及mMTC兩項特性較有關聯。以URLLC而論，相關應用情境主要在於工控自動化、無人載具或遠距醫療，一旦出狀況，可能造成巨大損失、甚至危及使用者生命安全，亟需結合完善的資安管控。

至於mMTC，與涵蓋大量IoT裝置的應用場景相關。根據Gartner於今(2020)年7月提出的報告顯示，迄今有超過20%組織曾遭IoT設備的資安攻擊事件，顯見資安需求極為重要。以2016年Mirai殭屍網路攻擊為例，當時造成1 Tbps攻擊流量，如今IoT裝置數量成長到當年4倍，不難想像其攻擊殺傷力勢必更驚人。基於總總原因，王子夏認為在未來5G應用服務普及化前，各界需審慎思考資安事宜。

5G應用情境仍在快速發展中，根據5G America概略分類，包含智慧製造、智慧醫療、無人載具、AR/VR、智慧遊戲、智慧交通、智慧城市等七大應用領域。其中企業導向的自動化系統、遠距操作系統、高互動AR、高密度感應裝置等，皆有高度資安需求。

王子夏說，以往4G時代存在IMSI竊取風險，係因GSM單向認證缺陷所致，按理5G並無此顧慮，但現今多數應用仍為4/5G並存，顯見一些舊威脅依舊會持續發生。不僅如此，5G有新的威脅要面對，譬如基於偽冒CSP業者或偽冒MEC Gateway裝置問題，以及由於5G採用服務化架構(SBA)、功能模組走向軟體化，所以不論核網端或MEC端，皆須慎防身分盜用、資料竊取等問題。

總結來說，5G安全關鍵議題大致有四點。首先「5G安全性是4G安全性的演進」，儘管5G引入虛擬化核網控制功能等新技術，但整體安全架構仍基於4G。其次「核心/無線接取網路(RAN)依循4G通訊系統」，行動通訊系統的基本安全架構，並不會有所改變。第三「實施5G安全規範為安全性的關鍵」，若欲提升安全性，必須要求供應商和營運商採用標準的安全規範。最後「分散式核心網路可能導致實體安全議題」，因通訊網路有低延遲特性，所以在分散式區域運用MEC與核網功能時，更需重視物理性安全的強化。

而不管何種5G垂直應用領域，要想防範資安威脅，皆須建立一些基礎防護機制，包含「全面的可視化可控化」、「版本管控與軟體安全」及「安全信任機制」等等，以便能利用流量與行為分析、漏洞追蹤確認，或藉由CA/SOC執行整合性認證等手段，杜絕5G資安威脅。