围绕在5G的安全议题相当广泛,包括软件开发与品质管控、软件更新、供应链、OT安全、边缘运算、隐私保护,以及5G专网等多个方面,如何让5G安全能够落实,持续成为各界关心的重点,值得注意的是,近期有安全厂商开始聚焦在5G供应链,例如IBM就提出相关解决方案,并特别称之为X-Force Red 5G & Wi-Fi Testing,目的是让安全能深入5G产业链,也就是中上游的产品或组件,而这样的态势,也将可能带动未来产业在产品安全上的发展。
过去,IBM在2016年成立了X-Force Red渗透测试团队,主要应用对象包括金融、零售领域,也波及IoT等领域,特别的是,今年他们聚焦在5G产业链,推出专属渗透测试服务。然而,在此之前,我们几乎没有听闻有安全企业,是针对5G供应链提出产品安全解决方案,这样的方案有何不同?
对此,IBM信息安全部门全球威胁情报防御产品协理谢明君表示,在5G的时代中,安全已经不再是单点的防护,需要将上中下游整体都纳入考量。不过,5G产业链相当广泛,包括芯片、天线、RF前端、基站上游、PCB、到手机、网络设备,以及光纤、小型基站、服务器,还有核网与SDN等,这些都是IBM安全测试方案可以涵盖的范围吗?
谢明君表示,这些5G设备、组件与环境,的确全是他们解决方案所涵盖的适用对象,而且,电信企业也包含在内,其中又以芯片、核心网络与SDN等类型最为合适。
同时,谢明君也举例说明,他们过去曾帮助一家大型客户,通过逆向工程手法,在其IoT芯片上找出许多设计瑕疵,事实上,在芯片设计上就有不少需验证的安全问题,她说,像是重新查看有那些资料存放于芯片、通过行为分析找出弱点,以及确保所有IoT设备,都纳入安全雷达图之下,她并强调,对于这些属于上游的设计瑕疵,也需要懂得相关技术的白帽黑客,来找出这方面的安全问题。而过去X-Force Red在硬件与嵌入设备的测试范畴,就包含IoT、穿戴技术、POS系统、ATM与自助Kiosk等。
基本上,X-Force Red在Penetration Testing Services- 5G的测试内容上,针对5G供应链提供4大测试主轴,分别是硬件与IoT测试、配置测试、应用程序测试,以及网络测试,而且,测试范围将可以依照企业需求来选择。
相较于一般渗透测试的范畴有何不同?谢明君表示,配置测试是一大特色,这是指即便5G设备已经部署,他们也能够通过测试样本发现所有站点的漏洞,并帮助修复;同时,他们也能从网络边界测试,找出IoT设备与每一个带宽与手机等通信上的缺陷。
而最后的测试结果,IBM不仅提供测试报告,同时也帮助修补漏洞或瑕疵,包括提供修补上的建议,也可以与客户一同开发修补程序。