Операторы мобильных сетей (MNO) уже много лет управляют киберрисками. Но проблемы, возникающие в связи с новыми сетями 5G, не похожи ни на какие проблемы, существовавшие раньше. Охват атак значительно расширился благодаря новым способам работы сетей нового поколения. Помимо того, что операторы мобильной связи сами по себе являются целью, они все чаще рассматриваются злоумышленниками как ступенька на пути к их корпоративным клиентам.

Как пишут зарубежные СМИ, на этом фоне операторы должны не только смягчать финансовые и репутационные риски, связанные с серьезным нарушением безопасности. Они также должны гарантировать, что программы безопасности удовлетворят регулирующие органы и клиентов. Последнее имеет решающее значение, если операторы связи хотят увеличить ARPU и потребление услуг.

Для этого им потребуется сосредоточить внимание не только внутри себя – на сервисной платформе – но и расширить этот контроль до пользовательской плоскости, где все чаще собираются субъекты угроз. Для этого потребуется унифицированное, изначально интегрированное предложение операций безопасности (SecOps), разработанное для конкретных случаев использования в телекоммуникационных компаниях.

Новые сети несут новые угрозы.
С одной стороны, сети 5G вводят элементы безопасности, которые должны помочь операторам мобильной связи снизить некоторые риски, связанные с устаревшей инфраструктурой. Возможности взаимной аутентификации, обязательное шифрование межсетевого и внутрисетевого трафика, а также улучшенная защита личности абонента — все это следует приветствовать. Но есть и новые риски, которые следует учитывать. Многие из них обусловлены более открытым подходом 5G с участием нескольких поставщиков и более широкой поверхностью атаки, обусловленной большим количеством подключенных устройств, более плотной сетевой инфраструктурой и зависимостью от облака, виртуализации и программно-определяемых сетей (SDN).

Больше поставщиков в цепочке поставок означает потенциально больше точек компромисса и больше распределенных сред для управления и защиты — от периферии до центра обработки данных MNO, а также между физическими, виртуальными и облачными системами. Инициативы по совместному использованию и распределению RAN, направленные на снижение затрат и получение новых доходов, также могут привести к риску. Когда дело доходит до сегментирования сети, необходимы дополнительные уровни безопасности для изоляции и защиты отдельных арендаторов/фрагментов.

Сторонний риск также может возникнуть из-за инициатив нейтрального хостинга, когда инфраструктура используется совместно с партнерами и конкурентами. А проекты по раскрытию сети, предназначенные для стимулирования новых инновационных приложений и услуг, приносящих доход, должны уделять приоритетное внимание безопасности API, чтобы им доверяли разработчики и конечные пользователи. В одном исследовании утверждается, что 60% организаций по всему миру пострадали как минимум от одной утечки данных, связанной с API, за два года до сентября 2023 года.

Неоднородность этой архитектуры 5G также приведет к увеличению сложности и увеличению количества предупреждений безопасности, которые могут превзойти традиционные системы мониторинга безопасности. И чем больше программного обеспечения попадает в эти сети, тем выше риск использования уязвимостей. В 2023 году было официально зарегистрировано более 29 000 случаев CVE, что является рекордным рекордом седьмой год подряд. В среднем новые эксплойты приводили к атакам всего за 4,75 дня во второй половине 2023 года, что на 43% быстрее, чем в первом полугодии.

Будь то государственный деятель, хактивист или финансово мотивированный злоумышленник, сегодня в их распоряжении имеется целый ряд тактик, методов и процедур (TTP) для поддержки деструктивных атак, программ-вымогателей, кражи данных, компрометации деловой электронной почты (BEC) и более. И есть к чему стремиться. Национальный центр кибербезопасности Великобритании (NCSC) в отчете за 2020 год утверждает, что обнаружил не менее 140 отдельных векторов атак в сетях MNO.

“Киберпреступники и субъекты угроз стратегически наблюдают за телекоммуникационными и мобильными экосистемами, выявляя возможности для атак через сложные уровни и зависимости. Атаки становятся более тактическими, избирательными и целенаправленными. По мере того как атаки распространяются вверх по течению, волновой эффект все больше затрагивает конечных пользователей. Задуманная безопасность, усиление инфраструктуры и партнерство по борьбе с угрозами входят в число решительных мер, необходимых для смягчения этого растущего риска”, – отмечает глобальный вице-президент по анализу угроз Fortiguard Labsforyinet Дерек Мэнки.

Нехватка навыков и проблемы с соблюдением требований
Дополнительной проблемой для операторов мобильной связи является ограниченность внутренних ресурсов, которыми многие сегодня располагают для снижения киберрисков в устаревших сетях и сетях 5G. По оценкам, в настоящее время во всем мире не хватает примерно четырех миллионов человек, в том числе 348 000 в Европе, что представляет собой ежегодный прирост на 10%. Более трех пятых (62%) телекоммуникационных компаний заявляют о нехватке персонала, и еще больше (69%) согласны с тем, что нынешняя ситуация с угрозами является самой сложной за последние пять лет. Этот дефицит особенно беспокоит SecOps – подсектор кибербезопасности, где стресс и выгорание уже стали обычным явлением.

Ставки для того, чтобы сделать это правильно, не могут быть выше. Речь идет не только о снижении риска финансового и репутационного ущерба, который может возникнуть в результате взлома, но и о соблюдении строгих нормативных требований. Директива ЕС NIS 2, в частности, требует нового строгого минимального набора стандартов безопасности и возлагает на высшее руководство личную ответственность за все, что считается грубой халатностью. Соблюдение подобных правил – это не просто требование закона. Это также жизненно важно для завоевания доверия корпоративных клиентов.

Там, где нынешние подходы не подходят,
операторы мобильной связи исторически концентрировали большую часть своих усилий по управлению киберрисками на собственных сервисных платформах. Но хотя это будет (и должно) оставаться ключевым приоритетом в будущем, им также необходимо расширить свое внимание в сторону пользовательской плоскости. Почему? Потому что именно здесь сегодня сосредоточена большая часть рисков, поскольку злоумышленники нацелены на пользовательские данные и подключение к менее доверенным доменам, таким как облака, центры обработки данных и периферийные вычисления.

Проблема заключается в том, что существующие подходы SecOps в значительной степени не подходят для этой эволюции стратегии. Они часто основаны на нескольких точечных решениях от разных поставщиков, что может создавать пробелы в видимости и автоматизации, снижая эффективность и увеличивая вероятность появления «слепых зон» угроз. Они также могут быть отключены от базовой инфраструктуры безопасности. Это имеет несколько последствий. Это ограничивает ценность таких инструментов, поскольку они, как правило, носят общий и менее специализированный характер. И это может увеличить время обнаружения и реагирования, а это означает, что операторы мобильной связи не смогут соблюдать свои соглашения об уровне обслуживания (SLA).

Под давлением аналитики центра управления безопасностью (SOC) уже пытаются расставить приоритеты угроз в условиях перегрузки оповещений. Разрозненные, неродные инструменты только увеличат вероятность ошибок, поскольку они стремятся как можно быстрее обнаруживать, сдерживать и устранять угрозы.

Пришло время объединиться.
Вместо этого операторам необходимо сосредоточиться на оптимизации операций по обеспечению безопасности. Отказавшись от точечных решений и объединившись на изначально интегрированной платформе, операторы мобильной связи могут перейти от обнаружения и реагирования к «обнаружению и нарушению», а затем к «расследованию и реагированию». Это ускорит среднее время сдерживания и позволит аналитикам SOC быстрее и проще изменять политику безопасности в ответ на атаку или изменение соглашений об уровне обслуживания. Такая платформа будет сосредоточена на проверке потоков трафика по периметру сети, который становится все более динамичным, для смягчения угроз, исходящих от периферийных вычислений, публичного облака и других сторонних сред.

Он также будет разумно использовать ИИ для достижения лучших результатов – например, машинное обучение для обнаружения моделей атак, которые человеческие глаза не видят, и генеративный ИИ (GenAI) для улучшения управления инцидентами SecOps и поиска угроз. Это позволит командам не только обнаруживать и реагировать, но и устранять угрозы, а также поможет аналитикам устранять пробелы в навыках в этом процессе.

Само собой разумеется, что любая платформа SecOps, используемая сообществом MNO, должна быть спроектирована для обнаружения угроз, специфичных для данного сектора. К ним могут относиться мошеннические базовые станции, мобильные бот-сети и аномалии роуминга.

Пример платформы Fortinet Security Operations

Минимизируйте риски и увеличьте прибыль.
Повышение эффективности SecOps таким образом имеет решающее значение по двум причинам. Это поможет операторам мобильной связи избежать потенциально дорогостоящих последствий серьезного нарушения безопасности. Средняя стоимость утечки данных в этом секторе в прошлом году составила 3,9 миллиона долларов, хотя сбои в работе программ-вымогателей могут повлечь за собой расходы во много раз выше. Но что не менее важно, проведение целенаправленных и эффективных операций по обеспечению безопасности может помочь усилиям по монетизации в период продолжающихся макроэкономических препятствий для многих операторов мобильной связи.

Благодаря улучшенному обнаружению угроз, сбоям, реагированию и устранению угроз операторы могут заверить корпоративных клиентов в безопасности своей платформы, что побуждает их инвестировать в большее количество услуг. Они могли бы даже повысить ARPU, предложив в качестве дополнительной опции управляемые услуги, связанные с безопасностью. Пришло время операторам связи по-новому взглянуть на SecOps.