一、前言
工業(yè)和信息化部近日印發(fā)通知,部署做好2024年信息通信業(yè)安全生產(chǎn)和網(wǎng)絡(luò)運行安全工作。通知要求各有關(guān)單位著力完成強化思想政治引領(lǐng)、完善制度政策體系、增強安全預(yù)防能力、加強重點問題整治、緊盯關(guān)鍵環(huán)節(jié)場景、提升應(yīng)急處置水平、嚴格執(zhí)法監(jiān)督考核等七項重點任務(wù)。其中提升應(yīng)急處置水平要求建設(shè)通信網(wǎng)絡(luò)運行極端事故場景試驗驗證平臺,模擬網(wǎng)絡(luò)運行極端場景,開展測試驗證和模擬演練。
2023年10月,美國運營商Windstream遭受了一場前所未有的網(wǎng)絡(luò)攻擊,導(dǎo)致其60萬臺路由器遭受破壞,被迫“變磚”。此次攻擊者使用了僵尸網(wǎng)絡(luò)病毒Chalubo,該病毒專門針對辦公室網(wǎng)關(guān)和物聯(lián)網(wǎng)設(shè)備發(fā)動攻擊,導(dǎo)致大量用戶投訴Windstream路由器設(shè)備突然亮起紅燈并無法使用,用戶在聯(lián)系ISP客服后被告知,唯一的解決辦法是更換整個設(shè)備。
2023年12月12,俄羅斯秘密機構(gòu)發(fā)動大規(guī)模黑客攻擊,導(dǎo)致烏克蘭主要電信運營商中斷服務(wù)。此次攻擊的主要目標是最大限度破壞運營商的IT基礎(chǔ)設(shè)施,IT基礎(chǔ)設(shè)施嚴重受損,訪問受到限制,并且無法通過虛擬方式解決問題,只能通過物理方式切斷網(wǎng)絡(luò)的連接。
2024年1月5日,國際電信巨頭Orange的西班牙公司日前遭遇互聯(lián)網(wǎng)中斷,原因是黑客入侵了該公司的RIPE賬戶,篡改了邊界網(wǎng)關(guān)協(xié)議(BGP)路由和資源公鑰基礎(chǔ)設(shè)施(RPKI)配置。此次安全事故導(dǎo)致網(wǎng)絡(luò)中斷大約持續(xù)了3個小時。
博智電信網(wǎng)絡(luò)靶場針對電信網(wǎng)絡(luò)的特點,對網(wǎng)絡(luò)設(shè)備、協(xié)議、拓撲、流量和冗余方式等進行高仿真,通過“拖拉拽連線”的方式快速搭建通信網(wǎng)絡(luò)運行極端事故場景,模擬網(wǎng)絡(luò)極端事件,靶場包含試驗鑒定、應(yīng)急處置等多個功能模塊,支撐通信網(wǎng)絡(luò)極端安全事件的測試驗證和模擬演練。
二、靶場構(gòu)成
博智電信網(wǎng)絡(luò)靶場針對電信網(wǎng)絡(luò)特點完美仿真4G移動網(wǎng)、5G移動網(wǎng)、IP城域網(wǎng)、企業(yè)網(wǎng)等典型網(wǎng)絡(luò)環(huán)境。總體架構(gòu)如下圖所示:
三、電信網(wǎng)絡(luò)管里面、控制面和轉(zhuǎn)發(fā)面的脆弱性
博智電信網(wǎng)絡(luò)靶場可模擬仿真電信網(wǎng)絡(luò)協(xié)議和電信網(wǎng)元設(shè)備,根據(jù)電信網(wǎng)絡(luò)協(xié)議的脆弱性可自定義構(gòu)建各種電信模擬場景。
管理面的脆弱性包括權(quán)限分配和管理不當導(dǎo)致未授權(quán)訪問和敏感數(shù)據(jù)泄露、TELNET的明文傳輸、漏洞導(dǎo)致的命令執(zhí)行等;控制面協(xié)議自身的脆弱性如BGP、OSPF等可能存在設(shè)計上的缺陷如路由劫持;轉(zhuǎn)發(fā)面的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全防護能力不足,IPv4本身沒有提供內(nèi)置的安全性機制,如加密和認證,易受到攻擊和入侵。網(wǎng)絡(luò)擁堵、設(shè)備故障等問題可能影響轉(zhuǎn)發(fā)面的穩(wěn)定性和性能。
四、典型極端事故場景演練
極端事故場景演練按照應(yīng)急處置標準流程的準備、檢測、遏制、根除、恢復(fù)、跟蹤6個階段開展應(yīng)急演練,提高訓(xùn)練安全人員應(yīng)對極端事故安全事件時體系化的思維能力、過程的協(xié)同能力和技能的組合能力,提高組織對網(wǎng)絡(luò)安全事件的應(yīng)對能力,確保在遭受網(wǎng)絡(luò)攻擊或安全事故時能夠迅速、有效地做出應(yīng)對和恢復(fù)。
1、5G業(yè)務(wù)全堵事故場景演練
5G網(wǎng)絡(luò)故障導(dǎo)致5G業(yè)務(wù)全阻或部分業(yè)務(wù)全阻,但4G網(wǎng)絡(luò)正常,為保證終端業(yè)務(wù)可用,同時避免5G終端在故障網(wǎng)絡(luò)中反復(fù)嘗試造成系統(tǒng)雪崩,啟動5G業(yè)務(wù)全阻逃生方案,將全部5G接入用戶切換到4G網(wǎng)絡(luò)。演練過程由業(yè)務(wù)啟動、網(wǎng)絡(luò)故障、故障檢測、故障抑制、業(yè)務(wù)恢復(fù)、事故追蹤6個階段對事故處置過程預(yù)演,并對處置效果進行評估。
2、BGP路由劫持事件演練場景
2018年4月,黑客通過BGP劫持了亞馬遜DNS查詢,從而實現(xiàn)DNS劫持,將加密貨幣站點重定向到黑客控制的虛假釣魚網(wǎng)站。最后,黑客竊取了大約152,000美元的加密貨幣。
根據(jù)BGP路由選擇的最長前綴匹配原則,對這些IP段發(fā)起的DNS查詢都被劫持到了攻擊者所在的AS14297。攻擊者只對myetherwallet.com的查詢請求回復(fù)以虛假的IP地址(對其他域名的查詢請求則不予以回復(fù)),用戶對該網(wǎng)站的訪問流量被全部劫持到非法網(wǎng)站。如果用戶在該網(wǎng)站中輸入登陸信息(用戶名和密碼),攻擊者就會拿到這些登陸信息,并在真實的myetherwallet.com網(wǎng)站上使用這些信息,從而竊取受害用戶的數(shù)字貨幣。
