■ 陕西 崔志军

编者按：随着移动互联时代的到来，不仅用户移动设备面临安全风险，为设备提供网络支持的电信运营商也面临严峻的安全挑战。

电信运营商和服务提供商构成了现代社会中通信和商务的骨干。他们的网络和基站将互联网及依赖互联网的一切信息传递给全世界的个人、企业和各种移动设备，这种结构和技术的复杂性带来了巨大的安全挑战。

大型电信运营商提供后端数据中心、回程网络和基站，始终为用户的设备及其上的一系列应用提供连接。他们还提供许多营业厅，为广大个人及企业用户服务。

对于从电网到各种应用的爆炸式增长，这个遍布全球的行业为数十亿个端点提供了连接。一个普通的智能手机上可能有几十个应用。应用和设备中的后门及漏洞可能会带来更多挑战。

服务提供商还部署了许多应用程序——不仅支持电话、互联网和帐户服务，而且还支持许多其他面向客户的功能，而且后端可能有数百个应用支持这些服务的交付。

这些组件中的每一个都可能成为攻击者潜在的攻击点。由于该行业几乎涉及到每个人和每个组织，因此发生这些攻击的动机可能来自任何地方。某些攻击者的意图可能是服务中断，但其更多地会试图渗透到管理帐户中，并以此为跳板，更深入地渗透到最终目标网络中——最终客户——无论是个人还是大型企业。

近期德国的研究人员发现了现代LTE/4G设备中的漏洞，攻击者可以利用该漏洞模拟设备的所有者，访问帐户并下载任何未加密的信息。由于实施攻击的话，要求攻击者靠近目标，基于这一限制条件，因此大多数人不太可能受到该漏洞的影响。

但是，如果是出于间谍、网络战或经济利益的目的，能够非法获取具有敏感信息的高价值信息的话，那么攻击者就可能会尝试这一手段，通过使用受破坏的设备进入具有高价值信息的更大目标网络。

通过移动设备进行入侵的事件正在上升，但与其他类型的攻击相比，这种攻击仍然不那么普遍。来自F5 Labs的数据表明，在过去几年中，无论是客户还是电信运营商成为目标时，DDoS和暴力攻击都是电信行业最常见的攻击方式。针对电信运营商的DDoS攻击通常集中在服务、应用或IT基础架构上，通过耗尽带宽的方式达到破坏网络的目的。

访问和身份验证也是攻击者通过电信网络攻击更下游客户的常见方式，暴力攻击（Brute Force Attacks）是最常用于破坏客户或试图获取管理凭据的攻击，包括使用被盗的凭证进行凭证填充（Credential Stuffing）即撞库，尝试使用常见的弱密码，或者以自动化方式进行大规模猜解等。

即便在以上任何一种情况下，电信运营商可能都难以发现和应对攻击，以致于客户服务中断帐户被控制。

那么，电信行业应该如何捍卫这一庞大领域的网络安全？由于许多攻击被掩盖在流量激增或业务中断的表象之下，因此电信运营商必须具备根据预期条件分析异常流量的能力，然后在其网络服务日志中识别相应的垃圾请求。

在攻击深入目标网络之前，能够检测到登录尝试的次数激增，或网络查询错误的情况，或其他可疑流量的能力，是缓解攻击的最佳方法。

为了保护从后端到世界各地基站，再到用户设备的流量的安全，电信运营商还需要拥有高级防火墙的保护，这些防火墙能够检测更多LTE网络和该基础架构中的协议，包括诸如Diameter和SIP之类的信令协议。保护在该网络路径上的应用程序也很关键，因此也需要具备应用运行状况监测、WAF、Web访问控制及TCP优化的相关解决方案。

针对电信行业的关键信息基础设施的网络安全防护已经成为非常重要的工作，随着LTE网络的深入发展和即将到来的5G网络的普及，新的通信技术将更多的应用、数据和智能转移至与用户进行交互的网络边缘，电信运营商的网络安全风险只会越来越大。并且随着软件定义方式的不断拓展，也使得基于硬件设备的网络正在变成软件定义网络，很多应用都需要由服务提供商来支撑。

在新技术的发展带来的不确定性越来越大的时代，有一点是确定的——随之而来的安全风险将会越来越大，面临的威胁将会越来越多。

随着电信网络变得越来越普遍，基础设施变得越来越重要，价值越来越高，被网络犯罪分子恶意利用的机会也将越来越大。幸运的是，针对性的安全防御也在不断发展，并为这一关键行业提供强有力的支持。