5G 网络中的 XDR

…………w…ww….ab…irese…arc…h.co…m… …………………………… 5G网络中的XDR：通过通用AI1增强TELCO安全 5G网络中的XDR：通过通用AI增强TELCO安全性 MichelaMenting，高级研究总监 CONTENTS XDR向5G网络的扩展：XDR迎接5G1 XDR的好处……………… …………………………… …………………………… …………………………… ……………………………Ge…n…AI…tot…he…Re…scu…e…：…利用…L…LM…增…强…5G…XD…R.…..4…………… ……………………………人…工…智…能…与机…器…学…习…在自…动…化…检…测…与响应中的作用................. ............4利用通用人工智能解 决痛点.4L LMs如何成为5G时代XDR的变革者........................................... ......5展望未来.......................... ....................6 通过诺基亚XDR安全加强5G安全………………………… …7 利用诺基亚的GenAI助手增强 SOC分析师能力…………… ……………………………N…et…Gu…ard…网…络…安全…圆…顶…的…模块…化…和…灵…活…性。………………… …………………………… …………………………… XDR扩展到5G网络：XDR满足5G 网络安全技术持续进化并提升，扩展检测与响应（XDR）世界应运而生，面对不断扩大的威胁环境。至关重要的是，网络安全创新也迅速扩展到非传统信息技术（IT）市场，如电信领域。很大程度上，新的5G架构推动了对如何最有效地实施和部署安全措施的重新思考，提供了利用最新技术如XDR的机会。 XDR的优势XDR采用了一种全面且集成的方法来管理威胁。作为解决方案的优势在于其能够从基 础设施的不同来源收集、查看和关联遥测数据，包括终端、网络、云平台、应用程序等。拥有全局视角提供了丰富的信息，可以描绘出电信公司在任何时刻的网络安全态势更为准确的画面。 强调这一过程的是人工智能（AI）和自动化的大规模应用，它们如今成为了威胁调查中的核心驱动力。这些技术促进了有效且及时响应的协调，使XDR尽可能接近实时状态，以最小化攻击窗口；这一点在特别关键的5G任务型应用中尤为重要。 XDR功能的一个优势在于，数据分析可以与安全框架对齐，由最终用户自定义或依据行业标准进行定制。在这方面，MITREFiGHT安全矩阵中针对5G系统的对手策略和技术，非常适合电信XDR部署。 5G的要求 5G的特性 尽管革命性，XDR仍植根于IT世界，为了全面服务于5G网络，它必须理解5G的特异性。实施XDR已经需要与现有的IT和安全工具进行复杂的整合。对于5G而言，需要学习不同的基础设施，覆盖核心、传输和无线接入网络（RAN）；所有这些都各自具有独特性和复杂性。 葡萄牙沃达丰在2022年2月遭遇了大规模DDoS攻击对其基础设施的打击，导致其4G /5G网络出现广泛的服务中断，影响了470万客户在48小时内的服务。 基于软件架构的5G核心将承载云网络功能（CNFs）、容器和开放应用程序编程接口（APIs）。在5G核心中使用的CNFs计算密集且比传统环境更为复杂，拥有大量的中央处理器（CPU）循环 ，这可能影响服务质量。此外，5G中的网络功能虚拟化（NFV）理想情况下应避免使用内核，因为其开销可能对网络性能产生重大影响。RAN可以以分布式、云或基于开放接口（O-RAN）等多种方式实现。移动边缘计算（MEC）将计算能力分布到不断增多的用户设备。网络切片可以创建自定义拓扑和生命周期各异的切片。这些技术代表了与XDR传统操作空间显著不同的领域。 电信威胁5G环境在传统企业网络的基础上呈现指数级复杂性，将大型电信基础设施和流程与新的开放IT架构相结合。这无疑会在5G领域引入新的IT威胁途径。此外，5G非独立组网（NSA）连接了之前的移动通信代际，意味着过去的移动通信威胁将迁移到新的5G无线网络中。 5G网络架构在安全方面引入了根本性的新挑战 UE 数量和类型UE的快速增加 5G无线电 5GRAN引入 分布式RAN,CloudRANandO-RAN Edge 5G核心 分布式计算能力 5G与许多第一SBA， 更接近UE和更多的位置与开放的API，容器 特定安全需求 生态系统(NEF) eMBBsliceAR切片工业切片 M2M切片 SBA总线(HTTP/2) PCF RU DUCU SEPP AMF RUDU/CU SCPSMFNRFNSSFAF UPFUPF V2C切片 RU/DU/CU 云 SDN/NFV UDSF UDR NEF UDM •UE受损 •信号风暴 •恶意软件 •Bot劫持 •基于服务的架构和切片资源共享增加了安全复杂性！ •信号平面上的DoS攻击 •用户身份盗窃 •主动/被动窃听 •能力暴露API攻击 •Man-in-the-middleattack•分布式体系结构提高 •配置黑客入口点的数量! •IP欺骗•劫持攻击 •扫描攻击•TCP级别攻击 •跨域 •Crossvendor •Operations/automation •SLA相关充电 •Orchestration •… 威胁 响应 ©2023诺基亚Confidential 在2022年，澳大利亚Optus公司成为了高调数据泄露的目标，泄露了1000万客户的人个信息。威胁行为者利用API漏洞获取了网络和客户信息的访问权限。 这些现有的电信威胁大多主要针对信令平面：例如，利用通用分组无线服务（GPRS）隧道协议的恶意软件GTPDOOR、允许中间人攻击窃听用户和网络数据的Diameter和SS7协议已知漏洞、对信令平面的分布式拒绝服务（DDoS）攻击以及控制信令的激增导致的信令风暴；所有这些已经在5G网络中显现。除此之外，新的威胁将越来越多地专注于利用漫游接口、网络功能和API，随着它们的应用日益增加。 5G作为关键基础设施的作用 对电信基础设施的威胁一直存在，虽时有减弱，但随着许多新的5G架构特性源自IT环境，攻击预计将显著增加。这提出了严重的问题，尤其是因为电信网络作为国家关键基础设施的一部分的本质。电信运营商在社会及其服务的众多行业中扮演着决定性角色。更重要的是，5G的发展旨在连接越来越多的企业和服务，进一步巩固了它们作为现代互联社会基本构建块提供者的角色。电信网络中断或性能下降会对整个国家产生严重的负面效应，可能造成经济破坏、物理损害，甚至危及生命。 5G特定标准和法规 因此，电信领域高度标准化和受监管。在5G标准开发阶段，利益相关者共同努力，在新架构中整合安全机制，这在以往的任何蜂窝通信代际中都更为突出。在《第三代合作伙伴项目》（3GPP ）内部，专门成立了TSGSAWG3（SA3）工作小组，负责定义5G的安全和隐私相关协议及其他要求。这些措施包括信令加密与完整性、用户设备与网络之间的相互认证，以及通过隐藏手段保护用户身份等其他措施。 除此之外，5G网络的重要性已被各国政府日益认识到，这导致了新的法规加强电信网络的安全保障 ，例如在许多欧盟国家、北美和亚太地区。 标准和法规都涉及合规性，这在不同地区（对于法规）和部署模型（对于标准）上可能会有很大差异。对于某些安全要求，虽然可以选配部署，但集成是强制性的。 ABI研究预计，在2024年至2028年的部署期间，电信安全应用中的通用人工智能（GenAI）将经历爆炸性增长，随着移动网络运营商采纳这项技术，其年复合增长率 （CAGR）将达到33 6%。 因此，XDR必须适应 这对于XDR解决方案意味着什么呢？很大程度上，它将要求对现有的商业XDR解决方案进行重大调整，其中许多设计初衷是为了适应企业IT网络。XDR解决方案不仅需要理解5G非常不同的架构，还需要学会识别由此基础设施带来的特定威胁和脆弱性，同时考虑到5G安全的独特标准需求，并且考虑到该领域日益增多的监管措施。 因此，电信为中心的XDR必须被精心设计，并且作为与现有XDR截然不同的独立解决方案进行定位，而不是其扩展。它不可避免地带来了不同的功能，以及不同用户群体的主导——移动网络运营商（MNOs）。 很大程度上，移动网络运营商（MNOs）使用XDR解决方案主要是作为安全运营中心（SOC）的一部分。网络运营中心（NOCs）首次扩展到电信领域以优化业务转型，如今正在演变为NOC/SOC融合，新的5G需求在基础设施的安全性和隐私性方面提出了新要求。随之而来的是，电信公司能够利用这些SOC为商业客户提供安全服务。XDRs，尤其是面向电信的XDR解决方案，是增强5GSOC能力的关键。 利用AI进行威胁检测的优势之一是可以自主启动威胁分析并动态调整威胁评分，这些评分可以用来评估特定威胁的严重性。 LLM通过检测细微的模式和简化复杂的数据来协助安全分析师进行威胁管理。 GENAI前往救援：利用LLMS来增强5GXDR AI和ML在自动检测和响应中的作用 XDR的核心原则之一是聚合和关联来自众多来源的遥测数据——在5G网络中可能有数十万之多。数据点的数量远超现有企业IT网络。因此，人工智能和机器学习（ML）对于及时识别并应对威胁至关重要。它们可以实现更快的威胁检测，理想情况下实时进行，并通过自动化脚本启动一系列标准化响应，针对常见且广为人知的攻击。 例如，利用AI进行威胁检测的一个优势是可以自主启动威胁分析，动态威胁评分常被用于此目的以评估特定威胁的严重程度。评分系统能够快速有效地传达优先级，并触发适当的响应机制。这些技术可以极大地帮助简化响应流程。 然而，传统的AI和ML存在局限性。例如，获取用于训练能够执行准确威胁评分并减少误报噪音的模型的高质量标记数据始终是个问题。此外，对于任何异常的高级警报或事件，仍需要人工干预，而对于5G网络，这可能是绝大多数的情况，因为威胁景观的大部分都是未知的。当然，作为关键基础设施，电信网络将会有更高的手动监督实例，因为错过的威胁可能会导致服务中断或故障。 用GenAI求解绘制点 增强XDR的机器学习（ML）威胁检测与响应能力最有前景的技术之一是通用人工智能（GenAI），特别是大型语言模型（LLMs）。作为一项快速成熟的科技，它在数据获取和分析方面具有显著优势，能够促进更为全面且迅速的情况评估，快速提出合适的缓解策略，并提升自动化响应机制。 LLMs特别适用于在各种数据（包括未标记数据）中发现新模式，因此极大地提高了异常检测的效果。而XDR通过聚合和关联来自众多不同来源的数据，与LLMs结合时尤其有用，能够提供对网络每个方面的深入洞察，从而形成丰富的训练模型的数据集。 在特定领域（如电信领域的网络安全）进行训练时，LLM表现尤为出色，复杂模式识别的准确性显著提高。正是这种独特的上下文理解能力使LLM与倾向于更多关注模式匹配的传统机器学习方法区分开来，后者往往会导致误报和过拟合问题。 情境理解使LLM能够真正理解模式中的细微差别，而不仅仅是将它们与已知集合进行比较。它可以从这些模式中推导出意义，并利用这些信息在攻击的不同方面（如向量或起源）上创建新的信息，从而实现新颖的威胁检测。这特别适用于威胁模拟场景。 但在响应机制方面，LLM（大型语言模型）真正使XDR（高级检测和响应）系统得以提升。不仅因为LLM✁核心能力在于处理自然语言，它还能将机器语言（如日志和API调用功能）转化为自然语言。作为复杂且多样✁网络安全工具（例如安全信息与事件管理（SIEM）、入侵检测系统（IDS）/入侵预防系统（IPS）、安全编排、自动化与响应（SOAR）、防火墙等）之间✁中介，LLM能够简单地将这些信息传达给分析师。 例如，考虑基于网络上下文理解进行动态威胁评分✁情况。在确定威胁时进行更深入✁分析可以产生更有意义✁层