Les réseaux 5G publics, les réseaux 5G privés, les surfaces d’attaque plus larges et les environnements plus complexes ajoutent des couches supplémentaires de vulnérabilité, selon un expert.

Karen Roby de TechRepublic s’est entretenue avec Curtis Simpson, RSSI d’Armis, un Internet des objets (IoT) société de sécurité, à propos des problèmes de sécurité avec 5G. Ce qui suit est une transcription révisée de leur conversation.

Karen Roby: Nous parlons beaucoup de la 5G, bien sûr, et de toutes les différentes facettes de la technologie. Nous parlons aussi beaucoup de sécurité, mais pas autant des deux ensemble. En ce qui concerne la 5G et ses implications en matière de sécurité, de quoi vous préoccupez-vous le plus?

VOIR: Calendrier éditorial TechRepublic Premium: politiques informatiques, listes de contrôle, boîtes à outils et recherches à télécharger (TechRepublic Premium)

Curtis Simpson: Il y a en fait beaucoup de préoccupations ici. Pour en faire remonter quelques-uns, nous passons d’un type de réseau matériel géré de manière centralisée, construit et géré par des fournisseurs de télécommunications, à un réseau logiciel appartenant à la fois à des fournisseurs et à des entreprises.

En fait, nous allons voir des réseaux 5G privés interagir avec des réseaux 5G publics, mais voici le hic: pas pour les cas d’utilisation bénins. Avec la vitesse que la 5G va offrir, ce n’est un secret pour personne que dans le monde entier, nous développons et lançons rapidement le déploiement de villes intelligentes à très grande échelle, et ce n’est que le début. Nous atteindrons un point où une ville intelligente pourrait finalement être décrite comme une tonne d’appareils intelligents ou d’appareils IoT différents fournissant des services critiques et des services de qualité de vie, tous fonctionnant sur des réseaux 5G. En plus de cela, nous allons avoir des réseaux 5G privés construits par des entreprises et utilisés pour maintenir toutes sortes d’opérations internes, des fonctions critiques dans des régions éloignées du monde, etc.

Le défi, quand on regarde ce dernier en particulier, est que les professionnels de la sécurité sont aux prises avec la complexité de leurs environnements actuels. Ils n’ont même pas compris la multitude d’appareils IoT, les risques autour de ces appareils, les attaques contre les appareils IOT critiques. Maintenant, ces entreprises mettent en place des réseaux 5G privés avec des appareils uniques qu’elles n’avaient pas encore vus auparavant, sur des réseaux qu’elles n’ont jamais été responsables de la gestion, et ces réseaux interagiront avec d’autres réseaux publics. En plus de cela, de nombreuses expositions qui existaient dans les réseaux 3G et 4G existent toujours dans les réseaux 5G. Offrant la possibilité de suivre les utilisateurs, de déclencher des alertes de masse vers différents appareils, nous n’avons pas vu beaucoup d’exploitation de ces choses dans le passé. Il n’y avait pas nécessairement de raison de le faire, mais lorsque vous regardez les cas d’utilisation autour de ce qui fonctionnera sur les réseaux 5G, beaucoup de préoccupations sont présentes.

Karen Roby: Que doit-il se passer, quel type de collaboration doit être impliqué? Parce que la 5G est là, elle se déplace et les villes intelligentes évoluent rapidement. Tout cela se passe si vite.

VOIR: L’avenir de la 5G: projections, déploiements, cas d’utilisation et plus (PDF gratuit) (TechRepublic)

Curtis Simpson: Il est. Et nous devons être intelligents à ce sujet. Et vraiment, si nous regardons ce que nous devons faire, le facteur de base est que la sécurité doit être à la base des réseaux 5G privés et publics. Et lorsque nous pensons aux réseaux 5G privés, nous devons avoir le talent, les compétences, l’expérience pour construire ces réseaux de manière responsable, en toute sécurité, et nous devons prendre le temps de le faire. Ce n’est pas comme lorsque nous avons commencé à migrer vers le cloud là où nous le faisons, nous déplaçons simplement les charges de travail clés, les capacités clés dans le cloud, puis nous revenons à la sécurisation de ces clouds afin de pouvoir protéger ces charges de travail clés, et services et solutions efficaces. Nous ne pouvons pas faire ce que nous avons toujours fait. Nous construisons toujours la valeur sécurisée ou commerciale d’abord, puis sécurisée plus tard.

La réalité ne peut pas être vraie ici. Si c’est vrai ici, qui en paiera le prix? Parce que nous n’aurons pas les ressources nécessaires pour construire en toute sécurité ces réseaux, gérer ces réseaux en toute sécurité, surveiller ces réseaux, comprendre quand les choses deviennent potentiellement malveillantes par rapport à agir encore normalement, et celles-ci exécuteront des fonctions critiques à la fois au sein de nos entreprises et en tant que nous pensons aux villes intelligentes, nous parlons actuellement de la perturbation potentielle des vies humaines. À la fois la qualité de vie et un impact réel sur la vie, de sorte que les gens pourraient mourir si nous n’introduisons pas la sécurité dans la base, ce qui signifie également que nous ne pouvons pas intrinsèquement prendre les appareils IoT que nous pourrions introduire chez nous aujourd’hui et les introduire également dans une entreprise et puis déposez-les simplement dans les réseaux 5G qui alimentent les villes intelligentes ou les capacités commerciales clés.

Le défi est que ces appareils n’ont pas été construits avec la sécurité à l’esprit. Nous devons construire les réseaux et les appareils en gardant à l’esprit la sécurité, ce qui signifie que nous devons collaborer avec les fabricants, nous devons avoir les bons talents qui construisent ces réseaux, activent ces appareils, configurent ces appareils avec des partenariats. , avec ces fabricants. La sécurité doit être partout, toujours et depuis le tout début.

Karen Roby: Dans quelle mesure la compréhension que c’est ainsi que cela doit être est-elle répandue, Curtis? Est-ce quelque chose où il y a des gens comme vous qui essaient de crier depuis le toit, “Hé, tout le monde. Nous devons comprendre que cela doit en être la base ou nous allons faire face à des répercussions incroyablement tragiques.” Ou est-ce quelque chose que vous ressentez en tant que communauté, et les RSSI comme vous, et d’autres, les fabricants, sont en quelque sorte tous d’accord avec cela. Jusqu’où est l’acceptation?

VOIR: Ingénierie sociale: une aide-mémoire pour les professionnels (PDF gratuit) (TechRepublic)

Curtis Simpson: Il y a un général autour de ce que je dis. La préoccupation que j’ai est ce que nous avons vu historiquement, c’est que si une entreprise a besoin de prendre certaines mesures de son point de vue pour rester viable ou pour pénétrer un certain marché dans un laps de temps donné, là encore, la pensée ou la stratégie a toujours été, allons-y, puis soucions-nous de l’optimiser à l’avenir. Je crains que nous ne recommencions. Et en faisant cela, nous allons payer le prix, puis nous devrons apprendre de ceux qui ont payé le prix, puis revenir en arrière et faire ce travail. C’est la préoccupation générale.

Je crains également que les praticiens de la sécurité soient fatigués en ce moment. C’est une conversation très courante dans l’espace en ce moment parce que les environnements sont devenus plus complexes, les budgets sont ce qu’ils étaient, la tête compte ce que c’était. Nous n’avons pas migré vers le cloud, nous avons ajouté le cloud. Nous ne passons pas à la 5G, nous ajoutons la 5G. Nous devons être attentifs ici au fait que nous créons une surface d’attaque entièrement nouvelle en plus d’un nouveau plan d’affaires. Et nous allons devoir financer cela, nous allons devoir lui donner le temps dont il a besoin, nous allons devoir vraiment prendre cela au sérieux. Et je pense que plus nous pouvons faire pour nous assurer que les PDG et autres qui prennent certaines de ces décisions à l’appui de la stratégie commerciale comprennent vraiment que la sécurité est à la base de cela. Et nous devons nous assurer que nous responsabilisons et apportons à nos RSSI l’énergie dont ils ont besoin pour lutter contre ce combat et porter ces messages au sommet.

Karen Roby: Que doivent faire d’autre les RSSI? Je suis sûr que beaucoup d’entre eux, la plupart sont débordés en ce moment.

Curtis Simpson: Ils le sont absolument. Et ils ne peuvent pas assumer cela en termes de compréhension du risque, de stratégie de gestion du risque, de construction d’opérations et de programmes, et de déploiement d’outils autour de tout cela, en plus de tout ce qu’ils font aujourd’hui. Telle est la réalité. Ils ne peuvent tout simplement pas. Ils vont basculer. Cela signifie que, lorsque nous examinons cela à la fois au sein des entreprises, car nous mettons en place des réseaux 5G privés et consommons des capacités 5G, nous avons besoin d’un personnel dédié. Nous devons examiner cela pendant que nous construisons un tout nouveau secteur d’activité ou que nous construisons un sous-groupe ou une sous-société entièrement nouveau au sein de notre organisation. Nous devons prendre cela tout aussi au sérieux du point de vue de la dotation en personnel avec des ressources dédiées pour faire cela correctement, et du financement de nouveaux effectifs supplémentaires pour être en mesure de gérer cet environnement de manière très mature et sûre à l’avenir. Parce que si nous faisons ce que nous avons toujours fait, en ajoutant simplement cela à l’infrastructure actuelle et aux équipes de sécurité, ce sera un problème.

Karen Roby: C’est la partie chic et amusante de parler de quelque chose. Avec la 5G depuis si longtemps, cela a été: “Oh, une latence plus faible et des vitesses plus rapides. Ça va être génial, génial, génial.” Mais sans cette fondation, comme vous l’avez mentionné, et les pièces à poser en premier, cela pourrait être désastreux.

Curtis Simpson: Ouais. Et nous parlons de réseaux entièrement nouveaux. En plus de cela, non seulement nous allons vers un réseau piloté par logiciel, mais nous allons vers un réseau piloté par logiciel qui repose en fait sur des protocoles et des méthodes de communication plus typiques, ce qui aggrave encore la situation car pas du tout perspective d’avoir les ressources pour comprendre cela, mais les attaquants ont maintenant un avantage qu’ils n’avaient pas nécessairement dans un environnement 4G. Donc, ils ont un avantage que nos praticiens et les gens qui construisent et sécurisent ces environnements ne le font pas, ils sont en retard, c’est pourquoi je dis que nous devons vraiment nous concentrer sur cela en tant que programme et soutenir cela et financer cela comme un programme, avec la sécurité comme tout début de cette fondation.

Regarde aussi

Leave a Reply