Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe

¿Experimentó una violación?

|
Contáctenos
|
+1 855 426 3983
Blog
/
Ciberresiliencia

Comprensión de los términos de cumplimiento de la UE: Telecomunicaciones-5G y más allá

Illumio Editorial
,
December 3, 2020
23 min. lectura

En primera parte de esta serie de blogs, analice el panorama del cumplimiento de normas y cómo cada una de las diferentes industrias tiene sus propios mandatos de gobierno u orientación sobre ciberseguridad. Esto fue seguido por un post sobre regulación y controles de seguridad en el sector de Sistemas Críticos y Tecnología Operacional, área en la que he tenido experiencia directa. A partir de ahí, discutimos el Reglamentación de servicios financieros presente en la UE. Por último, GDPR y Cyber Essentials/Cyber Essentials Plus como un conjunto de directrices del NCSC (Centro Nacional de Seguridad Cibernética del Reino Unido) sobre ciberseguridad.

Hoy, me concentraré en un área de rápido desarrollo para la seguridad: las telecomunicaciones y las plataformas de comunicación que construyen. 5G es el foco actual, por supuesto, pero la guía de seguridad y las leyes que se están implementando hoy establecen el escenario para el futuro más allá de 5G también.

La industria de las telecomunicaciones

En los últimos años, ha habido un cambio significativo en el enfoque dentro de la industria y el gobierno para analizar las implicaciones que tiene la débil seguridad en el negocio de las telecomunicaciones cada vez más importante. Parte de esto se refiere a implicaciones de tipo estado-nación de alto nivel. Por ejemplo, el uso de equipos de red de proveedores o países específicos en el “núcleo de paquetes”, la plataforma base a través de la cual se enrutan las llamadas y los datos. Esto demuestra la importancia que tienen estas redes para el futuro del mundo: cualquier compromiso potencial o puerta trasera que tenga incluso el más mínimo potencial de existir tiene ramificaciones de amplio alcance.

Esto también lleva a un enfoque en sistemas periféricos, organizaciones y proveedores. El NCSC en el Reino Unido, por ejemplo, primero se concentró en la cadena de suministro a la industria de las telecomunicaciones antes de pasar a la orientación y la ley sobre las propias redes 5G.

El Informe de revisión de la cadena de suministro de telecomunicaciones del Reino Unido, publicado en julio de 2019 a partir de un revisión inicial en 2018, dice que “la amenaza cibernética más importante para el sector de las telecomunicaciones del Reino Unido proviene de los estados”, pero también desaconseja la dependencia de un solo proveedor para todos los sistemas de soporte. Los riesgos de seguridad descritos incluyen:

  • La dependencia nacional de cualquier proveedor, especialmente de los que se consideren de alto riesgo;
  • Fallas o vulnerabilidades en equipos de red;
  • La amenaza 'backdoor': la incorporación de funcionalidad malign en el equipo del proveedor; y
  • Acceso administrativo del proveedor para proporcionar soporte de equipos o como parte de un contrato de servicios administrados.

El NCSC luego esboza la sensibilidad de seguridad variable de los diferentes tipos y funciones de red:

NCSC

Infraestructura 5G

A medida que las nuevas tecnologías de red como 5G maduran, las formas en que conectamos dispositivos y administramos estos sistemas conectados cambian fundamentalmente. 5G es algo más que un aumento de velocidad, con latencia enormemente reducida, confiabilidad y tiempo de actividad enormemente mejorados, y hasta 100 veces el número de dispositivos conectados para un área determinada. 5G permite el control directo de dispositivos IoT, control remoto en tiempo real de tecnologías como drones sin los problemas de latencia asociados con tecnologías anteriores, comunicaciones de vehículo a vehículo y mucho menos dependencia de la conectividad tradicional por alambre/wifi para sistemas críticos.

Ericsson

Los casos de uso permiten cambiar significativamente el modelo de seguridad resultante.

5G incorpora una serie de mejoras de seguridad integradas, como las descritas por Ericsson aquí. Las mejoras incluyen el cifrado de extremo a extremo con IMSI (International Mobile Subscription), también conocido como el Identificador Permanente de Suscripción (SUPI) en el lenguaje 5G.

Sin embargo, 5G es más seguro que una “infraestructura crítica” que las redes de telecomunicaciones específicas de datos anteriores. El énfasis en la confiabilidad, el tiempo de actividad y el control de los sistemas críticos, como los de los automóviles, significa que 5G es una pieza fundamental de infraestructura requerida en lugar del uso más entretenido y específico de datos de 4G. Esto se describe claramente en el siguiente diagrama de Ericsson:

5G

La sección de banda ancha móvil mejorada, incluida la conectividad de datos de teléfonos inteligentes, destaca los casos de uso 5G más obvios, pero debajo de eso ilustra toda una serie de comunicación de máquina a máquina.

En la parte inferior, vemos sistemas industriales críticos, seguridad del tráfico, etc., todos utilizando 5G para la comunicación directa en lugar de redes a medida para cada propósito.

Orientación — luego ley

Desde la revisión inicial de la cadena de suministro, el NCSC en el Reino Unido se movió por primera vez revisar la seguridad para el sector de telecomunicaciones del Reino Unido.

Esto encontró que “la mayoría de los vectores de ataque de mayor puntuación encajaban en una de las siguientes cinco categorías:

  • explotación a través del plano de gestión de los operadores
  • explotación a través del plano internacional de señalización
  • explotación de redes virtualizadas
  • explotación a través de la cadena de suministro
  • pérdida de la capacidad nacional para operar y asegurar nuestras redes (dependencia)”

A partir de aquí, el rápido desarrollo fue entonces el retiro del Sistema de Aseguramiento de Telecomunicaciones anterior - CAS (T), y la redacción del Requerimientos de Seguridad de las Telecomunicaciones (TSR) orientación con una remite diferente.

Esta aún se encuentra actualmente en proyecto, pero se sabe que contiene requisitos específicos en las siguientes áreas:

  • Comprender la superficie de ataque de los sistemas dentro del alcance
  • Minimizar el impacto de un ataque, a través de la reducción de la conectividad y, por lo tanto, del movimiento lateral
  • Segmentación sólida de las áreas centrales y de administración

Por último, hemos visto pasar requisitos relacionados a una ley recién acuñada: la Proyecto de ley de seguridad de telecomunicaciones.

¡Es mucho para cubrir! Como se mencionó a lo largo de esta publicación, el desarrollo de estos nuevos conjuntos de directrices, leyes y revisiones se está llevando a cabo muy rápidamente: desde revisiones básicas hasta leyes reales dentro de dos años en el Reino Unido.

En la Unión Europea en general, estamos trabajando desde los mucho más antiguos Artículo 13 A de la Directiva 2009/140CE, parte de la más amplia Paquete de telecomunicaciones ENISA. Escrito en 2009, esto aún no toma en cuenta los muchos casos de uso y escenarios adicionales en torno a 4G y 5G, aunque todavía incluye puntos (relativamente vagos) como:

“Los Estados miembros velarán por que las empresas proveedoras de redes públicas de comunicaciones o servicios de comunicaciones electrónicas disponibles al público tomen las medidas técnicas y organizativas adecuadas para gestionar adecuadamente los riesgos que representan para la seguridad de las redes y los servicios. Teniendo en cuenta el estado de la técnica, dichas medidas garantizarán un nivel de seguridad adecuado al riesgo que presente. En particular, se tomarán medidas para prevenir y minimizar el impacto de los incidentes de seguridad en los usuarios y las redes interconectadas.”

Podemos esperar ver actualizaciones significativas a esto para que esté en línea con la orientación, como la del NCSC.

En conclusión

La rápida escalada del análisis, la orientación y la ley subsiguiente que el proceso NCSC describe en el Reino Unido muestra la enorme superficie potencial de ataque y las implicaciones que trae un paso a las telecomunicaciones respaldadas por 5G, junto con las claras ventajas en muchas áreas de la vida. Hemos visto un número creciente de proyectos relacionados dentro de la industria como resultado de la rápida mejora y la orientación específica disponible.

En Illumio, hemos participado en una serie de proyectos de telecomunicaciones y hemos ayudado con los requerimientos de visibilidad y segmentación que requieren estos entornos de infraestructura críticos y complejos.

Para conocer el enfoque de Illumio para la microsegmentación, consulte:

Temas relacionados

Cumplimiento de normas
Microsegmentación

Artículos relacionados

Protección de los activos de Crown Jewel: ¿Cuál es su plan de acción?
Ciberresiliencia

Protección de los activos de Crown Jewel: ¿Cuál es su plan de acción?

¿Cómo construye un caso de negocio sólido y un plan de acción práctico para asegurar sus 'joyas de la corona' y evitar lo impensable?

Leer más
Por qué la seguridad tradicional en la nube está fallando y 5 estrategias para solucionarlo
Ciberresiliencia

Por qué la seguridad tradicional en la nube está fallando y 5 estrategias para solucionarlo

Descubra por qué las herramientas de seguridad tradicionales no pueden proporcionar la seguridad flexible y consistente que se necesita en la nube y cinco estrategias para construir una seguridad moderna en la nube.

Leer más
La guía completa de Illumio en la Conferencia RSA 2024
Ciberresiliencia

La guía completa de Illumio en la Conferencia RSA 2024

Visita a Illumio en el stand N-54670 del 6 al 9 de mayo en San Francisco en el Moscone Center North Hall.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información