El esquema de garantía de seguridad de equipos de red (NESAS) de la GSMA es un conjunto de requisitos de seguridad definidos para los procesos de desarrollo y ciclo de vida del producto de un proveedor de equipos.
Base de conocimientos sobre ciberseguridad 5G de GSMA
El esquema NESAS de la GSMA se rige por las disposiciones establecidas en FS.14FS.15y FS.16mientras que el alcance del esquema se ha restringido únicamente a asuntos relacionados con el desarrollo de proveedores y los requisitos de seguridad del ciclo de vida del producto.
El número de requisitos se mantiene relativamente pequeño para mantener los costos de evaluación razonables y centrarse en los controles críticos.
NESAS hace hincapié en la implementación de la seguridad desde el diseño a lo largo del ciclo de vida del producto y el desarrollo.
Además, cubriríamos el control de versiones, el seguimiento de cambios, la revisión del código fuente, las pruebas seguras, la educación del personal, el proceso de corrección de vulnerabilidades y la independencia de la solución de vulnerabilidades.
A continuación se explica la explicación técnica de los requisitos de seguridad 5G según GSMA NESAS:
Requisito 1 – Seguridad “por diseño”
El Producto de Red debe implementar seguridad desde el diseño a lo largo de todo el desarrollo y ciclos de vida del producto. Las decisiones de arquitectura y diseño deben tomarse con base en un conjunto de principios de seguridad que se rastrean a lo largo del ciclo de vida del producto y el desarrollo.
Los principios arquitectónicos de seguridad 5G incluyen separación de dominios, capas y encapsulación.. 5G Los principios de diseño de seguridad incluyen privilegios mínimos, minimización de la superficie de ataque, validación de parámetros centralizada y funcionalidad de seguridad centralizada, preparación para el manejo de errores y excepciones, y privacidad por diseño.
En la fase de diseño, se debe llevar a cabo un proceso de análisis de amenazas para identificar amenazas potenciales y medidas de mitigación relacionadas.
Requisito 2 – Sistema de control de versiones
Durante toda la vida útil de un Producto de red, el proveedor del equipo debe utilizar un sistema de control de versiones de hardware, código fuente, herramientas y entorno de compilación, software binario, componentes de terceros y documentación del cliente, garantizando la responsabilidad, autorización e integridad de todos los cambios. .
El objetivo es poder rastrear todos los elementos anteriores juntos en un Producto de Red terminado.
Requisito 3 – Seguimiento de cambios
El proveedor de equipos debe establecer un procedimiento de línea de productos integral, documentado y entre redes para garantizar que se gestionen y realicen un seguimiento de todos los requisitos y cambios de diseño que puedan surgir en cualquier momento durante el desarrollo y los ciclos de vida del producto y que afecten a los productos de red. de manera sistemática y oportuna adecuada a la etapa del ciclo de vida de todos los componentes del producto afectados en todos los Productos de red.
El objetivo es garantizar que todos los cambios se realicen de manera consistente a través del desarrollo de todos los componentes de Productos de Red afectados en todos los Productos de Red.
Requisito 4 – Revisión del código fuente
El proveedor del equipo debe garantizar que el código fuente nuevo y modificado dedicado a un Producto de red se revise adecuadamente de acuerdo con un estándar de codificación adecuado. Si es posible, la revisión también debe implementarse mediante la utilización de una herramienta de análisis de código fuente y automatización cuando corresponda. El objetivo es ayudar a reducir el riesgo de problemas de software que podrían introducir vulnerabilidades en el Producto de red. Un ejemplo de un estándar de codificación de mejores prácticas es Carnegie-Mellon, SEI CERT.
Requisito 5 – Pruebas seguras
Las pruebas de seguridad deben incluir la validación de la funcionalidad de seguridad, tanto pruebas positivas como negativas, así como pruebas de vulnerabilidad del Producto de red. Los productos de red deben probarse desde una perspectiva de seguridad dentro de una representación justa del entorno operativo. Las pruebas de vulnerabilidad comprobarán la solidez del Producto de red frente a entradas indefinidas/inesperadas. El objetivo es garantizar que se haya validado la funcionalidad de seguridad y que se detecten y mitiguen las posibles vulnerabilidades antes de entregar el Producto de red.
Requisito 6 – Educación del personal
Se debe proporcionar educación continua a todo el personal involucrado en el diseño, ingeniería, desarrollo, implementación, pruebas y mantenimiento de productos de red para garantizar que el conocimiento y la conciencia sobre cuestiones de seguridad relevantes para sus funciones estén actualizados. El objetivo es garantizar que todo el personal tenga conocimiento y conciencia de los asuntos de seguridad relevantes para su función, mantenidos en un nivel alto y constante.
Requisito 7 – Proceso de corrección de vulnerabilidades
El séptimo requisito del esquema NESAS exige que los proveedores de equipos establezcan un proceso para abordar las vulnerabilidades encontradas en, o en relación con, los productos de red lanzados, incluidos los componentes de terceros.
El proceso debe abordar las vulnerabilidades de manera adecuada y, si es necesario, se deben distribuir parches o actualizaciones de software a todos los operadores de redes móviles afectados de manera oportuna, según lo acordado en los contratos de mantenimiento existentes.
El objetivo es reducir el impacto de posibles vulnerabilidades en el producto de red y evitar que los componentes de terceros dejen de ser compatibles, no estén disponibles o sean vulnerables.
Este requisito es crucial para garantizar que las vulnerabilidades se identifiquen y traten con prontitud, reduciendo el riesgo de ataques maliciosos en la red.
Los proveedores de equipos deben tener una comprensión clara de las vulnerabilidades que pueden estar presentes en sus productos y un proceso de reparación que describa cómo abordarán estas vulnerabilidades.
Requisito 8 – Independencia de remedio de vulnerabilidad
El octavo requisito del esquema NESAS exige que los proveedores de equipos tengan la capacidad de proporcionar parches o actualizaciones de software que aborden las vulnerabilidades de seguridad independientemente de parches o actualizaciones de software no relacionados que modifiquen la funcionalidad del producto de red.
El objetivo es garantizar que las soluciones de seguridad puedan entregarse rápidamente e independientemente del cronograma de entrega funcional.
Este requisito reconoce la necesidad de un enfoque simplificado para la corrección de vulnerabilidades. Los proveedores de equipos deben tener la capacidad de proporcionar soluciones de seguridad independientemente de otras modificaciones o actualizaciones del producto de red, para que puedan entregarse de manera oportuna y eficiente.
Esto garantiza que el producto de red permanezca seguro, incluso cuando se introducen nuevas características y funcionalidades.
También reduce el riesgo de interrupción de la red causada por modificaciones o actualizaciones simultáneas.
Referencia: Referencia de seguridad de equipos de red GSMA