Сучасна еволюція мобільного зв’язку привела телеком-галузь до розгортання архітектури 5G Standalone (SA). Проте технологічний перехід не відбувається миттєво. Оператори змушені підтримувати складні гетерогенні інфраструктури, де новітні cloud-native рішення співіснують із застарілими протоколами попередніх поколінь. Цей гібридний стан створює серйозні виклики для архітекторів інформаційної безпеки, оскільки вразливості legacy-сигналізації нікуди не зникають, а переносяться на нові технологічні пласти через механізми зворотної сумісності.
Спадщина нульової довіри: чому SS7 та Diameter залишаються відкритими дверима для атак
Протокол SS7 (Signalling System No. 7), розроблений у 1970-х роках, базувався на принципі абсолютної довіри між обмеженим колом державних операторів. У цій архітектурі не передбачалося автентифікації відправника сигнальних повідомлень чи шифрування транзитного трафіку. Сьогодні, коли доступ до сигнальної мережі через комерційних агрегаторів може отримати практично будь-хто, ця довіра перетворилася на критичну вразливість.
Протокол Diameter, розроблений для мереж 4G/LTE, мав розв'язати частину цих проблем шляхом обов’язкового захисту на транспортному рівні (IPsec або TLS). Проте він успадкував фундаментальну архітектурну ваду: Diameter так само довіряє повідомленням від суміжних мереж роумінг-партнерів. Якщо зловмисник компрометує прикордонний маршрутизатор або отримує доступ до IPX (IP Exchange), він може надсилати легітимні з технічного погляду запити безпосередньо в ядро мережі.
Згідно зі звітом ENISA Threat Landscape 2025, експлуатація застарілих сигнальних протоколів залишається критичним ризиком. Проаналізувавши 4 875 інцидентів безпеки за період з 1 липня 2024 до 30 червня 2025 року, фахівці ENISA виявили, що близько 53.7% постраждалих організацій класифікуються як критично важливі суб'єкти (essential entities) згідно з вимогами директиви NIS2. Це підкреслює системний характер атак на телеком-інфраструктуру.
Масштаб проблеми посилюється фінансовим тиском. За даними CFCA Global Fraud Loss Survey 2025, глобальні втрати від телеком-шахрайства сягнули приблизно 41.82 мільярда доларів на рік. Хоча ця сума охоплює різні види фроду, значна частина збитків генерується саме через експлуатацію вразливостей сигналізації, які дозволяють обходити системи тарифікації та здійснювати несанкціонований доступ.
Гібридний транзит: як вразливості 2G/3G/4G компрометують безпеку мереж 5G
Помилково вважати, що запуск 5G автоматично усуває ризики попередніх поколінь. Більшість мереж досі працюють у режимі Non-Standalone (NSA), де для керування з’єднаннями використовується ядро 4G (EPC) і протокол Diameter. Навіть за умови переходу на 5G Standalone (SA), де сигналізація базується на Service-Based Architecture (SBA), оператори не можуть повністю ізолювати нове ядро.
Основна загроза криється в механізмах сумісності:
- Downgrade-атаки (зниження покоління зв'язку): Зловмисник за допомогою активного радіообладнання (IMSI-catcher) може глушити сигнали 5G/4G, змушуючи пристрій абонента перемикатися на 3G/2G. У застарілому режимі захист 5G нівелюється, відкриваючи шлях до атак через SS7.
- Міжпротокольний транзит (Interworking): Для зв'язку між абонентами 5G та 3G/4G використовуються міжмережеві шлюзи (Interworking Function, IWF). Вони транслюють повідомлення HTTP/2 в Diameter або MAP/SS7. Без інтелектуальної фільтрації на шлюзі зловмисник може надіслати шкідливий SS7-запит, який конвертується у легітимне повідомлення для 5G-ядра.
За даними ITU Facts and Figures 2025, сьогодні приблизно дві третини населення світу користуються інтернетом. Така глобальна база користувачів робить транскордонні роумінгові з'єднання надзвичайно складними, а відмову від застарілих протоколів — тривалим перехідним процесом.
Анатомія сигнальних загроз: від перехоплення SMS до маніпуляцій з роумінгом
Практична експлуатація сигнальних уразливостей фокусується на векторах, що безпосередньо впливають на безпеку enterprise-клієнтів:
- Перехоплення SMS та обхід 2FA: Схема базується на надсиланні підробленого запиту MAP Update Location до домашнього реєстру (HLR). Мережа вважає, що абонент перебуває в роумінгу, і перенаправляє вхідні SMS (включно з одноразовими паролями) на підконтрольний зловмиснику комутатор.
- Атаки на доступність (DoS) через Diameter: Використовуючи інтерфейс S6a, зловмисники можуть надсилати повідомлення Cancel Location Request (CLR), що призводить до раптової де-реєстрації абонента. У масштабах промислового IoT це здатне паралізувати сегменти критичної інфраструктури.
- Шахрайство з підписками (Subscription fraud): Використовуючи маніпуляції з профілями абонентів, зловмисники створюють несанкціоновані облікові записи або підключають дорогі послуги, витрати за які лягають на легітимних клієнтів.
Архітектурний захист: роль SEPP та сигнальних фаєрволів у сучасній телеком-мережі
Для протидії цим загрозам архітектура безпеки оператора має будуватися на принципах багаторівневої фільтрації сигнального трафіку.
Основним інструментом захисту для legacy-сегментів є сигнальні фаєрволи (SS7/Diameter Firewalls). Вони повинні здійснювати глибокий аналіз стану сесій (Stateful Inspection) відповідно до рекомендацій GSMA FS.11 та FS.19, класифікуючи повідомлення:
- Category 1: Повідомлення, що мають надходити виключно з власної мережі (блокуються ззовні).
- Category 2: Повідомлення від легітимних роумінг-партнерів (перевіряються на відповідність локації абонента).
- Category 3: Транзитні повідомлення, які потребують складного кореляційного аналізу.
У мережах 5G Standalone стандарт 3GPP визначає новий обов'язковий елемент — Security Edge Protection Proxy (SEPP). Він діє на міжмережевому інтерфейсі N32, забезпечуючи взаємну автентифікацію (mTLS), шифрування на рівні прикладного протоколу та контроль цілісності повідомлень, що унеможливлює їх модифікацію посередниками.
Модернізація ядра: як безпечно перейти на cloud-native архітектуру
Перехід на 5G вимагає модернізації внутрішніх систем підтримки бізнесу та операцій (OSS/BSS). Операторам необхідний гнучкий інтеграційний шар, який безпечно об'єднує нові мікросервіси з legacy-базами даних та системами моніторингу трафіку.
Для проєктування таких інтеграційних рішень технологічний альянс Intecracy Group використовує платформу UnityBase (спільна розробка компаній альянсу, де InBase є ключовим, але не єдиним розробником). Платформа дозволяє створювати надійні системи для моніторингу інцидентів та управління даними оператора.
Для проєктів із високими навантаженнями (high-load) та підвищеними безпековими вимогами офіційно використовуються Enterprise (EE) або Defence (DE) редакції UnityBase. Завдяки єдиній моделі Domain metadata, платформа дає змогу оперативно розгортати захищені кабінети адміністраторів, налаштовувати гнучкі правила доступу на рівні рядків (RLS) та інтегруватися з ключовими СУБД (Oracle RAC, PostgreSQL, MS SQL Server). Вбудований механізм детального аудиту (audit trail) допомагає операторам забезпечити відстежуваність операцій, що є критично важливим для комплаєнсу з вимогами директиви NIS2.
Порівняльна матриця вразливостей та механізмів захисту сигнальних протоколів
| Протокол | Ключова вразливість | Метод захисту (Best Practice) |
|---|---|---|
| SS7 (Signalling System No. 7) | Відсутність автентифікації відправника запитів, можливість підміни ID. | Встановлення SS7 Firewall, фільтрація повідомлень Category 1/2/3 згідно з GSMA FS.11. |
| Diameter | Слабкість механізмів шифрування на транзитних вузлах, уразливість роумінгових з'єднань. | Впровадження Diameter Firewall, обов'язкове використання IPsec/TLS на інтерфейсах S6a/S9. |
| 5G SBA (HTTP/2 / JSON) | Складність захисту API, ризики несанкціонованого доступу до сервісів ядра. | Використання SEPP (Security Edge Protection Proxy) для міжмережевого обміну, взаємна автентифікація mTLS. |
Поширені питання
Як захистити SMS-авторизацію (2FA) клієнтів від перехоплення через SS7?
Для захисту від перехоплення SMS телеком-операторам необхідно впроваджувати сигнальні фаєрволи з підтримкою аналізу стану сесій (Stateful Inspection). Вони блокують нелегітимні запити Update Location, порівнюючи географічне положення абонента з його попередньою активністю. З боку enterprise-клієнтів найдієвішим кроком є перехід від SMS-2FA до захищених push-повідомлень або апаратних токенів (FIDO2).
Яка роль Security Edge Protection Proxy (SEPP) у забезпеченні безпеки 5G роумінгу?
SEPP виступає єдиною точкою входу та виходу для всього сигнального трафіку між різними мережами 5G Standalone. Він забезпечує шифрування на рівні прикладного протоколу, перевіряє цілісність повідомлень і автентифікує суміжних операторів за допомогою взаємного TLS (mTLS). Це унеможливлює непомітну модифікацію транзитних пакетів і запобігає атакам типу Man-in-the-Middle на міжмережевих стиках.
Як вимоги директиви NIS2 впливають на операторів зв'язку в контексті сигнальної безпеки?
Директива NIS2 класифікує телеком-операторів як критично важливі суб'єкти (essential entities). Це зобов'язує їх впроваджувати суворі архітектурні заходи управління ризиками, вести постійний моніторинг сигнального трафіку (зокрема через SS7/Diameter Firewalls), мати наскрізний аудит дій в OSS/BSS системах та оперативно звітувати про інциденти. Невиконання цих вимог загрожує фінансовими санкціями та репутаційними втратами.