La participación del centro de investigación i2CAT en el proyecto CICERO se centra en diversas áreas clave de la ciberseguridad. Una de estas áreas está relacionada con las redes 5G desplegadas siguiendo la arquitectura O-RAN. Debido a su naturaleza, este tipo de arquitecturas suponen un reto, pero también una oportunidad para mejorar la seguridad en redes celulares 5G y el futuro 6G. En este artículo detallamos estos aspectos, así como los principios de las soluciones que están siendo desarrolladas por i2CAT en el marco del proyecto CICERO.
Arquitectura O-RAN y ciberseguridad
Las redes celulares Beyond-5G (B5G) y la futura 6G, especialmente en el contexto de la arquitectura O-RAN, presentan importantes desafíos en materia de seguridad. El ecosistema ha aumentado la superficie de ataque con la adopción de conceptos como la desagregación del acceso radio, la virtualización y softwarización, la definición de interfaces abiertas y la implementación de inteligencia distribuida y automatizada. Esto no solo mantiene amenazas tradicionales sobre la capa de señalización de la red radio, como las Fake Base Stations (FBS) o los ataques de Denial of Service (DoS), sino que también introduce nuevos vectores de ataque dirigidos a la infraestructura virtualizada, a los componentes e interfaces de O-RAN, como los RAN Intelligent Controllers (RICs), a las aplicaciones de optimización desplegadas en ellos (rApps y xApps), y a los datos utilizados en la toma de decisiones. Además, el uso de despliegues multi-fabricante que promueven O-RAN y 3GPP, en contraste con los sistemas cerrados y controlados por un único proveedor que predominaban en generaciones anteriores y que aún persisten en la actualidad, ha aumentado la complejidad y requiere de soluciones que se adapten a este desafío.
No obstante, la arquitectura O-RAN también ofrece oportunidades para fortalecer la seguridad. El grupo de trabajo 11 de la O-RAN Alliance, focalizado en la seguridad, ha especificado amenazas en esta arquitectura y mecanismos para mitigarlas, basados principalmente en el concepto de Zero Trust. Así, uno de los puntos clave es la aplicación de sistemas de monitorización continua, que aprovecha las capacidades de los interfaces abiertos definidos por O-RAN, permitiendo detectar y responder a amenazas de manera más eficiente. Además, la integración de aplicaciones especializadas (rApps y xApps) facilita el análisis de los datos monitorizados para la generación de analíticas avanzadas y alertas, y la aplicación de mecanismos de mitigación proactivos. Este enfoque es considerado por CICERO con el objetivo de obtener una arquitectura flexible y modular que se adapte a los actuales y futuros retos de seguridad en O-RAN.
Solución CICERO
Partiendo de la identificación de amenazas relevantes en las redes actuales, tanto a nivel de radio como de infraestructura virtualizada, se ha identificado la señalización que se debe monitorizar para poder implementar una solución basada en red. Esto es, que no requiera de elementos externos, como analizadores de señal, para detectar las amenazas, sino que base la detección en los datos monitorizados y existentes de forma común en la red. El objetivo es obtener una solución práctica que no suponga cambios en la infraestructura de red habitual. Estos datos, en forma de métricas y logs, se recogen mediante soluciones de observabilidad, y se almacenarán y expondrán en un formato común independientemente del fabricante, facilitando su posterior análisis. Para ellos se utilizarán soluciones de tipo SIEM (Security Information and Event Management) y TSDB (Time Series Databases). Las rApps de seguridad implementadas por CICERO, específicas para cada tipo de ataque, serán desplegadas en el Non-Real-Time RIC, y realizarán un análisis continuo de estos datos, buscando signos de amenaza. Como resultado, se podrán generar alertas o mitigaciones, por ejemplo, mediante políticas de seguridad enviadas a las xApps en el Near-Real-Time RIC. Adicionalmente, en CICERO también se investiga la orquestación de estas rApps y xApps de seguridad, evaluando si su despliegue se podría automatizar también en base a los datos de la red.
Resultados esperados
i2CAT ha desplegado un banco de pruebas compatible con O-RAN utilizando la solución de radio virtualizada de srsRAN. En este despliegue experimental, se integrará la arquitectura de monitorización, detección y posible mitigación especificada en CICERO, focalizándose en evaluar las prestaciones de la arquitectura frente a amenazas específicas de la parte radio e infraestructura virtualizada. Estas amenazas, si bien serán emuladas por software, se basarán en ataques reales como Denial of Service o Fake Base Stations. En este sentido, la colaboración de i2CAT con Vodafone I+D en el ámbito de la seguridad en O-RAN resultará clave para evaluar las ventajas y desventajas de la solución ideada, analizando la viabilidad de su aplicación en las futuras redes O-RAN.
Proyecto (CER-20231019) reconocido como Red de Excelencia CERVERA, financiado por el Ministerio de Ciencia e Innovación a través del Centro para el Desarrollo Tecnológico Industrial (CDTI), con cargo a los Presupuestos Generales del Estado 2023 y el Plan de Recuperación, Transformación y Resiliencia.