Oleh: Derek Handova, Penulis Teknis Senior di Synopsys Software Integrity Group
Generasi kelima (5G) teknologi telepon seluler ada di depan kita. Anda hampir tidak dapat menyalakan TV atau streaming video YouTube tanpa melihat iklan untuk 5G. Di luar keunggulan kecepatan dan latensi yang akan ditawarkan 5G untuk perangkat seluler konsumen, Internet of Things (IoT) akan mendapat manfaat dari kemampuan 5G untuk mendukung lebih banyak koneksi simultan. Dengan pipa yang jauh lebih lebar – dengan kapasitas hingga 20 kali lipat dari 4G (kecepatan data puncak minimum 20 Gbps versus 1 Gbps) – 5G dapat mendukung lebih banyak koneksi simultan. Dan penemuan 5G memungkinkan latensi jaringan serendah 1 milidetik, hingga 10 kali lebih besar dari 4G. Perangkat IoT di mana-mana, seperti sensor di kendaraan, lampu lalu lintas, dan roadbed, akan mendapat manfaat dari peningkatan kinerja dalam 5G dan memungkinkan kasus penggunaan sci-fi, termasuk aplikasi otomotif otonom.
Namun seiring dengan semua manfaat besar dari kecepatan, throughput, latensi rendah, dan fungsionalitas futuristik muncul sisi negatifnya: permukaan serangan yang diperluas. Dengan perkiraan perangkat dan aplikasi IoT yang terhubung diperkirakan melebihi 67 miliar pada tahun 2025 – mungkin hingga 75 miliar – bidang ini penuh dengan target. Dan karena banyak perangkat IoT yang rentan dikirimkan dengan kata sandi default yang jarang diubah dan port yang sepertinya selalu terbuka, bagi peretas, ini seperti menembak ikan dalam tong. Proses mengamankan perangkat IoT, seperti proses pengembangan perangkat lunak lainnya, juga rentan terhadap cacat desain dan kesalahan pengkodean.
Namun, tidak semua kerentanan 5G dapat diletakkan di depan pintu perangkat IoT. Dengan teknologi nirkabel 5G baru menggantikan teknologi 4G LTE yang lebih lama, ketidakpastian dan risiko dapat berlimpah dalam protokol 5G itu sendiri. Dan karena standar 5G relatif muda, dengan definisi mereka masih berkembang, perangkat 5G dan IoT akan membutuhkan keamanan yang lebih baik.
Apakah standar kepatuhan keamanan siber 5G dan IoT akan membantu?
Standar kepatuhan keamanan siber untuk perangkat 5G dan IoT dapat memiliki yurisdiksi yang tumpang tindih dalam hal aplikasi dan sektor. Misalnya, Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) berlaku untuk jaringan 5G dan perangkat IoT yang terlibat dalam transaksi keuangan yang dilakukan dengan kartu kredit atau debit, dan standar keamanan siber FedRAMP berlaku untuk transaksi yang melibatkan pemerintah federal. Namun, status standar 5G yang berkembang dan sifat perangkat IoT yang cepat berubah membuat aturan dan peraturan kepatuhan semacam ini “sangat rumit dan kelebihan berat badan,” menurut Protokol, dan tidak dirancang untuk lingkungan yang berubah secara teratur.
Namun demikian, kebutuhan untuk mengelola risiko miliaran perangkat IoT akan terus mengubah persyaratan dan ruang lingkup keamanan 5G. Akibatnya, organisasi pembangunan membutuhkan solusi teknologi berbasis standar yang terbukti, terukur, dan maju, menurut Risk & Insurance.
Institut Nasional Standar dan Teknologi (NIST) baru-baru ini memposting serangkaian rancangan rekomendasi mengenai keamanan cyber IoT. Meskipun tidak dapat ditegakkan, ia menyerukan produsen IoT untuk merancang kemampuan keamanan cyber ke dalam sistem mereka, termasuk garis dasar untuk perlindungan data, akses logis ke antarmuka, pembaruan perangkat lunak dan firmware, dan kesadaran negara keamanan cyber.
Bahkan dalam teknologi yang ada, para peneliti terus menemukan masalah yang tidak diketahui. Sebagai contoh, para peneliti di Institut Sains dan Teknologi Korea menemukan 36 kelemahan keamanan di 4G tahun lalu. Jadi realitas 5G adalah bahwa sebagai teknologi baru, itu pasti memiliki kerentanan keamanan.
Solusi pengujian fuzz untuk keamanan 5G dan IoT
Standar kepatuhan keamanan siber saat ini, ketika ada, sama sekali tidak luas, fleksibel, atau cukup antisipatif untuk 5G dan IoT. Jadi organisasi pembangunan perlu berpikir untuk diri mereka sendiri. Mereka harus dapat menemukan kerentanan zero-day yang tidak diketahui di jaringan 5G mereka dan perangkat IoT yang terhubung.
Solusi pengujian fuzz dapat membantu organisasi pengembangan menemukan kerentanan keamanan ini. Dengan pengujian fuzz, atau fuzzing, organisasi dapat menundukkan perangkat IoT mereka ke data yang sengaja cacat. Fuzzer akan mencoba memasukkan data tercemar ini ke antarmuka IoT untuk membuat perangkat tidak berfungsi, gagal, atau menjalankan operasi yang tidak diinginkan. Pengujian fuzz adalah salah satu cara terbaik untuk menguji protokol keamanan, dan organisasi yang mengembangkan perangkat 5G dan IoT akan menganggapnya sebagai alat yang sangat berharga karena standar 5G berkembang dan jaringan 5G mulai diluncurkan di seluruh dunia.
