5G Security: অত্যাধুনিক নেটওয়ার্কে সাইবার হামলার ঝুঁকি এবং প্রতিরোধের উপায়!

5G-র সবচেয়ে বড় প্রযুক্তিগত পরিবর্তন হলো এর Service-Based Architecture (SBA), যেখানে প্রতিটি Network Function (NF) আলাদা মাইক্রোসার্ভিস হিসেবে কাজ করে এবং HTTP/2 ও REST API-র মাধ্যমে নিজেদের মধ্যে যোগাযোগ করে। এর সাথে যুক্ত হয়েছে Network Function Virtualization (NFV) এবং Software-Defined Networking (SDN), যেগুলো নেটওয়ার্ককে হার্ডওয়্যার-নির্ভরতা থেকে মুক্ত করে ক্লাউড-নেটিভ পরিবেশে নিয়ে এসেছে।

এই পরিবর্তনের ফলে নেটওয়ার্ক অপারেটররা পেয়েছে অভূতপূর্ব নমনীয়তা—একই অবকাঠামোর উপর তারা একাধিক ভার্চুয়াল নেটওয়ার্ক বা Network Slicing চালাতে পারে। যেমন, একটি স্লাইস উৎসর্গ করা যায় অটোনোমাস ভেহিকেলের জন্য Ultra-Reliable Low-Latency Communication (URLLC), আরেকটি স্লাইস স্মার্ট মিটারিংয়ের জন্য massive Machine-Type Communications (mMTC)। কিন্তু এই virtualization-ই কিন্তু আক্রমণকারীদের জন্য নতুন আক্রমণ ভেক্টর তৈরি করেছে—একটি স্লাইস কম্প্রোমাইজ করতে পারলে hypervisor-লেভেল দুর্বলতা ব্যবহার করে অন্য স্লাইসে lateral movement করা সম্ভব।

5G Core Network বা 5GC-তে রয়েছে AMF (Access and Mobility Management Function), SMF (Session Management Function), UPF (User Plane Function), AUSF (Authentication Server Function) এবং UDM (Unified Data Management)-সহ একাধিক ফাংশন। প্রতিটি ফাংশনের নিজস্ব API endpoint থাকায় যেকোনো একটি দুর্বল কনফিগারেশন পুরো নেটওয়ার্ককে ঝুঁকিতে ফেলতে পারে।

5G-র জটিল আর্কিটেকচার বহুমাত্রিক আক্রমণের সুযোগ তৈরি করেছে। নিচে কয়েকটি গুরুত্বপূর্ণ আক্রমণ পদ্ধতি তুলে ধরা হলো।

Signaling Storm Attack: আক্রমণকারী একাধিক compromised IoT ডিভাইস ব্যবহার করে একসাথে বিপুল সংখ্যক attach/detach signaling মেসেজ পাঠায়, যার ফলে Control Plane-এ overload তৈরি হয়। এটি একটি বিশেষ ধরনের DDoS, যা শুধু bandwidth নয়, পুরো signaling infrastructure-কেই অকার্যকর করে দিতে পারে।

IMSI Catcher এবং Subscriber Privacy: যদিও 5G-তে Subscriber Permanent Identifier (SUPI) সরাসরি প্রকাশ করার পরিবর্তে Subscription Concealed Identifier (SUCI) ব্যবহার করা হয়, তবুও Null Encryption Scheme সমর্থিত থাকায় কনফিগারেশন ত্রুটি থাকলে আক্রমণকারী এখনও IMSI ক্যাচার দিয়ে subscriber identity উন্মোচন করতে পারে।

API Exploitation: Service-Based Interface-এ HTTP/2 ভিত্তিক যোগাযোগে যদি mutual TLS, OAuth 2.0 token validation বা proper input sanitization না থাকে, তবে আক্রমণকারী API abuse করে এক Network Function থেকে আরেকটিতে অননুমোদিত কল পাঠাতে পারে।

Supply Chain ঝুঁকি: 5G নেটওয়ার্কে multi-vendor হার্ডওয়্যার ও সফটওয়্যার ব্যবহৃত হয়। কোনো একটি vendor-এর firmware-এ backdoor বা দুর্বলতা থাকলে পুরো নেটওয়ার্কে তার প্রভাব পড়তে পারে—যেটি geopolitical দৃষ্টিকোণ থেকেও আজ অন্যতম আলোচিত বিষয়।

Edge Computing-জনিত ঝুঁকি: Multi-access Edge Computing (MEC) ব্যবহারকারীর কাছাকাছি প্রসেসিং সরবরাহ করলেও, এর ফলে আক্রমণের পৃষ্ঠতল ছড়িয়ে পড়ে শত শত edge সাইটে, যেগুলোর প্রতিটিতে enterprise-grade security maintain করা কঠিন।

Network Slicing 5G-র অন্যতম বিপ্লবী ফিচার হলেও এটি নিরাপত্তা পরিচালকদের জন্য একটি দ্বৈত তরবারি। প্রতিটি স্লাইসের জন্য আলাদা SLA, latency requirement এবং security posture থাকে। কিন্তু যদি hypervisor-এ side-channel vulnerability (যেমন Spectre/Meltdown-জাতীয়) থাকে, তবে এক স্লাইসে চলমান ম্যালিশিয়াস workload অন্য স্লাইসের মেমোরি থেকে সংবেদনশীল তথ্য বের করে আনতে পারে।

এছাড়া cross-slice attack-এ আক্রমণকারী যদি একটি low-security স্লাইস (যেমন একটি পাবলিক IoT স্লাইস) কম্প্রোমাইজ করে, তারপর misconfigured network policy-র সুযোগ নিয়ে high-value স্লাইসে (যেমন healthcare বা defense) পৌঁছানোর চেষ্টা করতে পারে। এজন্য প্রতিটি স্লাইসের মধ্যে strict isolation এবং zero-trust segmentation অপরিহার্য।

বিভিন্ন একাডেমিক ও ইন্ডাস্ট্রি গবেষণায় ইতোমধ্যে একাধিক 5G দুর্বলতা প্রকাশিত হয়েছে। গবেষকরা দেখিয়েছেন যে কিছু commercial deployment-এ AMF এবং UDM-এর মধ্যে token validation সঠিকভাবে enforce না হওয়ায় আক্রমণকারী জাল NF Service Request পাঠিয়ে অন্য subscriber-এর location ও session data সংগ্রহ করতে সক্ষম হয়েছে।

এছাড়া বিভিন্ন proof-of-concept-এ দেখা গেছে যে rogue base station বা False Base Station ব্যবহার করে আক্রমণকারী bidding-down attack চালিয়ে ডিভাইসকে 5G থেকে 4G বা 3G-তে নামিয়ে আনতে পারে, যেখানে পুরনো প্রোটোকলের দুর্বলতাগুলো এখনও বিদ্যমান।

শিল্প-পর্যায়ে দেখা গেছে যে কিছু private 5G নেটওয়ার্ক যেগুলো manufacturing facility-তে deploy করা হয়েছে, সেখানে default credential, exposed management interface এবং unpatched core components সরাসরি ইন্টারনেট থেকে accessible ছিল—যা একটি বাস্তব সাইবার হামলার আমন্ত্রণ ছাড়া কিছুই নয়।

5G নেটওয়ার্কের নিরাপত্তা নিশ্চিত করতে multi-layered defense-in-depth কৌশল অবলম্বন অপরিহার্য। নিচে কয়েকটি গুরুত্বপূর্ণ কৌশল আলোচনা করা হলো।

Zero Trust Architecture: ঐতিহ্যবাহী perimeter-based নিরাপত্তা 5G পরিবেশে অকার্যকর। প্রতিটি NF-to-NF যোগাযোগ অবশ্যই mutual TLS, strong identity verification এবং continuous authorization-এর মাধ্যমে সুরক্ষিত হতে হবে।

Security Edge Protection Proxy (SEPP): International roaming-এ অন্য operator-এর সাথে signaling exchange-এর সময় SEPP ব্যবহার করে end-to-end encryption ও integrity protection নিশ্চিত করা উচিত, যাতে interconnect-জনিত আক্রমণ প্রতিহত করা যায়।

Continuous Monitoring এবং Threat Intelligence: Control Plane এবং User Plane উভয় ক্ষেত্রেই anomaly detection ব্যবস্থা থাকা জরুরি। AI-driven SIEM সমাধান, যেগুলো baseline traffic pattern বুঝে deviation শনাক্ত করতে পারে, signaling storm বা lateral movement-এর প্রাথমিক ইঙ্গিত দিতে পারে।

Strong Cryptographic Posture: SUCI encryption-এ Null Scheme সম্পূর্ণ disable করা, post-quantum-ready cryptographic algorithm প্রস্তুতি, এবং নিয়মিত key rotation নিশ্চিত করতে হবে।

Supply Chain Risk Management: সকল hardware ও software component-এর জন্য Software Bill of Materials (SBOM) রক্ষণাবেক্ষণ এবং vendor security assessment বাধ্যতামূলক করা।

Slice Isolation Audit: Network Slicing-এ প্রতিটি স্লাইসের policy enforcement, resource isolation এবং tenant separation নিয়মিতভাবে অডিট করা।

Secure DevSecOps Pipeline: যেহেতু 5GC এখন cloud-native, তাই container security, image scanning, runtime protection এবং Kubernetes policy enforcement (যেমন OPA Gatekeeper) deployment pipeline-এর অংশ হিসেবে integrate করা উচিত।

3GPP এবং GSMA Guideline অনুসরণ: 3GPP-র TS 33.501 এবং GSMA-র FS.16 (5G Security Knowledge Base) অনুযায়ী নিরাপত্তা কাঠামো গড়ে তোলা একটি baseline requirement।