RSA SecurID受到攻擊值得關注 但可能不是一個致命缺陷
通過對RSA的攻擊獲得的機密資料可能使攻擊者偽裝成RSA SecurID令牌用戶,可以訪問企業系統, 但不會獲得更多的信息。
事件
2011年3月17日,EMC信息安全事業部RSA日前宣布,攻擊者已獲得其RSA SecurID的一次性密碼(OTP)認證產品的有關信息。 RSA聲明,提取的信息本身不能實現直接的攻擊。 EMC公司發布了8-K報告,其中包括了一份"SecureCare"的說明,概述其給客戶提供的初步意見。進一步的建議于3月21日公布。
分析
EMC公司發布8-K報告是這家公司采取的不尋常的一步。可以理解,RSA在公開聲明中對于具體提取了何種信息以及攻擊者如何利用其來損害客戶的RSA SecurID部署采取了小心翼翼的態度。
Gartner懷疑,從RSA系統提取的系統可能使攻擊者確定任何特定的用來產生一個OTP的令牌的共享秘密信息。然而,僅憑這一點無法發動直接攻擊。為了成功地模擬一個真實的OTP,攻擊者還需要知道另外兩個變量,這兩個變量都是客戶的商業組織控制的,即PIN碼和用戶令牌映射。這些要求使RSA提出了對良好的PIN碼管理和服務器數據庫及任何導出數據的安全的建議。 RSA還建議企業密切監控服務器日志的不尋常活動,并監測各種社交網絡,以確保員工不呼吁人們關注他們的特權訪問,如果有的話。
RSA的建議是未來幾天的可靠策略。在接下來的幾個星期,適當的行動將取決于對此次事件構成的風險以及RSA采取的解決這一違規事件的步驟的更好理解。
重要的是要注意,所有OTP令牌,包括并非由RSA所提供的,可能通過其他方式受損,因此不應該成為保護企業資產的唯一手段。
另外,此次事件引起了公眾的多方關注。不少相關人士和媒體都發表了自己的看法。行業分析師的看法:"事實上,確實發生了違規行為。這一次,發生在RSA的身上。我敢肯定,他們正在處理關鍵的后果影響。但是,這此事件也可能會發生在許多其他廠商的身上,過去有過,以后也還會有。"
民間組織"可行的網絡安全" 表示:我左右為難, "Ranum在解釋他為什么選擇公開談論RSA受攻擊事件對他的公司和行業造成的沖擊時說。"一方面,這是一場媒體的馬戲表演,"他說。"這再次說明如違規事件也許受到了不必要的關注,但也表明[RSA的回應]確實是處理違規事件的一個非常有效、成熟和負責任的辦法。
建議
在接下來的幾天,RSA SecurID的客戶應該:
◆遵照RSA的SecureCare說明和RSA的最佳實踐指南的建議。
◆提高RSA SecurID用戶在所有系統中的監控活動的粒度。
◆配置您的系統,只允許已知端點的訪問。
◆確保欺詐檢測工具正確分析交易,降低使用交易驗證的風險閾值。
◆還可以考慮使用RSA帶外認證。
在接下來的幾個星期,RSA SecurID的客戶應該:
◆繼續與RSA一道評估需要采取哪些進一步措施來解決這一攻擊事件。
◆實現增強的安全監控和欺詐檢測技術。 (這在任何情況下都是必要的,因為所有的驗證方法都并非不可戰勝。)
銀行和其他依靠RSA SecurID進行外部用戶身份驗證的機構:還可以采取其他分層控制,如交易驗證。
未來的RSA SecurID客戶:目前請暫時將RSA列入考量范圍。
SANS技術研究所首席執行官,他補充說,此次攻擊 "不會改變競爭格局,說這種話的人都是危言聳聽。" 他建議RSA用戶不要恐慌,如果他們覺得自己的令牌的完整性受到影響,可以再使用一個安全層。
英國頂級合作伙伴贊譽RSA對攻擊所作的回應 ,"RSA是為客戶服務,并確保他們獲得盡可能多的信息,"他說。 "RSA給我們傳達了非常清楚的信息,他們作為一個企業已負責任地通知我們,告訴我們應該提醒顧客什么,我認為我們無法要求比這更多了。"
【編輯推薦】
