防止雙因素令牌的攻擊
RSA公司最近發生的數據泄漏只是一系列備受矚目的公司遭受嚴重安全事故的又一案例,而受害者的數目還在繼續攀升。RSA公司表示,一種所謂的先進持續威脅(APT)能夠對它的一些系統造成危害。雖然RSA公司不是因為其令牌身份驗證產品SecurID的漏洞而導致數據泄漏的,但是該公司表示關于SecurID的數據被竊取了,這使得有些人預測SecurID在未來遭到攻擊的可能性可能會增加。
這篇文章將討論基于令牌的身份驗證的最大威脅,包括那些安全專家最有可能發現的攻擊,以及如何確保令牌和其它身份驗證方法在這些特定攻擊下得到保護。
RSA事件和建議
據報道,RSA的攻擊起源于一個魚叉式網絡釣魚電子郵件(spear phishing email),該郵件包含了一個內置有Adobe Flash零日漏洞利用程序的惡意Excel文件附件。這個魚叉式網絡釣魚電子郵件用于破壞RSA公司的安全,并安裝一個用于遠程操控的管理工具。
RSA公司表示,SecurID受到了影響,這意味很多。SecurID系統最密不可分的部分便是令牌本身:令牌既可以是硬件,也可以是具有一個序列號的軟件,并與一個在新的令牌建立時導入到服務器上的種子文件配對。有些人推測,在攻擊者偷走的數據中,詳細說明了哪一個序列號對應于哪一個種子文件(seed file)。這個攻擊還可能使得系統的源代碼已經暴露在外,從而允許攻擊者找到服務器軟件中的漏洞,并在以后對其進行攻擊。RSA公司建議使用與SecurID令牌代碼相結合的密碼或者PIN碼,同時該公司還向其SecurID客戶發布了一個行動方案來應對攻擊。
基于令牌的身份認證的最大威脅
基于令牌的身份認證,也稱之為雙因素身份驗證,通常使用與用戶名和PIN/密碼相結合的硬件設備。這些硬件設備可以是物理的一次性密碼(OTP))令牌、安裝在移動設備上的一次性密碼軟件令牌、電網卡、USB設備、刮刮卡(scratch cards)、手機短信或者移動身份驗證等等。所有這些產品都具有類似的漏洞:一個攻擊者可以攻擊令牌基礎設施、令牌供應商、令牌自身或者客戶端。一個以令牌基礎設施為目標的攻擊者可能會試圖利用身份認證服務器或者協議來破壞系統的安全。
RSA的攻擊是攻擊者以令牌供應商為目標來破壞整個身份驗證系統安全性的一個例子。攻擊令牌,尤其是智能卡,已經可以通過使用差分功耗分析(differential power analysis)來實現了。Zeus木馬以攻擊客戶端而著稱,即使使用了令牌。如果序列號和種子文件被導入,而且只要時間是同步的,那么這個免費的工具Cain and Abel甚至還包括生成令牌代碼的功能。
安全專家可能發現的最常見的攻擊并不令人驚訝:對客戶端的攻擊是最常見的,因為通常來講,它們及其用戶仍然是企業環境中最薄弱的環節。因此,當登錄客戶端之后,防止惡意軟件竊取令牌是很重要的。一些USB令牌包括直接讀取令牌以及把它嵌入到網頁窗體中用于身份驗證的功能。這樣可能會防止一些惡意軟件的入侵,但是惡意軟件仍然可以攔截網頁窗體提交來捕獲令牌。顧名思義,一次性密碼的一個好處是它們僅一次有效、或者在一段有限的時間段內有效。如果種子文件在RSA攻擊中被損壞,那么攻擊者在進行網絡釣魚時就可能會使用種子,并用從你所處環境的其他部分所釣來的信息來攻擊你的系統。因此,確保員工意識到來自釣魚式攻擊的潛在危險是必需的。
企業防御策略
在選擇實施哪一種身份認證、或者如何強化現有的實施方案時,安全專家應該考慮到這些威脅。你可以通過限制網絡訪問、或者通過關閉防火墻來保護令牌基礎設施,使得只允許必需的系統訪問。如果一個攻擊者成功地利用漏洞入侵了你的令牌供應商,那么你可以通過公開地與供應商溝通,弄清楚哪些其它漏洞可能會由于這個破壞而被利用,以此來保護你的企業。另外,定期檢查日志從而確定是否有任何可疑的身份認證正在發生,同時,如果現有的系統不能達到你的安全級別,那么就要以容易切換到一個新的供應商的方式來安裝令牌供應商的軟件。
為了抵御對令牌自身的攻擊,請對那些具有強大防篡改功能的安全令牌進行投資,比如:防篡改實例和設計用來防篡改的軟件/硬件,并訓練用戶如何保持令牌的物理安全性,以及遵從RSA公司在該安全事件之后所提出的建議。另外,還可以參考關于維護客戶端免受攻擊的其它建議。
結論
因為RSA公司至今只公開發布了關于其最近的先進持續威脅漏洞的少量信息,所以企業不得不對其進行猜測,從而做出相應計劃以確保它們的SecurID系統是被安全地應用和維護的。然而,企業應該一直聽從RSA公司關于這起事件所提出的建議,因為許多建議都是標準的最佳安全做法。對于高安全性環境有針對性的攻擊來講,RSA攻擊可能會削弱企業的安全性,但對大多數企業來講,該事件所造成的影響甚微。
【編輯推薦】
