RSA SecurID受到攻擊值得關(guān)注 但可能不是一個(gè)致命缺陷
通過(guò)對(duì)RSA的攻擊獲得的機(jī)密資料可能使攻擊者偽裝成RSA SecurID令牌用戶,可以訪問(wèn)企業(yè)系統(tǒng), 但不會(huì)獲得更多的信息。
事件
2011年3月17日,EMC信息安全事業(yè)部RSA日前宣布,攻擊者已獲得其RSA SecurID的一次性密碼(OTP)認(rèn)證產(chǎn)品的有關(guān)信息。 RSA聲明,提取的信息本身不能實(shí)現(xiàn)直接的攻擊。 EMC公司發(fā)布了8-K報(bào)告,其中包括了一份"SecureCare"的說(shuō)明,概述其給客戶提供的初步意見。進(jìn)一步的建議于3月21日公布。
分析
EMC公司發(fā)布8-K報(bào)告是這家公司采取的不尋常的一步。可以理解,RSA在公開聲明中對(duì)于具體提取了何種信息以及攻擊者如何利用其來(lái)?yè)p害客戶的RSA SecurID部署采取了小心翼翼的態(tài)度。
Gartner懷疑,從RSA系統(tǒng)提取的系統(tǒng)可能使攻擊者確定任何特定的用來(lái)產(chǎn)生一個(gè)OTP的令牌的共享秘密信息。然而,僅憑這一點(diǎn)無(wú)法發(fā)動(dòng)直接攻擊。為了成功地模擬一個(gè)真實(shí)的OTP,攻擊者還需要知道另外兩個(gè)變量,這兩個(gè)變量都是客戶的商業(yè)組織控制的,即PIN碼和用戶令牌映射。這些要求使RSA提出了對(duì)良好的PIN碼管理和服務(wù)器數(shù)據(jù)庫(kù)及任何導(dǎo)出數(shù)據(jù)的安全的建議。 RSA還建議企業(yè)密切監(jiān)控服務(wù)器日志的不尋常活動(dòng),并監(jiān)測(cè)各種社交網(wǎng)絡(luò),以確保員工不呼吁人們關(guān)注他們的特權(quán)訪問(wèn),如果有的話。
RSA的建議是未來(lái)幾天的可靠策略。在接下來(lái)的幾個(gè)星期,適當(dāng)?shù)男袆?dòng)將取決于對(duì)此次事件構(gòu)成的風(fēng)險(xiǎn)以及RSA采取的解決這一違規(guī)事件的步驟的更好理解。
重要的是要注意,所有OTP令牌,包括并非由RSA所提供的,可能通過(guò)其他方式受損,因此不應(yīng)該成為保護(hù)企業(yè)資產(chǎn)的唯一手段。
另外,此次事件引起了公眾的多方關(guān)注。不少相關(guān)人士和媒體都發(fā)表了自己的看法。行業(yè)分析師的看法:"事實(shí)上,確實(shí)發(fā)生了違規(guī)行為。這一次,發(fā)生在RSA的身上。我敢肯定,他們正在處理關(guān)鍵的后果影響。但是,這此事件也可能會(huì)發(fā)生在許多其他廠商的身上,過(guò)去有過(guò),以后也還會(huì)有。"
民間組織"可行的網(wǎng)絡(luò)安全" 表示:我左右為難, "Ranum在解釋他為什么選擇公開談?wù)揜SA受攻擊事件對(duì)他的公司和行業(yè)造成的沖擊時(shí)說(shuō)。"一方面,這是一場(chǎng)媒體的馬戲表演,"他說(shuō)。"這再次說(shuō)明如違規(guī)事件也許受到了不必要的關(guān)注,但也表明[RSA的回應(yīng)]確實(shí)是處理違規(guī)事件的一個(gè)非常有效、成熟和負(fù)責(zé)任的辦法。
建議
在接下來(lái)的幾天,RSA SecurID的客戶應(yīng)該:
◆遵照RSA的SecureCare說(shuō)明和RSA的最佳實(shí)踐指南的建議。
◆提高RSA SecurID用戶在所有系統(tǒng)中的監(jiān)控活動(dòng)的粒度。
◆配置您的系統(tǒng),只允許已知端點(diǎn)的訪問(wèn)。
◆確保欺詐檢測(cè)工具正確分析交易,降低使用交易驗(yàn)證的風(fēng)險(xiǎn)閾值。
◆還可以考慮使用RSA帶外認(rèn)證。
在接下來(lái)的幾個(gè)星期,RSA SecurID的客戶應(yīng)該:
◆繼續(xù)與RSA一道評(píng)估需要采取哪些進(jìn)一步措施來(lái)解決這一攻擊事件。
◆實(shí)現(xiàn)增強(qiáng)的安全監(jiān)控和欺詐檢測(cè)技術(shù)。 (這在任何情況下都是必要的,因?yàn)樗械尿?yàn)證方法都并非不可戰(zhàn)勝。)
銀行和其他依靠RSA SecurID進(jìn)行外部用戶身份驗(yàn)證的機(jī)構(gòu):還可以采取其他分層控制,如交易驗(yàn)證。
未來(lái)的RSA SecurID客戶:目前請(qǐng)暫時(shí)將RSA列入考量范圍。
SANS技術(shù)研究所首席執(zhí)行官,他補(bǔ)充說(shuō),此次攻擊 "不會(huì)改變競(jìng)爭(zhēng)格局,說(shuō)這種話的人都是危言聳聽。" 他建議RSA用戶不要恐慌,如果他們覺得自己的令牌的完整性受到影響,可以再使用一個(gè)安全層。
英國(guó)頂級(jí)合作伙伴贊譽(yù)RSA對(duì)攻擊所作的回應(yīng) ,"RSA是為客戶服務(wù),并確保他們獲得盡可能多的信息,"他說(shuō)。 "RSA給我們傳達(dá)了非常清楚的信息,他們作為一個(gè)企業(yè)已負(fù)責(zé)任地通知我們,告訴我們應(yīng)該提醒顧客什么,我認(rèn)為我們無(wú)法要求比這更多了。"
【編輯推薦】
