前段時間發(fā)生在RSA網(wǎng)絡上的問題僅僅屬于個例的安全專家認為，保護好電子郵件，并選擇多層次防御模式就可以應對魚叉式網(wǎng)絡釣魚以及高級持續(xù)威脅導致的風險。

安全專家指出，RSA網(wǎng)絡遭受的破壞僅僅屬于很難被發(fā)現(xiàn)的“偶發(fā)事件”，并再次向公司發(fā)出呼吁，希望他們選擇安全級別更高的電子郵件保護措施，并部署多層次“縱深防御”安全系統(tǒng)。

本星期的早些時候，安全廠商在一篇日志文章中對魚叉式網(wǎng)絡釣魚進行了說明，它屬于有針對性的釣魚式攻擊，被攻擊者用來進行第一步的網(wǎng)絡入侵。在攻擊中，網(wǎng)絡犯罪分子成功地獲得了上個月剛剛發(fā)布的SecurID身份驗證令牌的相關信息。

來自RSA的說法聲稱，網(wǎng)絡犯罪分子采用了在兩天之內分別向兩個不知情的員工群體發(fā)送了兩封標題為“2011年招聘計劃”包含Excel附件內容不同電子郵件的方式。在日志文章中，RSA公司負責消費者認證保護新技術的主管烏里·瑞納就事件的發(fā)生原因進行了解釋;由于奧多比Flash文件中存在漏洞，導致木馬被容許安裝到系統(tǒng)中，進一步導致攻擊者可以通過遠程方式接管計算機的控制權。

易安信信息安全事業(yè)部將其定義為類似超級工廠病毒和極光攻擊的高級持續(xù)威脅(APT)。

對于公司和個人來說，都應該提高警惕

針對RSA網(wǎng)絡中出現(xiàn)的問題，守護使亞太區(qū)首席技術官保羅·達克林強調說，用戶要提高對電子郵件安全性的關注度。

他進一步指出，不假思索地信任網(wǎng)絡連接和電子郵件中的內容，就如同邀請陌生人到自己家里。“只要打開門，不認識或者沒有被獲得同意的陌生人就會進來。盡管并沒有發(fā)出邀請，但他們還是會要求使用你家里的計算機，網(wǎng)絡上的魚叉式網(wǎng)絡釣魚所做的事情與此完全相同。

在接受ZDNet的電子郵件采訪時，他向用戶提出了這樣的問題，僅僅因為他們穿著得體、文質彬彬，并聲稱已經(jīng)了解你的情況，你就準備按照他們給出的指示去做么?

盡管RSA沒有透露遭受破壞的具體部分，但業(yè)內盛傳黑客已經(jīng)連接上負責為所有SecureID令牌生成一次性密碼的數(shù)據(jù)庫。這些通行碼是通過利用一個“秘密種子”和當時的時間生成的，會被用于雙因子認證。在全球范圍內，已經(jīng)有約40萬臺硬件令牌獲得部署了，大約2億5千萬份軟件正在使用中。

達克林相信這些代碼都被竊取了僅僅屬于猜測。

畢馬威新加坡會計師事務所負責業(yè)績和技術的合伙人龔君文在電子郵件中指出，只有出現(xiàn)RSA令牌生成碼屬于唯一驗證手段的情況時，用戶才需要擔心。

“令牌代碼被盜的威脅不應該被低估”，他指出。“但是，盡管攻擊者可能從RSA竊取到信息，但依然還要克服多層障礙，才能獲得成功。他們還需要知道以前的令牌代碼編號或者令牌設備的硬件序列號”。

不過，按照一位業(yè)內專家告訴ZDNet姊妹網(wǎng)站CNET的說法，負責產生種子令牌序列號的映象算法已經(jīng)被盜。應用安全公司Veracode的首席技術官克里斯·威斯波爾宣稱：“某公司使用的序列號沒有受到很好的保護”。

在電子郵件專訪中，市場調研公司Ovum的首席分析師格雷厄姆·提特林頓認為：“我相信，RSA已經(jīng)采取行動，更換過受到影響的種子，因此，這一威脅存在的時間應該是很短的”。

分層模式更安全

畢馬威的龔君文還指出，在這種攻擊中，通常只有在真正的損失出現(xiàn)之后，企業(yè)才會發(fā)現(xiàn)。

他進一步解釋到：“對于APT來說，這通常都是最大的問題。大多數(shù)受害者不知道攻擊是什么時間發(fā)生的，直到財務或者機密信息的泄露帶來實際損失時，才會意識到攻擊的存在”。

來自Ovum的提特林頓也支持這種觀點，并且進一步補充說，企業(yè)應該選擇安全信息和事件管理(SIEM)工具作為警報系統(tǒng)。他也指出，利用數(shù)據(jù)泄露防護工具可以阻止或者發(fā)現(xiàn)數(shù)據(jù)的非法移動情況，但這樣做也不是很簡單的事情。

他建議，在種子泄露后，RSA的客戶如果懷疑自己的數(shù)據(jù)可能遭遇攻擊時，就應該選擇對系統(tǒng)訪問日志進行檢查，確認當中不存在異常的訪問行為。

當被問到是怎么看待附加防火墻和虛擬專用網(wǎng)絡(VPN)令牌解決方案之類的替代安全措施時，提特林頓斥之為“關注重點存在錯誤”。

他宣稱：“令牌可能丟失或者被破壞，并且，我們已經(jīng)建立了太多的防火墻。對于威脅防御來說，我們需要一種更靈活的方法”。

守護使的達克林就倡導“縱深防御”模式的安全策略，用來應對魚叉式網(wǎng)絡釣魚和APT。“對于外部攻擊者來說，如果公司選擇多層次安全和保護模式的話，就很難在不觸發(fā)某些位置安裝的報警點的情況進行攻擊”。

他進一步解釋說：“在安全方面，受到良好保護的公司可以選擇很多種有效做法。良好的電子郵件安全網(wǎng)關以及切合實際的電子郵件管理策略，都可以在第一時間防止異常附件帶來的威脅”。

畢馬威的龔君文還指出，安全廠商也應該關注APT的發(fā)展情況。

他說：“如果RSA被APT成功攻擊的話，對于其它安全軟件公司來說，就意味著有很高的幾率遭遇類似的情況。”

【編輯推薦】

1. 大話IT之RSA歸來看APT高持續(xù)性威脅(音頻)
2. Verizon觀點：高級持續(xù)性威脅（APT）攻擊被夸大了
3. 全面解析高級持續(xù)性威脅(APT)