通过对RSA的攻击获得的机密资料可能使攻击者伪装成RSA SecurID令牌用户,可以访问企业系统, 但不会获得更多的信息。
事件
2011年3月17日,EMC信息安全事业部RSA日前宣布,攻击者已获得其RSA SecurID的一次性密码(OTP)认证产品的有关信息。 RSA声明,提取的信息本身不能实现直接的攻击。 EMC公司发布了8-K报告,其中包括了一份"SecureCare"的说明,概述其给客户提供的初步意见。进一步的建议于3月21日公布。
分析
EMC公司发布8-K报告是这家公司采取的不寻常的一步。可以理解,RSA在公开声明中对于具体提取了何种信息以及攻击者如何利用其来损害客户的RSA SecurID部署采取了小心翼翼的态度。
Gartner怀疑,从RSA系统提取的系统可能使攻击者确定任何特定的用来产生一个OTP的令牌的共享秘密信息。然而,仅凭这一点无法发动直接攻击。为了成功地模拟一个真实的OTP,攻击者还需要知道另外两个变量,这两个变量都是客户的商业组织控制的,即PIN码和用户令牌映射。这些要求使RSA提出了对良好的PIN码管理和服务器数据库及任何导出数据的安全的建议。 RSA还建议企业密切监控服务器日志的不寻常活动,并监测各种社交网络,以确保员工不呼吁人们关注他们的特权访问,如果有的话。
RSA的建议是未来几天的可靠策略。在接下来的几个星期,适当的行动将取决于对此次事件构成的风险以及RSA采取的解决这一违规事件的步骤的更好理解。
重要的是要注意,所有OTP令牌,包括并非由RSA所提供的,可能通过其他方式受损,因此不应该成为保护企业资产的唯一手段。
另外,此次事件引起了公众的多方关注。不少相关人士和媒体都发表了自己的看法。行业分析师的看法:"事实上,确实发生了违规行为。这一次,发生在RSA的身上。我敢肯定,他们正在处理关键的后果影响。但是,这此事件也可能会发生在许多其他厂商的身上,过去有过,以后也还会有。"
民间组织"可行的网络安全" 表示:我左右为难, "Ranum在解释他为什么选择公开谈论RSA受攻击事件对他的公司和行业造成的冲击时说。"一方面,这是一场媒体的马戏表演,"他说。"这再次说明如违规事件也许受到了不必要的关注,但也表明[RSA的回应]确实是处理违规事件的一个非常有效、成熟和负责任的办法。
建议
在接下来的几天,RSA SecurID的客户应该:
◆遵照RSA的SecureCare说明和RSA的最佳实践指南的建议。
◆提高RSA SecurID用户在所有系统中的监控活动的粒度。
◆配置您的系统,只允许已知端点的访问。
◆确保欺诈检测工具正确分析交易,降低使用交易验证的风险阈值。
◆还可以考虑使用RSA带外认证。
在接下来的几个星期,RSA SecurID的客户应该:
◆继续与RSA一道评估需要采取哪些进一步措施来解决这一攻击事件。
◆实现增强的安全监控和欺诈检测技术。 (这在任何情况下都是必要的,因为所有的验证方法都并非不可战胜。)
银行和其他依靠RSA SecurID进行外部用户身份验证的机构:还可以采取其他分层控制,如交易验证。
未来的RSA SecurID客户:目前请暂时将RSA列入考量范围。
SANS技术研究所首席执行官,他补充说,此次攻击 "不会改变竞争格局,说这种话的人都是危言耸听。" 他建议RSA用户不要恐慌,如果他们觉得自己的令牌的完整性受到影响,可以再使用一个安全层。
英国顶级合作伙伴赞誉RSA对攻击所作的回应 ,"RSA是为客户服务,并确保他们获得尽可能多的信息,"他说。 "RSA给我们传达了非常清楚的信息,他们作为一个企业已负责任地通知我们,告诉我们应该提醒顾客什么,我认为我们无法要求比这更多了。"
【编辑推荐】