通过对RSA的攻击获得的机密资料可能使攻击者伪装成RSA SecurID令牌用户,可以访问企业系统,但不会获得更多的信息。
事件回顾
2011年3月17日,EMC信息安全事业部RSA日前宣布,攻击者已获得其RSA SecurID的一次性密码(OTP)认证产品的有关信息。 RSA声明,提取的信息本身不能实现直接的攻击。 EMC公司发布了8-K报告,其中包括了一份“SecureCare”的说明,概述其给客户提供的初步意见。进一步的建议于3月21日公布。
分析
EMC公司发布8–K报告是这家公司采取的不寻常的一步。可以理解,RSA在公开声明中对于具体提取了何种信息以及攻击者如何利用其来损害客户的RSA SecurID部署采取了小心翼翼的态度。
Gartner怀疑,从RSA系统提取的系统可能使攻击者确定任何特定的用来产生一个OTP的令牌的共享秘密信息。然而,仅凭这一点无法发动直接攻击。为了成功地模拟一个真实的OTP,攻击者还需要知道另外两个变量,这两个变量都是客户的商业组织控制的,即PIN码和用户令牌映射。这些要求使RSA提出了对良好的PIN码管理和服务器数据库及任何导出数据的安全的建议。RSA还建议企业密切监控服务器日志的不寻常活动,并监测各种社交网络,以确保员工不呼吁人们关注他们的特权访问,如果有的话。
RSA的建议是未来几天的可靠策略。在接下来的几个星期,适当的行动将取决于对此次事件构成的风险以及RSA采取的解决这一违规事件的步骤的更好理解。
重要的是要注意,所有OTP令牌,包括并非由RSA所提供的,可能通过其他方式受损,因此不应该成为保护企业资产的唯一手段。
建议
- 在接下来的几天,RSA SecurID的客户应该:
- 遵照RSA的SecureCare说明和RSA的最佳实践指南的建议。
- 提高RSA SecurID用户在所有系统中的监控活动的粒度。
- 配置您的系统,只允许已知端点的访问。
- 确保欺诈检测工具正确分析交易,降低使用交易验证的风险阈值。
- 还可以考虑使用RSA带外认证。
在接下来的几个星期,RSA SecurID的客户应该:
- 继续与RSA一道评估需要采取哪些进一步措施来解决这一攻击事件。
- 实现增强的安全监控和欺诈检测技术。 (这在任何情况下都是必要的,因为所有的验证方法都并非不可战胜。)
注:银行和其他依靠RSA SecurID进行外部用户身份验证的机构:还可以采取其他分层控制,如交易验证。 未来的RSA SecurID客户:目前请暂时将RSA列入考量范围。
专家观点和用户意见
Government InfoSecurity 美国首席信息安全官说:
他认为Coviello的评论让人放心。“他们做了正确的事情,”因此,与从其他来源获知RSA遭受APT攻击相比,我的心情要好得多。”
ChannelWeb英国顶级合作伙伴赞誉RSA对攻击所作的回应:
“RSA是为客户服务,并确保他们获得尽可能多的信息,”他说。 “RSA给我们传达了非常清楚的信息,他们作为一个企业已负责任地通知我们,告诉我们应该提醒顾客什么 – 我认为我们无法要求比这更多了。”
GovInfoSecurity SANS技术研究所首席执行官:
此次攻击 “不会改变竞争格局,说这种话的人都是危言耸听。” 他建议RSA用户不要恐慌,如果他们觉得自己的令牌的完整性受到影响,可以再使用一个安全层。
澳大利亚国际银行客户:
说RSA向他们报告了这一事件,欺诈行为发生的“机率很小”,因为设置了多层保护。 “银行有一个多层次的安全政策,因此我们认为因为这一事件发生欺诈活动的可能性相当小。”“令牌并不是完成交易需要的唯一的安全策略 “。
相关评论:
RSA事件的教训
行业分析师:事实上,确实发生了违规行为。这一次,发生在RSA的身上。我敢肯定,他们正在处理关键的后果影响。但是,这此事件也可能会发生在许多其他厂商的身上,过去有过,以后也还会有。
行业分析师(IDC):“我们与Sam和来自美国的银行和投资公司的一批资深的IT风险和安全管理人员在上周末进行了探讨,很明显,由于事件的敏感性,RSA正在尽力地表现积极,通报客户此次攻击、风险、影响,以及可选的应对方案…与我们对话的银行家和投资公司迄今为止已经报告,自己公司的业务安全意识增强,特别是那些大量部署SecurID的公司。然而,这些公司都表示了RSA积极回应他们的质询,对公司确定风险缓解战略很有帮助。“
网络世界上的博客发帖
行业分析师:“对于自己的客户,RSA更多地表现出坦诚和主动性。公司公布了一系列面向客户的建议,以强化其SecureID基础设施。其中很多都是简单而有价值的建议,如审查员工和IT培训政策,清理员工的用户数据库,以及实行强力密码政策和执法。“
政府信息安全:民间组织“可行的网络安全”
我左右为难, “Ranum在解释他为什么选择公开谈论RSA受攻击事件对他的公司和行业造成的冲击时说。”一方面,这是一场媒体的马戏表演,“他说。”这再次说明如违规事件也许受到了不必要的关注,但也表明[RSA的回应]确实是处理违规事件的一个非常有效、成熟和负责任的办法。
政府计算机新闻政府通讯网络
Verizon的风险安全分析团队高级顾问:“能够执行强力攻击可能会变得稍微容易一些,”只要消除过程中的一部分熵或降低随机性。 “我们去掉了SecurID 99.999%的可靠性后面的2个9”。 “他们还会比较明显地对用户造成负面影响”,而这正是RSA的建议试图防止或减轻的。
旋转木马产业博客
“在犯罪分子已经渗透到其外围防守后,RSA能够发现并应对这一袭击,这一事实本身就证明了RSA的技术实际上多么令人印象深刻。然而,此次攻击还表明,任何组织都不可能对网络罪犯100%免疫,这对每家公司都是一个很重要的提醒,现在是时候重新审视和评估您的安全方针。威胁在过去5年已经发生了巨大变化,确保你的防御工事牢固比以往任何时候都要关键。“
观点/搜索Security.com AU
因此,尽管令RSA感到尴尬的是,它沦为了受害者,但我突然意识到此次袭击是不可避免的。而不管怎样,RSA的反应是非常优雅的。因此我不再为鞋匠的孩子没有鞋而幸灾乐祸,我想我们都可以从中学到,我们自身的安全战略需要发展到新的水平,来应付这样的情况。今后还会发生更多这样的情况,这是肯定的。你准备好了吗?
Solera Networks
“RSA发现了攻击,并且似乎知道采取什么措施,这一事实是一个好兆头。 “我很清楚他们采取了某种网络取证技术,”Schlampp说。在许多情况下,一旦公司发现违规,他们不知道泄漏了什么数据,他说。