通過對RSA的攻擊獲得的機(jī)密資料可能使攻擊者偽裝成RSA SecurID令牌用戶，可以訪問企業(yè)系統(tǒng)， 但不會(huì)獲得更多的信息。

事件

2011年3月17日，EMC信息安全事業(yè)部RSA日前宣布，攻擊者已獲得其RSA SecurID的一次性密碼（OTP）認(rèn)證產(chǎn)品的有關(guān)信息。 RSA聲明，提取的信息本身不能實(shí)現(xiàn)直接的攻擊。 EMC公司發(fā)布了8-K報(bào)告，其中包括了一份"SecureCare"的說明，概述其給客戶提供的初步意見。進(jìn)一步的建議于3月21日公布。

分析

EMC公司發(fā)布8-K報(bào)告是這家公司采取的不尋常的一步?？梢岳斫?，RSA在公開聲明中對于具體提取了何種信息以及攻擊者如何利用其來損害客戶的RSA SecurID部署采取了小心翼翼的態(tài)度。

Gartner懷疑，從RSA系統(tǒng)提取的系統(tǒng)可能使攻擊者確定任何特定的用來產(chǎn)生一個(gè)OTP的令牌的共享秘密信息。然而，僅憑這一點(diǎn)無法發(fā)動(dòng)直接攻擊。為了成功地模擬一個(gè)真實(shí)的OTP，攻擊者還需要知道另外兩個(gè)變量，這兩個(gè)變量都是客戶的商業(yè)組織控制的，即PIN碼和用戶令牌映射。這些要求使RSA提出了對良好的PIN碼管理和服務(wù)器數(shù)據(jù)庫及任何導(dǎo)出數(shù)據(jù)的安全的建議。 RSA還建議企業(yè)密切監(jiān)控服務(wù)器日志的不尋?；顒?dòng)，并監(jiān)測各種社交網(wǎng)絡(luò)，以確保員工不呼吁人們關(guān)注他們的特權(quán)訪問，如果有的話。

RSA的建議是未來幾天的可靠策略。在接下來的幾個(gè)星期，適當(dāng)?shù)男袆?dòng)將取決于對此次事件構(gòu)成的風(fēng)險(xiǎn)以及RSA采取的解決這一違規(guī)事件的步驟的更好理解。

重要的是要注意，所有OTP令牌，包括并非由RSA所提供的，可能通過其他方式受損，因此不應(yīng)該成為保護(hù)企業(yè)資產(chǎn)的唯一手段。

另外，此次事件引起了公眾的多方關(guān)注。不少相關(guān)人士和媒體都發(fā)表了自己的看法。行業(yè)分析師的看法："事實(shí)上，確實(shí)發(fā)生了違規(guī)行為。這一次，發(fā)生在RSA的身上。我敢肯定，他們正在處理關(guān)鍵的后果影響。但是，這此事件也可能會(huì)發(fā)生在許多其他廠商的身上，過去有過，以后也還會(huì)有。"

民間組織"可行的網(wǎng)絡(luò)安全" 表示：我左右為難， "Ranum在解釋他為什么選擇公開談?wù)揜SA受攻擊事件對他的公司和行業(yè)造成的沖擊時(shí)說。"一方面，這是一場媒體的馬戲表演，"他說。"這再次說明如違規(guī)事件也許受到了不必要的關(guān)注，但也表明[RSA的回應(yīng)]確實(shí)是處理違規(guī)事件的一個(gè)非常有效、成熟和負(fù)責(zé)任的辦法。

建議

在接下來的幾天，RSA SecurID的客戶應(yīng)該：

◆遵照RSA的SecureCare說明和RSA的最佳實(shí)踐指南的建議。

◆提高RSA SecurID用戶在所有系統(tǒng)中的監(jiān)控活動(dòng)的粒度。

◆配置您的系統(tǒng)，只允許已知端點(diǎn)的訪問。

◆確保欺詐檢測工具正確分析交易，降低使用交易驗(yàn)證的風(fēng)險(xiǎn)閾值。

◆還可以考慮使用RSA帶外認(rèn)證。

在接下來的幾個(gè)星期，RSA SecurID的客戶應(yīng)該：

◆繼續(xù)與RSA一道評估需要采取哪些進(jìn)一步措施來解決這一攻擊事件。

◆實(shí)現(xiàn)增強(qiáng)的安全監(jiān)控和欺詐檢測技術(shù)。 （這在任何情況下都是必要的，因?yàn)樗械尿?yàn)證方法都并非不可戰(zhàn)勝。）

銀行和其他依靠RSA SecurID進(jìn)行外部用戶身份驗(yàn)證的機(jī)構(gòu)：還可以采取其他分層控制，如交易驗(yàn)證。

未來的RSA SecurID客戶：目前請暫時(shí)將RSA列入考量范圍。

SANS技術(shù)研究所首席執(zhí)行官，他補(bǔ)充說，此次攻擊 "不會(huì)改變競爭格局，說這種話的人都是危言聳聽。" 他建議RSA用戶不要恐慌，如果他們覺得自己的令牌的完整性受到影響，可以再使用一個(gè)安全層。

英國頂級合作伙伴贊譽(yù)RSA對攻擊所作的回應(yīng) ，"RSA是為客戶服務(wù)，并確保他們獲得盡可能多的信息，"他說。 "RSA給我們傳達(dá)了非常清楚的信息，他們作為一個(gè)企業(yè)已負(fù)責(zé)任地通知我們，告訴我們應(yīng)該提醒顧客什么，我認(rèn)為我們無法要求比這更多了。"

【編輯推薦】

1. 利用假冒SSL證書的釣魚攻擊瞄準(zhǔn)信用卡服務(wù)品牌
2. 服務(wù)器安全：IIS 6漸受攻擊者青睞
3. Web攻擊的十大原因
4. Web2.0時(shí)代 需要防范黑客的5種新型在線攻擊