RSA公司最近發(fā)生的數(shù)據(jù)泄漏只是一系列備受矚目的公司遭受嚴(yán)重安全事故的又一案例，而受害者的數(shù)目還在繼續(xù)攀升。RSA公司表示，一種所謂的先進(jìn)持續(xù)威脅（APT）能夠?qū)λ囊恍┫到y(tǒng)造成危害。雖然RSA公司不是因?yàn)槠淞钆粕矸蒡?yàn)證產(chǎn)品SecurID的漏洞而導(dǎo)致數(shù)據(jù)泄漏的，但是該公司表示關(guān)于SecurID的數(shù)據(jù)被竊取了，這使得有些人預(yù)測SecurID在未來遭到攻擊的可能性可能會(huì)增加。

這篇文章將討論基于令牌的身份驗(yàn)證的最大威脅，包括那些安全專家最有可能發(fā)現(xiàn)的攻擊，以及如何確保令牌和其它身份驗(yàn)證方法在這些特定攻擊下得到保護(hù)。

RSA事件和建議

據(jù)報(bào)道，RSA的攻擊起源于一個(gè)魚叉式網(wǎng)絡(luò)釣魚電子郵件（spear phishing email），該郵件包含了一個(gè)內(nèi)置有Adobe Flash零日漏洞利用程序的惡意Excel文件附件。這個(gè)魚叉式網(wǎng)絡(luò)釣魚電子郵件用于破壞RSA公司的安全，并安裝一個(gè)用于遠(yuǎn)程操控的管理工具。

RSA公司表示，SecurID受到了影響，這意味很多。SecurID系統(tǒng)最密不可分的部分便是令牌本身：令牌既可以是硬件，也可以是具有一個(gè)序列號的軟件，并與一個(gè)在新的令牌建立時(shí)導(dǎo)入到服務(wù)器上的種子文件配對。有些人推測，在攻擊者偷走的數(shù)據(jù)中，詳細(xì)說明了哪一個(gè)序列號對應(yīng)于哪一個(gè)種子文件（seed file）。這個(gè)攻擊還可能使得系統(tǒng)的源代碼已經(jīng)暴露在外，從而允許攻擊者找到服務(wù)器軟件中的漏洞，并在以后對其進(jìn)行攻擊。RSA公司建議使用與SecurID令牌代碼相結(jié)合的密碼或者PIN碼，同時(shí)該公司還向其SecurID客戶發(fā)布了一個(gè)行動(dòng)方案來應(yīng)對攻擊。

基于令牌的身份認(rèn)證的最大威脅

基于令牌的身份認(rèn)證，也稱之為雙因素身份驗(yàn)證，通常使用與用戶名和PIN/密碼相結(jié)合的硬件設(shè)備。這些硬件設(shè)備可以是物理的一次性密碼（OTP)）令牌、安裝在移動(dòng)設(shè)備上的一次性密碼軟件令牌、電網(wǎng)卡、USB設(shè)備、刮刮卡（scratch cards）、手機(jī)短信或者移動(dòng)身份驗(yàn)證等等。所有這些產(chǎn)品都具有類似的漏洞：一個(gè)攻擊者可以攻擊令牌基礎(chǔ)設(shè)施、令牌供應(yīng)商、令牌自身或者客戶端。一個(gè)以令牌基礎(chǔ)設(shè)施為目標(biāo)的攻擊者可能會(huì)試圖利用身份認(rèn)證服務(wù)器或者協(xié)議來破壞系統(tǒng)的安全。

RSA的攻擊是攻擊者以令牌供應(yīng)商為目標(biāo)來破壞整個(gè)身份驗(yàn)證系統(tǒng)安全性的一個(gè)例子。攻擊令牌，尤其是智能卡，已經(jīng)可以通過使用差分功耗分析（differential power analysis）來實(shí)現(xiàn)了。Zeus木馬以攻擊客戶端而著稱，即使使用了令牌。如果序列號和種子文件被導(dǎo)入，而且只要時(shí)間是同步的，那么這個(gè)免費(fèi)的工具Cain and Abel甚至還包括生成令牌代碼的功能。

安全專家可能發(fā)現(xiàn)的最常見的攻擊并不令人驚訝：對客戶端的攻擊是最常見的，因?yàn)橥ǔ碇v，它們及其用戶仍然是企業(yè)環(huán)境中最薄弱的環(huán)節(jié)。因此，當(dāng)?shù)卿浛蛻舳酥螅乐箰阂廛浖`取令牌是很重要的。一些USB令牌包括直接讀取令牌以及把它嵌入到網(wǎng)頁窗體中用于身份驗(yàn)證的功能。這樣可能會(huì)防止一些惡意軟件的入侵，但是惡意軟件仍然可以攔截網(wǎng)頁窗體提交來捕獲令牌。顧名思義，一次性密碼的一個(gè)好處是它們僅一次有效、或者在一段有限的時(shí)間段內(nèi)有效。如果種子文件在RSA攻擊中被損壞，那么攻擊者在進(jìn)行網(wǎng)絡(luò)釣魚時(shí)就可能會(huì)使用種子，并用從你所處環(huán)境的其他部分所釣來的信息來攻擊你的系統(tǒng)。因此，確保員工意識到來自釣魚式攻擊的潛在危險(xiǎn)是必需的。

企業(yè)防御策略

在選擇實(shí)施哪一種身份認(rèn)證、或者如何強(qiáng)化現(xiàn)有的實(shí)施方案時(shí)，安全專家應(yīng)該考慮到這些威脅。你可以通過限制網(wǎng)絡(luò)訪問、或者通過關(guān)閉防火墻來保護(hù)令牌基礎(chǔ)設(shè)施，使得只允許必需的系統(tǒng)訪問。如果一個(gè)攻擊者成功地利用漏洞入侵了你的令牌供應(yīng)商，那么你可以通過公開地與供應(yīng)商溝通，弄清楚哪些其它漏洞可能會(huì)由于這個(gè)破壞而被利用，以此來保護(hù)你的企業(yè)。另外，定期檢查日志從而確定是否有任何可疑的身份認(rèn)證正在發(fā)生，同時(shí)，如果現(xiàn)有的系統(tǒng)不能達(dá)到你的安全級別，那么就要以容易切換到一個(gè)新的供應(yīng)商的方式來安裝令牌供應(yīng)商的軟件。

為了抵御對令牌自身的攻擊，請對那些具有強(qiáng)大防篡改功能的安全令牌進(jìn)行投資，比如：防篡改實(shí)例和設(shè)計(jì)用來防篡改的軟件/硬件，并訓(xùn)練用戶如何保持令牌的物理安全性，以及遵從RSA公司在該安全事件之后所提出的建議。另外，還可以參考關(guān)于維護(hù)客戶端免受攻擊的其它建議。

結(jié)論

因?yàn)镽SA公司至今只公開發(fā)布了關(guān)于其最近的先進(jìn)持續(xù)威脅漏洞的少量信息，所以企業(yè)不得不對其進(jìn)行猜測，從而做出相應(yīng)計(jì)劃以確保它們的SecurID系統(tǒng)是被安全地應(yīng)用和維護(hù)的。然而，企業(yè)應(yīng)該一直聽從RSA公司關(guān)于這起事件所提出的建議，因?yàn)樵S多建議都是標(biāo)準(zhǔn)的最佳安全做法。對于高安全性環(huán)境有針對性的攻擊來講，RSA攻擊可能會(huì)削弱企業(yè)的安全性，但對大多數(shù)企業(yè)來講，該事件所造成的影響甚微。