前段時(shí)間發(fā)生在RSA網(wǎng)絡(luò)上的問(wèn)題僅僅屬于個(gè)例的安全專(zhuān)家認(rèn)為，保護(hù)好電子郵件，并選擇多層次防御模式就可以應(yīng)對(duì)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)以及高級(jí)持續(xù)威脅導(dǎo)致的風(fēng)險(xiǎn)。

安全專(zhuān)家指出，RSA網(wǎng)絡(luò)遭受的破壞僅僅屬于很難被發(fā)現(xiàn)的“偶發(fā)事件”，并再次向公司發(fā)出呼吁，希望他們選擇安全級(jí)別更高的電子郵件保護(hù)措施，并部署多層次“縱深防御”安全系統(tǒng)。

本星期的早些時(shí)候，安全廠商在一篇日志文章中對(duì)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)進(jìn)行了說(shuō)明，它屬于有針對(duì)性的釣魚(yú)式攻擊，被攻擊者用來(lái)進(jìn)行第一步的網(wǎng)絡(luò)入侵。在攻擊中，網(wǎng)絡(luò)犯罪分子成功地獲得了上個(gè)月剛剛發(fā)布的SecurID身份驗(yàn)證令牌的相關(guān)信息。

來(lái)自RSA的說(shuō)法聲稱(chēng)，網(wǎng)絡(luò)犯罪分子采用了在兩天之內(nèi)分別向兩個(gè)不知情的員工群體發(fā)送了兩封標(biāo)題為“2011年招聘計(jì)劃”包含Excel附件內(nèi)容不同電子郵件的方式。在日志文章中，RSA公司負(fù)責(zé)消費(fèi)者認(rèn)證保護(hù)新技術(shù)的主管烏里·瑞納就事件的發(fā)生原因進(jìn)行了解釋;由于奧多比Flash文件中存在漏洞，導(dǎo)致木馬被容許安裝到系統(tǒng)中，進(jìn)一步導(dǎo)致攻擊者可以通過(guò)遠(yuǎn)程方式接管計(jì)算機(jī)的控制權(quán)。

易安信信息安全事業(yè)部將其定義為類(lèi)似超級(jí)工廠病毒和極光攻擊的高級(jí)持續(xù)威脅(APT)。

對(duì)于公司和個(gè)人來(lái)說(shuō)，都應(yīng)該提高警惕

針對(duì)RSA網(wǎng)絡(luò)中出現(xiàn)的問(wèn)題，守護(hù)使亞太區(qū)首席技術(shù)官保羅·達(dá)克林強(qiáng)調(diào)說(shuō)，用戶(hù)要提高對(duì)電子郵件安全性的關(guān)注度。

他進(jìn)一步指出，不假思索地信任網(wǎng)絡(luò)連接和電子郵件中的內(nèi)容，就如同邀請(qǐng)陌生人到自己家里。“只要打開(kāi)門(mén)，不認(rèn)識(shí)或者沒(méi)有被獲得同意的陌生人就會(huì)進(jìn)來(lái)。盡管并沒(méi)有發(fā)出邀請(qǐng)，但他們還是會(huì)要求使用你家里的計(jì)算機(jī)，網(wǎng)絡(luò)上的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)所做的事情與此完全相同。

在接受ZDNet的電子郵件采訪時(shí)，他向用戶(hù)提出了這樣的問(wèn)題，僅僅因?yàn)樗麄兇┲皿w、文質(zhì)彬彬，并聲稱(chēng)已經(jīng)了解你的情況，你就準(zhǔn)備按照他們給出的指示去做么?

盡管RSA沒(méi)有透露遭受破壞的具體部分，但業(yè)內(nèi)盛傳黑客已經(jīng)連接上負(fù)責(zé)為所有SecureID令牌生成一次性密碼的數(shù)據(jù)庫(kù)。這些通行碼是通過(guò)利用一個(gè)“秘密種子”和當(dāng)時(shí)的時(shí)間生成的，會(huì)被用于雙因子認(rèn)證。在全球范圍內(nèi)，已經(jīng)有約40萬(wàn)臺(tái)硬件令牌獲得部署了，大約2億5千萬(wàn)份軟件正在使用中。

達(dá)克林相信這些代碼都被竊取了僅僅屬于猜測(cè)。

畢馬威新加坡會(huì)計(jì)師事務(wù)所負(fù)責(zé)業(yè)績(jī)和技術(shù)的合伙人龔君文在電子郵件中指出，只有出現(xiàn)RSA令牌生成碼屬于唯一驗(yàn)證手段的情況時(shí)，用戶(hù)才需要擔(dān)心。

“令牌代碼被盜的威脅不應(yīng)該被低估”，他指出。“但是，盡管攻擊者可能從RSA竊取到信息，但依然還要克服多層障礙，才能獲得成功。他們還需要知道以前的令牌代碼編號(hào)或者令牌設(shè)備的硬件序列號(hào)”。

不過(guò)，按照一位業(yè)內(nèi)專(zhuān)家告訴ZDNet姊妹網(wǎng)站CNET的說(shuō)法，負(fù)責(zé)產(chǎn)生種子令牌序列號(hào)的映象算法已經(jīng)被盜。應(yīng)用安全公司Veracode的首席技術(shù)官克里斯·威斯波爾宣稱(chēng)：“某公司使用的序列號(hào)沒(méi)有受到很好的保護(hù)”。

在電子郵件專(zhuān)訪中，市場(chǎng)調(diào)研公司Ovum的首席分析師格雷厄姆·提特林頓認(rèn)為：“我相信，RSA已經(jīng)采取行動(dòng)，更換過(guò)受到影響的種子，因此，這一威脅存在的時(shí)間應(yīng)該是很短的”。

分層模式更安全

畢馬威的龔君文還指出，在這種攻擊中，通常只有在真正的損失出現(xiàn)之后，企業(yè)才會(huì)發(fā)現(xiàn)。

他進(jìn)一步解釋到：“對(duì)于APT來(lái)說(shuō)，這通常都是最大的問(wèn)題。大多數(shù)受害者不知道攻擊是什么時(shí)間發(fā)生的，直到財(cái)務(wù)或者機(jī)密信息的泄露帶來(lái)實(shí)際損失時(shí)，才會(huì)意識(shí)到攻擊的存在”。

來(lái)自O(shè)vum的提特林頓也支持這種觀點(diǎn)，并且進(jìn)一步補(bǔ)充說(shuō)，企業(yè)應(yīng)該選擇安全信息和事件管理(SIEM)工具作為警報(bào)系統(tǒng)。他也指出，利用數(shù)據(jù)泄露防護(hù)工具可以阻止或者發(fā)現(xiàn)數(shù)據(jù)的非法移動(dòng)情況，但這樣做也不是很簡(jiǎn)單的事情。

他建議，在種子泄露后，RSA的客戶(hù)如果懷疑自己的數(shù)據(jù)可能遭遇攻擊時(shí)，就應(yīng)該選擇對(duì)系統(tǒng)訪問(wèn)日志進(jìn)行檢查，確認(rèn)當(dāng)中不存在異常的訪問(wèn)行為。

當(dāng)被問(wèn)到是怎么看待附加防火墻和虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)令牌解決方案之類(lèi)的替代安全措施時(shí)，提特林頓斥之為“關(guān)注重點(diǎn)存在錯(cuò)誤”。

他宣稱(chēng)：“令牌可能丟失或者被破壞，并且，我們已經(jīng)建立了太多的防火墻。對(duì)于威脅防御來(lái)說(shuō)，我們需要一種更靈活的方法”。

守護(hù)使的達(dá)克林就倡導(dǎo)“縱深防御”模式的安全策略，用來(lái)應(yīng)對(duì)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)和APT。“對(duì)于外部攻擊者來(lái)說(shuō)，如果公司選擇多層次安全和保護(hù)模式的話(huà)，就很難在不觸發(fā)某些位置安裝的報(bào)警點(diǎn)的情況進(jìn)行攻擊”。

他進(jìn)一步解釋說(shuō)：“在安全方面，受到良好保護(hù)的公司可以選擇很多種有效做法。良好的電子郵件安全網(wǎng)關(guān)以及切合實(shí)際的電子郵件管理策略，都可以在第一時(shí)間防止異常附件帶來(lái)的威脅”。

畢馬威的龔君文還指出，安全廠商也應(yīng)該關(guān)注APT的發(fā)展情況。

他說(shuō)：“如果RSA被APT成功攻擊的話(huà)，對(duì)于其它安全軟件公司來(lái)說(shuō)，就意味著有很高的幾率遭遇類(lèi)似的情況。”

【編輯推薦】

1. 大話(huà)IT之RSA歸來(lái)看APT高持續(xù)性威脅(音頻)
2. Verizon觀點(diǎn)：高級(jí)持續(xù)性威脅（APT）攻擊被夸大了
3. 全面解析高級(jí)持續(xù)性威脅(APT)