SecurID令牌攻击表明:数据安全亟待重新评估

日期: 2011-06-13 作者:Robert Westervelt翻译:Sean 来源:TechTarget中国 英文

最近,针对两个美国国防承包商的攻击在敏感数据泄漏前,就已经被检测到。但安全专家表示,这些攻击和被窃取的RSA SecurID技术之间可能存在着某种联系,那些使用RSA双因素认证技术的企业应该谨慎。   根据Wired.com网站ThreatLevel博客上的消息,位于纽约的国防承包商L-3通信公司高管在前一段时间发布的一份报告显示,该公司曾在四月就一次网络攻击警告过其员工。Wired获得的一封电子邮件显示, L-3的一名高管证实该公司遭到了攻击,黑客使用的是RSA攻击后所泄露的信息,此次RSA攻击是由其母公司EMC公司在三月份披露的。

  与此同时,国防工业巨头洛克希德•马丁(Lockheed……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

最近,针对两个美国国防承包商的攻击在敏感数据泄漏前,就已经被检测到。但安全专家表示,这些攻击和被窃取的RSA SecurID技术之间可能存在着某种联系,那些使用RSA双因素认证技术的企业应该谨慎。

  根据Wired.com网站ThreatLevel博客上的消息,位于纽约的国防承包商L-3通信公司高管在前一段时间发布的一份报告显示,该公司曾在四月就一次网络攻击警告过其员工。Wired获得的一封电子邮件显示, L-3的一名高管证实该公司遭到了攻击,黑客使用的是RSA攻击后所泄露的信息,此次RSA攻击是由其母公司EMC公司在三月份披露的。

  与此同时,国防工业巨头洛克希德•马丁(Lockheed Martin,位于美国马里兰州贝塞斯达)公司正在调查其网络上单独的攻击。具体的攻击细节很少,但一些报道认为黑客试图用偷来的SecurID产品数据远程穿透该军火公司的网络。

  随着与这两起事件相关细节逐渐披露出来,安全专家表示,企业可以从这些袭击事件中吸取教训,对他们的系统和处理流程进行彻底的数据安全评估,加强认证和访问控制。

  一个杰出的白帽子黑客,同时也是位于英国的MWR InfoSecurity公司的安全研究负责人Nils表示,RSA的令牌不再值得信任。RSA没有证实它的种子记录(seed records)是否已经在这次泄露事件中暴露,但一些专家认为,安全供应商的这种姿态或许表明用于生成一次性密码的安全密钥可能已经暴露了。

  因此,Nils表示,采用该技术(RSA令牌)的企业应该采取行动来加固它们主要的认证方式,比如要求员工选择更强壮的密码,并强制要求更频繁地对其进行变更。

  Nils说:“当泄漏发生的时候,应该在泄漏之前把所有能做的措施都做了,以此来限制影响。比如立即关闭‘所有’不需要即刻访问系统的用户的接入。”

  Nils说,一些企业应该考虑在包含敏感知识产权的系统周围布置额外层次的安全包。大多数如L3和洛克希德这些承担政府高度敏感计划的公司都有好几个安全层。举个例子,如果一个攻击渗透了网络的外层部分,检测系统便开始生效,并会在敏感系统或者数据泄漏前提醒管理员采取行动。通常,美国国防承包商可以击退外部攻击者多次试图渗透其网络的攻击,并已准备了冗余系统和故障恢复措施来阻挠正在进行的攻击。洛克希德公司还采取了完全关闭网络接入的安全措施,这被证明是很有必要的。

  为了达到这个目的,Nils建议除非部署了进一步的控制措施,否则应该完全拒绝对一个组织最敏感系统的远程访问。拒绝远程访问高度敏感系统是一种最佳实践,但没有几个企业选择这样做。一些使用SecurID的公司可能要考虑三重认证措施并重新评估,即谁有权访问敏感数据,从而限制只有少数的员工才能访问系统。

  Nils说:“不幸的是,很多公司不锁定数据,事实上他们或许更应该有多层防护措施来拖延攻击者。”

  Nils表示,对于拥有需要保护高度敏感信息的SecurID客户来说,可以在资金允许的情况下用选择另一种可行的方案去替代SecurID。但是,它又引入了一个全新的设置问题,其中包括需要信任一个新的供应商,并可能中断现在使用的IT服务。

  信息安全咨询公司Jensen Beach的总裁Thomas Ianuzzi更为激进,他表示,对大多数公司来说更换SecurID可能不够精打细算。因为即使做最坏的假设,即SecurID用户的令牌记录在RSA入侵攻击中被泄漏,攻击者也需要使用复杂的手段来获取他们需要的额外信息,从而实现针对SecurID客户的攻击。

  Ianuzzi负责为大中型企业提供IT安全规划和计算机安全取证。他表示,他所服务过的绝大多数公司总是到数据泄漏发生后才会寻求他的帮助。这种情况下,多数的攻击者可以获得对数据的访问,因为基本的安全进程已经崩溃了。

  Ianuzzi 说;“企业通常在绝大多数的事情上做得很对,但他们没有做到面面俱到,从而实现对所有基本面的覆盖。”

  虽然Ianuzzi和Nils一致认为,额外层次技术可以帮助阻止攻击,定期的、持续的安全培训也是用来向员工灌输必要警觉的必须手段。但社会工程攻击和网络drive-by攻击都是设计来获得密码的。当攻击者有一个可用的密码,他们距离敏感数据只有一步之遥。

  Ianuzzi说:“公司的员工需要谨记,公司的专有数据像装满金子的树干一样的宝贵”。

  他说道,最近的国防承包商泄漏事件中可用的资料太少,不足以用来衡量SecurID的安全风险。现在,组织应集中讨论SecurID安全问题中他们了解的部分。支持主要的因素并加强包含敏感数据的服务器周围的安全系统。

  RSA SecurID的发言人Ianuzzi说:“我从不会谴责一个产品或者方法没有足够的信息,而现在我们没有这个产品。我认为在某些时候RSA会想告诉市场一些事情,比如最终发现它原来的产品没有危险,他们会大肆宣传的。”

翻译

Sean
Sean

相关推荐