| 摘要:本文介绍了最近针对两个美国国防承包商的攻击,讨论了SecurID令牌的安全风险以及企业该如何从这些事件中吸取教训,从而保护自己的敏感数据。 |
根据Wired.com网站Threat Level博客上的消息,位于纽约的国防承包商L-3通信公司高管在前一段时间发布的一份报告显示,该公司曾在四月就一次网络攻击警告过其员工。Wired获得的一封电子邮件显示,L-3的一名高管证实该公司遭到了攻击,黑客使用的是RSA攻击后所泄露的信息,此次RSA攻击是由其母公司EMC公司在三月份披露的。
与此同时,国防工业巨头洛克希德•马丁(Lockheed Martin,位于美国马里兰州贝塞斯达)公司正在调查其网络上单独的攻击。具体的攻击细节很少,但一些报道认为黑客试图用偷来的SecurID产品数据远程穿透该军火公司的网络。
随着与这两起事件相关细节逐渐披露出来,安全专家表示,企业可以从这些袭击事件中吸取教训,对他们的系统和处理流程进行彻底的数据安全评估,加强认证和访问控制。
一个杰出的白帽子黑客,同时也是位于英国的MWR InfoSecurity公司的安全研究负责人Nils表示,RSA的令牌不再值得信任。RSA没有证实它的种子记录(seedrecords)是否已经在这次泄露事件中暴露,但一些专家认为,安全供应商的这种姿态或许表明用于生成一次性密码的安全密钥可能已经暴露了。
因此,Nils表示,采用该技术(RSA令牌)的企业应该采取行动来加固它们主要的认证方式,比如要求员工选择更强壮的密码,并强制要求更频繁地对其进行变更。
Nils说:“当泄漏发生的时候,应该在泄漏之前把所有能做的措施都做了,以此来限制影响。比如立即关闭‘所有’不需要即刻访问系统的用户的接入。”
Nils说,一些企业应该考虑在包含敏感知识产权的系统周围布置额外层次的安全包。大多数如L3和洛克希德这些承担政府高度敏感计划的公司都有好几个安全层。举个例子,如果一个攻击渗透了网络的外层部分,检测系统便开始生效,并会在敏感系统或者数据泄漏前提醒管理员采取行动。通常,美国国防承包商可以击退外部攻击者多次试图渗透其网络的攻击,并已准备了冗余系统和故障恢复措施来阻挠正在进行的攻击。洛克希德公司还采取了完全关闭网络接入的安全措施,这被证明是很有必要的。
为了达到这个目的,Nils建议除非部署了进一步的控制措施,否则应该完全拒绝对一个组织最敏感系统的远程访问。拒绝远程访问高度敏感系统是一种最佳实践,但没有几个企业选择这样做。一些使用SecurID的公司可能要考虑三重认证措施并重新评估,即谁有权访问敏感数据,从而限制只有少数的员工才能访问系统。
Nils说:“不幸的是,很多公司不锁定数据,事实上他们或许更应该有多层防护措施来拖延攻击者。”
Nils表示,对于拥有需要保护高度敏感信息的SecurID客户来说,可以在资金允许的情况下用选择另一种可行的方案去替代SecurID。但是,它又引入了一个全新的设置问题,其中包括需要信任一个新的供应商,并可能中断现在使用的IT服务。
信息安全咨询公司Jensen Beach的总裁Thomas Ianuzzi更为激进,他表示,对大多数公司来说更换SecurID可能不够精打细算。因为即使做最坏的假设,即SecurID用户的令牌记录在RSA入侵攻击中被泄漏,攻击者也需要使用复杂的手段来获取他们需要的额外信息,从而实现针对SecurID客户的攻击。
Ianuzzi负责为大中型企业提供IT安全规划和计算机安全取证。他表示,他所服务过的绝大多数公司总是到数据泄漏发生后才会寻求他的帮助。这种情况下,多数的攻击者可以获得对数据的访问,因为基本的安全进程已经崩溃了。
Ianuzzi说;“企业通常在绝大多数的事情上做得很对,但他们没有做到面面俱到,从而实现对所有基本面的覆盖。”
虽然Ianuzzi和Nils一致认为,额外层次技术可以帮助阻止攻击,定期的、持续的安全培训也是用来向员工灌输必要警觉的必须手段。但社会工程攻击和网络drive-by攻击都是设计来获得密码的。当攻击者有一个可用的密码,他们距离敏感数据只有一步之遥。
Ianuzzi说:“公司的员工需要谨记,公司的专有数据像装满金子的树干一样的宝贵”。
他说道,最近的国防承包商泄漏事件中可用的资料太少,不足以用来衡量SecurID的安全风险。现在,组织应集中讨论SecurID安全问题中他们了解的部分。支持主要的因素并加强包含敏感数据的服务器周围的安全系统。
RSA SecurID的发言人Ianuzzi说:“我从不会谴责一个产品或者方法没有足够的信息,而现在我们没有这个产品。我认为在某些时候RSA会想告诉市场一些事情,比如最终发现它原来的产品没有危险,他们会大肆宣传的。”
责任编辑:Lily
评论表单加载中...
