六个星期在EMC的RSA安全部门看到SecurID系统遭受黑客,RSA汤姆黑总统会见了CIO的大型全球医疗设备公司。
CIO没有快乐。SecurID, 4000万人所使用的身份验证系统在全球至少30000个组织安全访问系统,已经妥协。RSA曾在其网站上发布了一个模糊的信3月17日,入侵后不久,但攻击稀少的细节。
“CIO非常沮丧,”黑说。“这不是一个愉快的谈话,我可以向你保证。”
该公司是一个数百,RSA直接伸出攻击后,促使问题仍然是多么安全使用SecurID。许多企业用户SecurID设备,它显示一个临时一次性密码,让他们访问一个IT系统。
周二在伦敦的RSA安全会议上,黑透露更多细节比迄今为止知道的攻击,RSA坚称没有破坏整个系统的完整性。
RSA,曾与美国联邦调查局,美国国土安全部,英国执法和其他机构,认为两组负责攻击。EMC执行主席科拒绝透露该团体,但表示,由于复杂的入侵“我们只能得出结论,它是一个国家发起攻击。”
黑前两组已经被当局说,虽然他们不知道一起工作。
“这告诉我们什么呢?”Heiser asked. "Our adversary was determined, persistent and very well coordinated. They knew what to look for and where to go."
RSA发现攻击,因为它正在使用网技术,一个公司收购今年4月,黑说。现在认为黑客获得RSA的系统通过发送某些员工在EMC的人力资源部Excel电子表格是操纵利用Adobe Flash的弱点,虽然RSA还没有证实这一点。
另外,黑客们了解RSA的内部命名约定用于主机的网络以及活动目录——微软的产品用于管理企业网络身份验证的用户——这使得他们的动作系统内部似乎更合理。
“用户名可以匹配的工作站名称,这可能让他们更难以检测如果你不注意,”艾迪·施瓦茨说,RSA的首席安全官。
黑说,袭击是复杂的:他们使用先进的技术来连接到RSA的系统和使用不同的恶意软件,其中一些是编译前几个小时的攻击。被盗的信息压缩和加密之前接的,使它更加难以识别。
RSA进入锁定模式,给员工免费食物24小时调查时一个月。两个黑客组织偷了SecurID具体信息,但RSA拒绝解释什么被偷了。科周二表示,“信息是非常重要的”,但它只是一条信息。
但RSA的后续与客户是缓慢,引起普遍关注,SecurID被打破了。RSA为客户提供了替代SecurID令牌,虽然科相对较少的客户要求。
攻击RSA的动机显然是获得美国国防技术、黑说。RSA伸出约500的顶级客户同时使用其合作伙伴网络与他人联系。尽管如此,许多公司感到的循环,想知道他们的系统是脆弱的。
“我们燃烧试验,”黑说。“许多利益相关者觉得我们可以做得更多,我们应该做的更早,和这些客户我们的不便,我们真的很抱歉。”
黑说媒体报道并不总是准确的。到目前为止,只有一个攻击,试图利用SecurID信息取自RSA。公司的攻击——黑不确定——在国防工业,但这次袭击是最终成功。RSA违反被认为威胁公司包括洛克希德马丁公司、l - 3和诺斯罗普格鲁曼公司。
RSA保留更详细的信息,因为它不想让攻击者知道RSA所知道,黑说。也有担心,另一组可能会试图发动快速攻击。
“他们隐秘的他们却留下一些信息,“黑说。
发送消息的建议和评论到jeremy_kirk@idg.com