EMC的RSA安全小组周四发布的相对较少的信息与盗取SecurID认证技术代码引发了人们对此次黑客入侵的性质及其对企业的影响的大量猜测。
几个安全分析师们今天敦促正在使用SecurID的公司审查他们的认证措施,并在必要时予以支持。他们补充说,在RSA公布更多关于这次入侵的细节之前,最好假设SecurID是脆弱的。
“不要惊慌,”Securosis分析师里奇·莫古尔(Rich Mogull)说。莫古尔说,“在我们知道攻击者、损失了什么、潜在攻击的载体”以及SecurID可能被破坏的程度之前,很难做出风险评估。
但至少在目前,企业应该假设SecurID不再是认证的第二个有效因素,他说。莫古尔说:“检查与SecurID账户相关的密码,确保它们是可靠的。”“考虑禁用不使用密码或个人识别码的账户,并设置密码尝试锁定。”
RSA周四承认,有不明身份的入侵者窃取了与其SecurID技术有关的信息,并称这是“针对RSA的极其复杂的网络攻击”,这让安全公司感到尴尬。
该公司表示,失窃的信息不会导致对SecurID的直接攻击。但它补充说,这些信息可能会被用来降低这项技术的有效性。
SecurID用于双因素认证。RSA以硬件和软件令牌的形式提供了这项技术,它能够每60秒产生一次随机密码。
该技术旨在与密码结合使用,为访问系统和网络提供第二层身份验证。超过25000家企业目前使用SecurID令牌来保护对高价值应用程序和数据的访问,其中许多企业位于金融部门和政府部门。
虽然RSA还没有透露哪些或多少SecurID信息被窃取,但Gartner的分析师John Pescatore表示,仅仅是该公司警告安全性降低这一事实就令人不安。
佩斯卡托雷说,这一声明保证了这次入侵“对SecurID用户来说是一件大事”。
他说:“SecurID令牌非常昂贵,用户也不喜欢它们,但它们一直是可重复使用密码的有力替代品。”“(但)如果提供的保障面临风险,那么得不偿失。”
佩斯卡托雷驳斥了RSA声称他们是一个老练的高级持续威胁(APT)这是一种低、慢、高针对性的攻击,通常与中国黑客有关。
佩斯卡托雷说,RSA的说法是“不诚实的”。它试图转移人们对RSA未能保护其系统的注意力。任何具有任何威胁经验的安全公司都已经处理有针对性的威胁好几年了。”
根据Intrepidus集团对SecurID技术的描述,SecurID是一种专有算法,旨在按照预先确定的顺序产生随机数。RSA认证服务器使用这个序列来验证登录的人是否真的拥有令牌Intrepidus在今天的一篇博客上说.
每个令牌都有一个“种子”,确定由该令牌生成的6位数字序列。种子确保数字以每个令牌唯一的顺序产生。Intrepidus说,SecurID算法确保了每个令牌可以产生无限个潜在序列,这使得它们几乎不可能被破解。
尽管如此,Intrepidus指出,在某些情况下,这种保证可能会被削弱。一个例子是,攻击者设法获得所有种子和它们相关的令牌序列号的列表。另一种情况是,如果攻击者设法获得种子列表和分配给他们的公司。
Intrepidus首席顾问杰里米·艾伦(Jeremy Allen)表示,最糟糕的情况是,黑客发现了任何文件,显示出算法的内在弱点,使他们能够为硬件和软件令牌生成有效的密码。
艾伦表示:“除非有什么东西从根本上被破坏了,否则没有必要恐慌。”
吉尔特集团(Gilt Groupe)安全与合规总监亚历山大•亚姆波斯基(Aleksandr Yampolskiy)表示,即使黑客成功窃取了SecurID算法,想要阻止攻击仍将非常困难。
他说:“即使伪随机数生成器的细节被公之于众,除非种子和(代币持有者的密码)被泄露,”攻击是不可能的。
“个人客户的密码存储在各个公司的服务器上,而不是RSA,”Yampolskiy说。“所以黑客不应该能够访问这些文件。”
“我建议人们遵循一般的安全建议,”Yampolskiy说。除了确保强大的密码和个人识别码政策,公司还应该确保他们的关键系统得到适当的修补。
“密切监控对关键系统的访问,并实施日志聚合来监控它们的访问,”他说。“考虑在关键服务器上安装主机入侵检测系统,使用机器学习算法区分好的软件和坏的未知软件病毒."
Jaikumar Vijayan为Computerworld报道数据安全和隐私问题、金融服务安全和电子投票。在推特上关注贾库马尔@jaivijayan或订阅Jaikumar的RSS提要.他的电子邮件地址是jvijayan@computerworld.com.
阅读更多关于数据安全的信息计算机世界的数据安全主题中心。
这篇题为“RSA安全漏洞引发的警告”的文章最初是由《计算机世界》 .