前段时间发生在RSA网络上的问题仅仅属于个例的安全专家认为,保护好电子邮件,并选择多层次防御模式就可以应对鱼叉式网络钓鱼以及高级持续威胁导致的风险。
安全专家指出,RSA网络遭受的破坏仅仅属于很难被发现的“偶发事件”,并再次向公司发出呼吁,希望他们选择安全级别更高的电子邮件保护措施,并部署多层次“纵深防御”安全系统。
本星期的早些时候,安全厂商在一篇日志文章中对鱼叉式网络钓鱼进行了说明,它属于有针对性的钓鱼式攻击,被攻击者用来进行第一步的网络入侵。在攻击中,网络犯罪分子成功地获得了上个月刚刚发布的SecurID身份验证令牌的相关信息。
来自RSA的说法声称,网络犯罪分子采用了在两天之内分别向两个不知情的员工群体发送了两封标题为“2011年招聘计划”包含Excel附件内容不同电子邮件的方式。在日志文章中,RSA公司负责消费者认证保护新技术的主管乌里·瑞纳就事件的发生原因进行了解释;由于奥多比Flash文件中存在漏洞,导致木马被容许安装到系统中,进一步导致攻击者可以通过远程方式接管计算机的控制权。
易安信信息安全事业部将其定义为类似超级工厂病毒和极光攻击的高级持续威胁(APT)。
对于公司和个人来说,都应该提高警惕
针对RSA网络中出现的问题,守护使亚太区首席技术官保罗·达克林强调说,用户要提高对电子邮件安全性的关注度。
他进一步指出,不假思索地信任网络连接和电子邮件中的内容,就如同邀请陌生人到自己家里。“只要打开门,不认识或者没有被获得同意的陌生人就会进来。尽管并没有发出邀请,但他们还是会要求使用你家里的计算机,网络上的鱼叉式网络钓鱼所做的事情与此完全相同。
在接受ZDNet的电子邮件采访时,他向用户提出了这样的问题,仅仅因为他们穿着得体、文质彬彬,并声称已经了解你的情况,你就准备按照他们给出的指示去做么?
尽管RSA没有透露遭受破坏的具体部分,但业内盛传黑客已经连接上负责为所有SecureID令牌生成一次性密码的数据库。这些通行码是通过利用一个“秘密种子”和当时的时间生成的,会被用于双因子认证。在全球范围内,已经有约40万台硬件令牌获得部署了,大约2亿5千万份软件正在使用中。
达克林相信这些代码都被窃取了仅仅属于猜测。
毕马威新加坡会计师事务所负责业绩和技术的合伙人龚君文在电子邮件中指出,只有出现RSA令牌生成码属于唯一验证手段的情况时,用户才需要担心。
“令牌代码被盗的威胁不应该被低估”,他指出。“但是,尽管攻击者可能从RSA窃取到信息,但依然还要克服多层障碍,才能获得成功。他们还需要知道以前的令牌代码编号或者令牌设备的硬件序列号”。
不过,按照一位业内专家告诉ZDNet姊妹网站CNET的说法,负责产生种子令牌序列号的映象算法已经被盗。应用安全公司Veracode的首席技术官克里斯·威斯波尔宣称:“某公司使用的序列号没有受到很好的保护”。
在电子邮件专访中,市场调研公司Ovum的首席分析师格雷厄姆·提特林顿认为:“我相信,RSA已经采取行动,更换过受到影响的种子,因此,这一威胁存在的时间应该是很短的”。
分层模式更安全
毕马威的龚君文还指出,在这种攻击中,通常只有在真正的损失出现之后,企业才会发现。
他进一步解释到:“对于APT来说,这通常都是最大的问题。大多数受害者不知道攻击是什么时间发生的,直到财务或者机密信息的泄露带来实际损失时,才会意识到攻击的存在”。
来自Ovum的提特林顿也支持这种观点,并且进一步补充说,企业应该选择安全信息和事件管理(SIEM)工具作为警报系统。他也指出,利用数据泄露防护工具可以阻止或者发现数据的非法移动情况,但这样做也不是很简单的事情。
他建议,在种子泄露后,RSA的客户如果怀疑自己的数据可能遭遇攻击时,就应该选择对系统访问日志进行检查,确认当中不存在异常的访问行为。
当被问到是怎么看待附加防火墙和虚拟专用网络(VPN)令牌解决方案之类的替代安全措施时,提特林顿斥之为“关注重点存在错误”。
他宣称:“令牌可能丢失或者被破坏,并且,我们已经建立了太多的防火墙。对于威胁防御来说,我们需要一种更灵活的方法”。
守护使的达克林就倡导“纵深防御”模式的安全策略,用来应对鱼叉式网络钓鱼和APT。“对于外部攻击者来说,如果公司选择多层次安全和保护模式的话,就很难在不触发某些位置安装的报警点的情况进行攻击”。
他进一步解释说:“在安全方面,受到良好保护的公司可以选择很多种有效做法。良好的电子邮件安全网关以及切合实际的电子邮件管理策略,都可以在第一时间防止异常附件带来的威胁”。
毕马威的龚君文还指出,安全厂商也应该关注APT的发展情况。
他说:“如果RSA被APT成功攻击的话,对于其它安全软件公司来说,就意味着有很高的几率遭遇类似的情况。”
