RSA公司最近发生的数据泄漏只是一系列备受瞩目的公司遭受严重安全事故的又一案例,而受害者的数目还在继续攀升。RSA公司表示,一种所谓的先进持续威胁(APT)能够对它的一些系统造成危害。虽然RSA公司不是因为其令牌身份验证产品SecurID的漏洞而导致数据泄漏的,但是该公司表示关于SecurID的数据被窃取了,这使得有些人预测SecurID在未来遭到攻击的可能性可能会增加。
这篇文章将讨论基于令牌的身份验证的最大威胁,包括那些安全专家最有可能发现的攻击,以及如何确保令牌和其它身份验证方法在这些特定攻击下得到保护。
RSA事件和建议
据报道,RSA的攻击起源于一个鱼叉式网络钓鱼电子邮件(spear phishing email),该邮件包含了一个内置有Adobe Flash零日漏洞利用程序的恶意Excel文件附件。这个鱼叉式网络钓鱼电子邮件用于破坏RSA公司的安全,并安装一个用于远程操控的管理工具。
RSA公司表示,SecurID受到了影响,这意味很多。SecurID系统最密不可分的部分便是令牌本身:令牌既可以是硬件,也可以是具有一个序列号的软件,并与一个在新的令牌建立时导入到服务器上的种子文件配对。有些人推测,在攻击者偷走的数据中,详细说明了哪一个序列号对应于哪一个种子文件(seed file)。这个攻击还可能使得系统的源代码已经暴露在外,从而允许攻击者找到服务器软件中的漏洞,并在以后对其进行攻击。RSA公司建议使用与SecurID令牌代码相结合的密码或者PIN码,同时该公司还向其SecurID客户发布了一个行动方案来应对攻击。
基于令牌的身份认证的最大威胁
基于令牌的身份认证,也称之为双因素身份验证,通常使用与用户名和PIN/密码相结合的硬件设备。这些硬件设备可以是物理的一次性密码(OTP))令牌、安装在移动设备上的一次性密码软件令牌、电网卡、USB设备、刮刮卡(scratch cards)、手机短信或者移动身份验证等等。所有这些产品都具有类似的漏洞:一个攻击者可以攻击令牌基础设施、令牌供应商、令牌自身或者客户端。一个以令牌基础设施为目标的攻击者可能会试图利用身份认证服务器或者协议来破坏系统的安全。
RSA的攻击是攻击者以令牌供应商为目标来破坏整个身份验证系统安全性的一个例子。攻击令牌,尤其是智能卡,已经可以通过使用差分功耗分析(differential power analysis)来实现了。Zeus木马以攻击客户端而著称,即使使用了令牌。如果序列号和种子文件被导入,而且只要时间是同步的,那么这个免费的工具Cain and Abel甚至还包括生成令牌代码的功能。
安全专家可能发现的最常见的攻击并不令人惊讶:对客户端的攻击是最常见的,因为通常来讲,它们及其用户仍然是企业环境中最薄弱的环节。因此,当登录客户端之后,防止恶意软件窃取令牌是很重要的。一些USB令牌包括直接读取令牌以及把它嵌入到网页窗体中用于身份验证的功能。这样可能会防止一些恶意软件的入侵,但是恶意软件仍然可以拦截网页窗体提交来捕获令牌。顾名思义,一次性密码的一个好处是它们仅一次有效、或者在一段有限的时间段内有效。如果种子文件在RSA攻击中被损坏,那么攻击者在进行网络钓鱼时就可能会使用种子,并用从你所处环境的其他部分所钓来的信息来攻击你的系统。因此,确保员工意识到来自钓鱼式攻击的潜在危险是必需的。
企业防御策略
在选择实施哪一种身份认证、或者如何强化现有的实施方案时,安全专家应该考虑到这些威胁。你可以通过限制网络访问、或者通过关闭防火墙来保护令牌基础设施,使得只允许必需的系统访问。如果一个攻击者成功地利用漏洞入侵了你的令牌供应商,那么你可以通过公开地与供应商沟通,弄清楚哪些其它漏洞可能会由于这个破坏而被利用,以此来保护你的企业。另外,定期检查日志从而确定是否有任何可疑的身份认证正在发生,同时,如果现有的系统不能达到你的安全级别,那么就要以容易切换到一个新的供应商的方式来安装令牌供应商的软件。
为了抵御对令牌自身的攻击,请对那些具有强大防篡改功能的安全令牌进行投资,比如:防篡改实例和设计用来防篡改的软件/硬件,并训练用户如何保持令牌的物理安全性,以及遵从RSA公司在该安全事件之后所提出的建议。另外,还可以参考关于维护客户端免受攻击的其它建议。
结论
因为RSA公司至今只公开发布了关于其最近的先进持续威胁漏洞的少量信息,所以企业不得不对其进行猜测,从而做出相应计划以确保它们的SecurID系统是被安全地应用和维护的。然而,企业应该一直听从RSA公司关于这起事件所提出的建议,因为许多建议都是标准的最佳安全做法。对于高安全性环境有针对性的攻击来讲,RSA攻击可能会削弱企业的安全性,但对大多数企业来讲,该事件所造成的影响甚微。