RSA公司最近發(fā)生的數(shù)據(jù)泄漏只是一系列備受矚目的公司遭受嚴(yán)重安全事故的又一案例，而受害者的數(shù)目還在繼續(xù)攀升。RSA公司表示，一種所謂的先進持續(xù)威脅(APT)能夠?qū)λ囊恍┫到y(tǒng)造成危害。雖然RSA公司不是因為其令牌身份驗證產(chǎn)品SecurID的漏洞而導(dǎo)致數(shù)據(jù)泄漏的，但是該公司表示關(guān)于SecurID的數(shù)據(jù)被竊取了，這使得有些人預(yù)測SecurID在未來遭到攻擊的可能性可能會增加。

這篇文章將討論基于令牌的身份驗證的最大威脅，包括那些安全專家最有可能發(fā)現(xiàn)的攻擊，以及如何確保令牌和其它身份驗證方法在這些特定攻擊下得到保護。

RSA事件和建議

據(jù)報道，RSA的攻擊起源于一個魚叉式網(wǎng)絡(luò)釣魚電子郵件(spear phishing email)，該郵件包含了一個內(nèi)置有Adobe Flash零日漏洞利用程序的惡意Excel文件附件。這個魚叉式網(wǎng)絡(luò)釣魚電子郵件用于破壞RSA公司的安全，并安裝一個用于遠(yuǎn)程操控的管理工具。

RSA公司表示，SecurID受到了影響，這意味很多。SecurID系統(tǒng)最密不可分的部分便是令牌本身：令牌既可以是硬件，也可以是具有一個序列號的軟件，并與一個在新的令牌建立時導(dǎo)入到服務(wù)器上的種子文件配對。有些人推測，在攻擊者偷走的數(shù)據(jù)中，詳細(xì)說明了哪一個序列號對應(yīng)于哪一個種子文件(seed file)。這個攻擊還可能使得系統(tǒng)的源代碼已經(jīng)暴露在外，從而允許攻擊者找到服務(wù)器軟件中的漏洞，并在以后對其進行攻擊。RSA公司建議使用與SecurID令牌代碼相結(jié)合的密碼或者PIN碼，同時該公司還向其SecurID客戶發(fā)布了一個行動方案來應(yīng)對攻擊。

基于令牌的身份認(rèn)證的最大威脅

基于令牌的身份認(rèn)證，也稱之為雙因素身份驗證，通常使用與用戶名和PIN/密碼相結(jié)合的硬件設(shè)備。這些硬件設(shè)備可以是物理的一次性密碼(OTP))令牌、安裝在移動設(shè)備上的一次性密碼軟件令牌、電網(wǎng)卡、USB設(shè)備、刮刮卡(scratch cards)、手機短信或者移動身份驗證等等。所有這些產(chǎn)品都具有類似的漏洞：一個攻擊者可以攻擊令牌基礎(chǔ)設(shè)施、令牌供應(yīng)商、令牌自身或者客戶端。一個以令牌基礎(chǔ)設(shè)施為目標(biāo)的攻擊者可能會試圖利用身份認(rèn)證服務(wù)器或者協(xié)議來破壞系統(tǒng)的安全。

RSA的攻擊是攻擊者以令牌供應(yīng)商為目標(biāo)來破壞整個身份驗證系統(tǒng)安全性的一個例子。攻擊令牌，尤其是智能卡，已經(jīng)可以通過使用差分功耗分析(differential power analysis)來實現(xiàn)了。Zeus木馬以攻擊客戶端而著稱，即使使用了令牌。如果序列號和種子文件被導(dǎo)入，而且只要時間是同步的，那么這個免費的工具Cain and Abel甚至還包括生成令牌代碼的功能。

安全專家可能發(fā)現(xiàn)的最常見的攻擊并不令人驚訝：對客戶端的攻擊是最常見的，因為通常來講，它們及其用戶仍然是企業(yè)環(huán)境中最薄弱的環(huán)節(jié)。因此，當(dāng)?shù)卿浛蛻舳酥?，防止惡意軟件竊取令牌是很重要的。一些USB令牌包括直接讀取令牌以及把它嵌入到網(wǎng)頁窗體中用于身份驗證的功能。這樣可能會防止一些惡意軟件的入侵，但是惡意軟件仍然可以攔截網(wǎng)頁窗體提交來捕獲令牌。顧名思義，一次性密碼的一個好處是它們僅一次有效、或者在一段有限的時間段內(nèi)有效。如果種子文件在RSA攻擊中被損壞，那么攻擊者在進行網(wǎng)絡(luò)釣魚時就可能會使用種子，并用從你所處環(huán)境的其他部分所釣來的信息來攻擊你的系統(tǒng)。因此，確保員工意識到來自釣魚式攻擊的潛在危險是必需的。

企業(yè)防御策略

在選擇實施哪一種身份認(rèn)證、或者如何強化現(xiàn)有的實施方案時，安全專家應(yīng)該考慮到這些威脅。你可以通過限制網(wǎng)絡(luò)訪問、或者通過關(guān)閉防火墻來保護令牌基礎(chǔ)設(shè)施，使得只允許必需的系統(tǒng)訪問。如果一個攻擊者成功地利用漏洞入侵了你的令牌供應(yīng)商，那么你可以通過公開地與供應(yīng)商溝通，弄清楚哪些其它漏洞可能會由于這個破壞而被利用，以此來保護你的企業(yè)。另外，定期檢查日志從而確定是否有任何可疑的身份認(rèn)證正在發(fā)生，同時，如果現(xiàn)有的系統(tǒng)不能達(dá)到你的安全級別，那么就要以容易切換到一個新的供應(yīng)商的方式來安裝令牌供應(yīng)商的軟件。

為了抵御對令牌自身的攻擊，請對那些具有強大防篡改功能的安全令牌進行投資，比如：防篡改實例和設(shè)計用來防篡改的軟件/硬件，并訓(xùn)練用戶如何保持令牌的物理安全性，以及遵從RSA公司在該安全事件之后所提出的建議。另外，還可以參考關(guān)于維護客戶端免受攻擊的其它建議。

結(jié)論

因為RSA公司至今只公開發(fā)布了關(guān)于其最近的先進持續(xù)威脅漏洞的少量信息，所以企業(yè)不得不對其進行猜測，從而做出相應(yīng)計劃以確保它們的SecurID系統(tǒng)是被安全地應(yīng)用和維護的。然而，企業(yè)應(yīng)該一直聽從RSA公司關(guān)于這起事件所提出的建議，因為許多建議都是標(biāo)準(zhǔn)的最佳安全做法。對于高安全性環(huán)境有針對性的攻擊來講，RSA攻擊可能會削弱企業(yè)的安全性，但對大多數(shù)企業(yè)來講，該事件所造成的影響甚微。

【編輯推薦】

1. 安全令牌：防止雙因素令牌認(rèn)證攻擊
2. RSA回應(yīng)SecurID攻擊　計劃更換安全令牌
3. 用于電子身份驗證的短信雙因素認(rèn)證
4. 梭子魚防火墻有力保障機場用戶的郵件安全
5. 威瑞信開放API簡易部署雙因素認(rèn)證