Graham Cluley, a Sophos vezető biztonsági tanácsadója, a Sophos NakedSecurity blogból
Hackerek törtek be az EMC biztonsági divíziójához, egész pontosan az RSA szervereibe, és információkat loptak el a vállalat SecurID két-faktoros hitelesítési termékeivel kapcsolatban.
Ezt az egészen elképesztő bejelentést Art Coviello, RSA elnöke tette egy nyílt levélben, amelyet a cég nagyvállalati és kormányzati ügyfelei ezreinek küldtek ki szerte a világon.
Sok vállalat és szervezet használja az RSA SecurID tokenjeit - amelyek egy számsort jelenítenek meg minden 30, 60, stb. másodpercben - mint a biztonság egy újabb szintjét, amikor távolról jelentkeznek be a hálózatukba. Talán már Ön is kapott valami hasonló eszközt az online bankjától, amellyel azonosítani tudja magát, hogy valóban Ön az akinek mondja magát, amikor megpróbál az azonosítójához-fiókjához hozzáférni.
Coviello nem ad túl sok információt a vállalatát ért és az általa csak „extrém kifinomult cybertámadás" természetéről, és nem tisztázott az ügyfelekre váró kockázat sem, de azt mondja, hogy az ellopott információkat „potenciálisan fel lehet használni a jelenlegi két-faktoros hitelesítési implementáció hatékonyságának csökkentésére egy szélesebb támadás részeként".
Az RSA biztonsági ügyfeleinek „azonnali lépéseket fog javasolni, amelyekkel SecurID implementációjukat megerősíthetik".
A Securities and Exchange Commission szervezetnek küldött levelében az RSA a következő ajánlásokat tette közzé:
- Javasoljuk ügyfeleinknek, hogy jobban figyeljenek oda a közösségi média alkalmazások biztonságára és azon alkalmazások és weboldalak használatára, amelyeket bárki elérhet kritikus hálózataikról.
- Javasoljuk ügyfeleinknek, hogy kényszerítsék ki az erős jelszavak és pinkódok szabályzatát. Javasoljuk ügyfeleinknek, hogy kövessék a legminimálisabb jogosultság szabályát, amikor szerepköröket és felelősségeket adnak a biztonsági adminisztrátoroknak.
- Javasoljuk ügyfeleinknek, hogy ismételten képezzék ki munkatársaikat a gyanús emailek elkerülésének fontosságára, és emlékeztessék őket, hogy ne adjanak meg felhasználóneveket vagy más azonosítókat senkinek sem anélkül, hogy ellenőriznék a személy azonosságát és hitelességét. A munkavállalók nem adhatnak ki senkinek azonosítókat emailen vagy telefonhíváson keresztül, és minden ilyen próbálkozást jelenteniük kell.
- Javasoljuk ügyfeleinknek, hogy fordítsanak különös figyelmet a biztonságukra aktív könyvtáraikban, használják ki teljesen SIEM termékeiket és vezessék be a két-faktoros hitelesítést az aktív könyvtárak hozzáférésének ellenőrzéséhez.
- Javasoljuk ügyfeleinknek, hogy figyelmesen kövessék a felhasználói jogosultsági szintek és hozzáférési jogok változásait biztonsági monitorozási technológiák használatával (pl. SIEM), és fontolják meg további manuális jóváhagyási szintek hozzáadását ezen változásokhoz.
- Javasoljuk ügyfeleinknek, hogy erősítsék meg, folyamatosan monitorozzák és korlátozzák a távoli és fizikai hozzáférést azon infrastruktúrájukhoz, amelyek kritikus biztonsági szoftvereket tárolnak-futtatnak.
- Javasoljuk ügyfeleinknek, hogy vizsgálják meg saját helpdesk folyamataikat információ szivárgás szempontjából, amely egy támadót hozzásegíthet egy közösségi (hálózati) támadáshoz.
- Javasoljuk ügyfeleinknek, hogy frissítsék biztonsági termékeiket és operációs rendszereiket a legutolsó biztonsági javításokkal.
Nem kétséges, hogy hamarosan további információk fognak napvilágot látni, mivel az RSA ügyfelei felfedték, hogy még mi mindent gyűjthettek össze a vállalattól.
Ugyan erről Art Coviello levelében nincs említés téve, de el tudom képzelni, hogy a cég jelentette a számítógépes bűnüldöző szerveknek is az esetet. Az RSA tulajdonképpen egy bűncselekmény áldozata lett.
További információ angol nyelven