日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
RSASecurID受到攻擊值得關注但可能不是一個致命缺陷

通過對RSA的攻擊獲得的機密資料可能使攻擊者偽裝成RSA SecurID令牌用戶,可以訪問企業(yè)系統(tǒng), 但不會獲得更多的信息。

公司主營業(yè)務:網(wǎng)站制作、網(wǎng)站設計、移動網(wǎng)站開發(fā)等業(yè)務。幫助企業(yè)客戶真正實現(xiàn)互聯(lián)網(wǎng)宣傳,提高企業(yè)的競爭能力。創(chuàng)新互聯(lián)建站是一支青春激揚、勤奮敬業(yè)、活力青春激揚、勤奮敬業(yè)、活力澎湃、和諧高效的團隊。公司秉承以“開放、自由、嚴謹、自律”為核心的企業(yè)文化,感謝他們對我們的高要求,感謝他們從不同領域給我們帶來的挑戰(zhàn),讓我們激情的團隊有機會用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)建站推出舟曲免費做網(wǎng)站回饋大家。

事件

2011年3月17日,EMC信息安全事業(yè)部RSA日前宣布,攻擊者已獲得其RSA SecurID的一次性密碼(OTP)認證產(chǎn)品的有關信息。 RSA聲明,提取的信息本身不能實現(xiàn)直接的攻擊。 EMC公司發(fā)布了8-K報告,其中包括了一份"SecureCare"的說明,概述其給客戶提供的初步意見。進一步的建議于3月21日公布。

分析

EMC公司發(fā)布8-K報告是這家公司采取的不尋常的一步??梢岳斫?,RSA在公開聲明中對于具體提取了何種信息以及攻擊者如何利用其來損害客戶的RSA SecurID部署采取了小心翼翼的態(tài)度。

Gartner懷疑,從RSA系統(tǒng)提取的系統(tǒng)可能使攻擊者確定任何特定的用來產(chǎn)生一個OTP的令牌的共享秘密信息。然而,僅憑這一點無法發(fā)動直接攻擊。為了成功地模擬一個真實的OTP,攻擊者還需要知道另外兩個變量,這兩個變量都是客戶的商業(yè)組織控制的,即PIN碼和用戶令牌映射。這些要求使RSA提出了對良好的PIN碼管理和服務器數(shù)據(jù)庫及任何導出數(shù)據(jù)的安全的建議。 RSA還建議企業(yè)密切監(jiān)控服務器日志的不尋?;顒?,并監(jiān)測各種社交網(wǎng)絡,以確保員工不呼吁人們關注他們的特權訪問,如果有的話。

RSA的建議是未來幾天的可靠策略。在接下來的幾個星期,適當?shù)男袆訉⑷Q于對此次事件構成的風險以及RSA采取的解決這一違規(guī)事件的步驟的更好理解。

重要的是要注意,所有OTP令牌,包括并非由RSA所提供的,可能通過其他方式受損,因此不應該成為保護企業(yè)資產(chǎn)的唯一手段。

另外,此次事件引起了公眾的多方關注。不少相關人士和媒體都發(fā)表了自己的看法。行業(yè)分析師的看法:"事實上,確實發(fā)生了違規(guī)行為。這一次,發(fā)生在RSA的身上。我敢肯定,他們正在處理關鍵的后果影響。但是,這此事件也可能會發(fā)生在許多其他廠商的身上,過去有過,以后也還會有。"

民間組織"可行的網(wǎng)絡安全" 表示:我左右為難, "Ranum在解釋他為什么選擇公開談論RSA受攻擊事件對他的公司和行業(yè)造成的沖擊時說。"一方面,這是一場媒體的馬戲表演,"他說。"這再次說明如違規(guī)事件也許受到了不必要的關注,但也表明[RSA的回應]確實是處理違規(guī)事件的一個非常有效、成熟和負責任的辦法。

建議

在接下來的幾天,RSA SecurID的客戶應該:

◆遵照RSA的SecureCare說明和RSA的最佳實踐指南的建議。

◆提高RSA SecurID用戶在所有系統(tǒng)中的監(jiān)控活動的粒度。

◆配置您的系統(tǒng),只允許已知端點的訪問。

◆確保欺詐檢測工具正確分析交易,降低使用交易驗證的風險閾值。

◆還可以考慮使用RSA帶外認證。

在接下來的幾個星期,RSA SecurID的客戶應該:

◆繼續(xù)與RSA一道評估需要采取哪些進一步措施來解決這一攻擊事件。

◆實現(xiàn)增強的安全監(jiān)控和欺詐檢測技術。 (這在任何情況下都是必要的,因為所有的驗證方法都并非不可戰(zhàn)勝。)

銀行和其他依靠RSA SecurID進行外部用戶身份驗證的機構:還可以采取其他分層控制,如交易驗證。

未來的RSA SecurID客戶:目前請暫時將RSA列入考量范圍。

SANS技術研究所首席執(zhí)行官,他補充說,此次攻擊 "不會改變競爭格局,說這種話的人都是危言聳聽。" 他建議RSA用戶不要恐慌,如果他們覺得自己的令牌的完整性受到影響,可以再使用一個安全層。

英國頂級合作伙伴贊譽RSA對攻擊所作的回應 ,"RSA是為客戶服務,并確保他們獲得盡可能多的信息,"他說。 "RSA給我們傳達了非常清楚的信息,他們作為一個企業(yè)已負責任地通知我們,告訴我們應該提醒顧客什么,我認為我們無法要求比這更多了。"

【編輯推薦】

  1. 利用假冒SSL證書的釣魚攻擊瞄準信用卡服務品牌
  2. 服務器安全:IIS 6漸受攻擊者青睞
  3. Web攻擊的十大原因
  4. Web2.0時代 需要防范黑客的5種新型在線攻擊

文章名稱:RSASecurID受到攻擊值得關注但可能不是一個致命缺陷
分享地址:http://www.5511xx.com/article/cccphoi.html