六个星期在EMC的RSA安全部门后,通过黑客击中其SecuriD系统,RSA总裁Tom Heiser会见了一家大型全球医疗器械公司的CIO。
CIO不开心。SecurID,一个在全球至少30,000个组织中使用40万人的认证系统,以安全地访问IT系统。RSA于3月17日在其入侵后不久发布了一封含糊的信件,但袭击的细节很少。
“CIO非常沮丧,”他说。“这不是一个愉快的谈话,我可以向你保证。”
该公司是RSA直接达到攻击的数百人之一,这提示了关于仍然使用SecuriD的安全问题。许多公司用户都有一个SecurID设备,它显示临时一次性密码,允许它们访问IT系统。
星期二在伦敦的RSA安全会议上,主机透露了比到目前为止的更多细节,而不是攻击,RSA坚持不懈地没有破坏整个系统的完整性。
RSA与美国联邦调查局合作,美国国土安全部,U.K.执法和其他机构,认为两组对该袭击负责。EMC执行主席艺术Coviello拒绝识别群体,但表示由于入侵的复杂性“我们只能得出结论,这是一个国家的赞助攻击。”
继发者表示,两组都以前已知为当局,虽然他们不知道他们一起工作。
“这告诉我们什么?”继发者问道。“我们的对手被确定,持续,非常协调。他们知道要寻找什么以及去哪里。”
Heiser说,RSA发现了使用来自Netwitness的技术,从Netwitness的技术进行了攻击,这是一家公司所收购的公司。现在相信黑客获得了对RSA的系统通过在EMC的人力资源部门的某些员工发送excel电子表格,该表已经装配了利用Adobe Flash漏洞,尽管RSA没有确认这一点。
此外,黑客有关RSA的内部命名约定用于其网络上的主机以及Active Directory - 用于管理公司网络上用户身份验证的Microsoft产品 - 这使得其在系统内部的动作似乎更加合法。
“用户名可以匹配工作站名称,这可能会使它们更难以检测您是否不关注,”RSA的首席安全官员Eddie Schwartz说。
继发者表示,攻击很复杂:他们使用先进的技术连接到RSA的系统并使用不同的恶意软件,其中一些是在攻击前几个小时编译。在灭绝之前,将信息被窃取并加密,使其更难以识别。
RSA进入了锁定模式,在他们调查时为员工提供免费食物圆形时钟。这两个黑客组偷了有关SecurID的具体信息,但RSA拒绝解释被盗的东西。Coviello周二表示,“信息是重要的”,但这只是一条信息。
但是RSA与客户的后续行动缓慢,导致普遍担心SecuriD被打破。RSA已经提出为客户替换SecuriD令牌,尽管Coviello表示,请求相对较少的客户。
Heiser说,反对RSA的攻击的动机显然是获得与美国国防相关的技术。RSA达到其顶级客户的大约500个,同时使用其合作伙伴网络与别人联系。尽管如此,许多公司觉得遗漏了循环,想知道他们的系统是否脆弱。
“我们审判着火,”他说。“许多利益相关者都觉得我们可以做得更多,我们应该更早地做得更久,而且对于那些我们不便的客户来说,我们真的很歉意。”
Heiser表示媒体报道并不总是准确。迄今为止,只有一个攻击试图使用从RSA中获取的SecurID信息。该公司攻击 - 他的继发者没有识别 - 在国防行业,但袭击最终是最终不成功的。RSA违约被认为有威胁公司,包括洛克希德马丁,L-3和北罗姆曼。
Heiser说,RSA扣留了更详细的信息,因为它不想给攻击者了解RSA知道什么。还有担心另一个团队可能会尝试加快攻击。
“他们是隐身的,但他们确实留下了一些信息,”他说。
向Jeremy_kirk@idg.com发送新闻提示和评论