Все уже наверняка слышали, что 17 марта легендарная компания RSA, основанная патриархами индустрии ИТ-безопасности и производящая передовые криптографические технологии, подверглась вероломному нападениюиспытала на себе неукротимую мощь APT. Для непосвященных, APT расшифровывается как Advanced Persistent Threat, и обычно означает, что взлом осуществлялся из Китая, но прямых доказательств этому пока нетатака была целенаправленной, хорошо финансировалась и выполнялась мастерами своего дела.
Принимая во внимание отсутствие подробностей инцидента (известно лишь, что целью атакующих был продукт SecurID, один из признанных лидеров в области двухфакторной аутентификации пользователей), любые комментарии на эту тему являются спекуляцией. Активность конкурентов и прочих игроков на рынке безопасности выглядят не иначе, как попытки пнуть лежачего (как это сделала NSS Labs в своей аналитической записке , порекомендовав клиентам, в том числе, рассмотреть альтернативные решения по двухфакторной аутентификации).
Тем временем RSA сделала публичное заявление , проинструктировала заказчиков и затаилась в ожидании проявления последствий инцидента. (Не могу не отметить один из пунктов заявления: рекомендацию клиентам усилить парольную политику. Ирония состоит в том, что клиенты зачастую внедряют SecurID как раз для того, чтобы не париться со строгой парольной политикой.) По мере прочтения рекомендаций , между строк очень отчетливо просматривается и как ломали (We recommend customers increase their focus on security for social media applications...), и какого рода уязвимости использовали (We recommend customers re-educate employees on the importance of avoiding suspicious emails...We recommend customers follow the rule of least privilege... etc.) Но утверждать что-то наверняка все-таки нельзя: все рекомендации носят очень общий характер. RSA ограничилась намеками. В такой ситуации сложно ожидать от вендора большего.
Что нас ждет в будущем, можно только догадываться. Возможно, у SecurID очень скоро появится конкурент, производимый в Юго-восточной Азии. Вероятно, данные, полученные в результате атаки, будут использованы в масштабном нападении на одного или группу клиентов RSA, а их миллионы, причем компании со скромным бюджетом такие вещи не покупают. В настоящий момент все, что мы имеем, это подтверждения тезиса, что защититься от целенаправленной хорошо финансируемой атаки практически невозможно.
