¡La firma de seguridad superior RSA Security revelada por un truco extremadamente sofisticado!

La principal firma de seguridad RSA Security reveló el jueves que ha sido víctima de un hack “extremadamente sofisticado”.

La compañía dijo en una nota publicada en su sitio web que los intrusos lograron robar información relacionada con los productos de autenticación de dos factores SecurID de la compañía. SecurID agrega una capa adicional de protección a un proceso de inicio de sesión al exigir a los usuarios que ingresen un número de código secreto que se muestra en un llavero o en el software, además de su contraseña. El número se genera criptográficamente y cambia cada 30 segundos.

“Si bien en este momento estamos seguros de que la información extraída no permite un ataque directo exitoso contra ninguno de nuestros clientes de RSA SecurID”, escribió RSA en su blog, “esta información podría usarse potencialmente para reducir la eficacia de un sistema actual de dos implementación de autenticación de factor como parte de un ataque más amplio. Estamos comunicando muy activamente esta situación a los clientes de RSA y proporcionándoles pasos inmediatos para que tomen para fortalecer sus implementaciones de SecurID “.

A partir de 2009, RSA contaba con 40 millones de clientes con tokens de hardware SecurID y otros 250 millones con software. Sus clientes incluyen agencias gubernamentales.

El CEO de RSA, Art Coviello, escribió en la publicación del blog que la compañía estaba “segura de que ningún otro … los productos se vieron afectados por este ataque. Es importante tener en cuenta que no creemos que la información de identificación personal del cliente o empleado se haya visto comprometida como resultado de este incidente.”

La compañía también proporcionó la información en un documento presentado ante la Comisión de Bolsa y Valores el jueves, que incluye una lista de recomendaciones para los clientes que podrían verse afectados. Vea a continuación una lista de las recomendaciones.

Un portavoz de la compañía no proporcionará detalles sobre cuándo ocurrió el hack, cuánto duró o cuándo la compañía lo descubrió.

“No estamos reteniendo nada que afecte negativamente la seguridad de los sistemas de nuestros clientes”, dijo el portavoz Michael Gallant. “[But] también estamos trabajando con las autoridades gubernamentales, así que no revelaremos más información además de lo que está en la publicación del blog “.

RSA clasificó el ataque como una amenaza persistente avanzada, o APT. Los ataques APT son distintivos en los tipos de datos que atacan los atacantes. A diferencia de la mayoría de las intrusiones que persiguen datos financieros y de identidad, los ataques APT tienden a perseguir el código fuente y otra propiedad intelectual y, a menudo, implican un trabajo extenso para mapear la infraestructura de una empresa.

Los ataques APT a menudo utilizan vulnerabilidades de día cero para violar una empresa y, por lo tanto, rara vez son detectados por los programas antivirus y de intrusión. Las intrusiones son conocidas por afianzarse en la red de una empresa, a veces durante años, incluso después de que una empresa las descubrió y tomó medidas correctivas.

El ataque del año pasado a Google se consideró un ataque APT y, como muchas intrusiones en esta categoría, se vinculó a China.

RSA, propiedad de EMC, es una empresa líder y es más conocida por el algoritmo de cifrado RSA utilizado para asegurar el comercio electrónico y otras transacciones. La compañía organiza la conferencia de seguridad RSA mejor calificada cada año.

La siguiente es la lista de recomendaciones que RSA ha proporcionado a los clientes:

Recomendamos que los clientes aumenten su enfoque en la seguridad para las aplicaciones de redes sociales y el uso de esas aplicaciones y sitios web por cualquier persona con acceso a sus redes críticas.

Recomendamos a los clientes aplicar políticas de contraseña y PIN seguras.

Recomendamos a los clientes que sigan la regla del mínimo privilegio al asignar roles y responsabilidades a los administradores de seguridad.

Recomendamos a los clientes que reeduquen a los empleados sobre la importancia de evitar correos electrónicos sospechosos y les recuerden que no deben proporcionar nombres de usuario u otras credenciales a nadie sin verificar la identidad y autoridad de esa persona. Los empleados no deben cumplir con las solicitudes de credenciales por correo electrónico o por teléfono y deben informar dichos intentos.

Recomendamos a los clientes que presten especial atención a la seguridad de sus directorios activos, que hagan un uso completo de sus productos SIEM y que también implementen la autenticación de dos factores para controlar el acceso a los directorios activos.

Recomendamos a los clientes que observen atentamente los cambios en los niveles de privilegios del usuario y los derechos de acceso utilizando tecnologías de monitoreo de seguridad como SIEM, y consideren agregar más niveles de aprobación manual para esos cambios.

Recomendamos a los clientes que fortalezcan, supervisen de cerca y limiten el acceso remoto y físico a la infraestructura que aloja software de seguridad crítico.

Recomendamos a los clientes que examinen las prácticas de su mesa de ayuda para detectar fugas de información que podrían ayudar a un atacante a realizar un ataque de ingeniería social.

Recomendamos a los clientes actualizar sus productos de seguridad y los sistemas operativos que los alojan con los últimos parches.