SAP系统缘何如此脆弱?网络攻击被打成了筛子
1086
2018-02-07 11:48
文章摘要:保护SAP免遭网络攻击是SAP与客户等多方的诉求,但是安全不是说说而已,发现问题解决问题才是硬道理,还是需要有健全可追溯的安全责任体制和有效的实际行动。

编译:T客汇   卿云

SAP是ERP公认的鼻祖,也是很多大企业的首选。SAP提供企业所需管理软件和服务,从供应链管理到人力资源,再到财务以及其他领域。处理流程,存储数据,并作为复杂和大型企业的神经中枢。但是,SAP系统却是非常脆弱的,往往会成为黑客网络攻击的主要目标。

SAP在修复漏洞上反映迟缓

可能很多人在提安全的时候,往往会忽视ERP网络安全漏洞,这个漏洞足可以摧毁一家公司。敏感数据的丢失、欺诈、诉讼、数据恢复费用以及随之而来的公关噩梦,动辄数百万美元。根据2017年ERP网络安全调查,SAP的安全漏洞平均成本估计为500万美元,其中三分之一的受访者估计损失超过1000万美元。

这还是在可以恢复的情况。

在2013年,USIS(为国土安全部提供背景调查的联邦承包商)的SAP系统受到了网路攻击。25000多名政府工作人员的安全受到威胁,USIS损失了超过28亿美元的合同。没有复原,并于2015年申请破产。

其实关于SAP的网络安全并不是今天才有的话题,早在2014年总部位于英国的Corsaire有限公司的安全顾问及主管Martin O'Neal在给一位用户安装新版SAP并进行常规评估时发现SAP存在致命漏洞。

远程黑客进入SAP系统就像访问自家的后花园一样,可以任意获得SAP用户的特权和敏感的SAP文件。

2013年俄罗斯防毒厂商Dr. Web和一间针对SAP ERP专门安全公司ERPScan发现,有一支恶意软件专门偷SAP客户端应用程序的账号密码,并伺机存取SAP ERP系统,微软也证实有此恶意软件,并命名为:TrojanSpy:Win32/Gamker.A。 ERPScan表示,黑客透过这个恶意软件,可以存取SAP系统的IP地址以及相关的机密文件内容,甚至可以取得高权限用户的账号密码,进一步更改企业与客户之间的付款银行信息,藉此偷取企业的帐款,黑客甚至可以取得ERP中的企业客户名单,贩卖给企业的竞争对手。

2014年SAP在其网站上公布了与ERPScan合作的关于SAP的3000个漏洞的分析报告。

SAP系统漏洞的数量超过人们想象。针对SAP新产品的黑客攻击目标也在增大。在SAP的新产品中如SAP HANA, 尽管只有10个漏洞, 漏洞数量增长速度却远比其他产品要快。

2016年根据Onapsis的调查报告显示,全世界超过25万家企业因为SAP系统中存在的一系列安全漏洞而受到影响,可能导致严重的企业数据泄露。

更令人惊讶的是,在这些漏洞爆出的时候,SAP并没有快速的做出反应,SAP在修补软件漏洞的进度上稍显落后,有些漏洞尽长达3年之久。

造成这样的原因是因为SAP操作团队和IT安全团队之间的责任差距,大多数公司的SAP网络安全都面临着威胁,所以应用的大多数补丁都与安全无关、发布过迟或者引入了进一步的操作风险。

想要理解这些,我们必须弄清楚所有SAP易受攻击的方式。

相互推逶 安全责任很难界定

在2017年,SAP有超过270个安全漏洞,跨站脚本(XSS)是最常见的漏洞类型,而客户关系管理(CRM)则是其较为脆弱的模块之一。

像SAP这样的大型复杂系统存在漏洞并不稀奇。不可思议的是,这些漏洞大部分公司基本上都没有得到解决。

2016年2月,Ponemon Institute 发布了一项研究,揭露SAP网络入侵的风险。2017年7月,我们进行了自己的研究Cyberattacks and CVs:是否SAP电子招聘会让您的公司面临风险?

Ponemon的研究突出了一个重大的漏洞,而该漏洞却与平台本身无关。最大的BUG是许多公司根本不清楚谁应该对SAP网络安全负责。

到底是应该SAP团队的负责SAP的网络安全问题,还是由企业的IT团队负责网络安全问题,这个界限一直处于模糊边界,并且在Ponemon调查的25%受访者表示,没有任何一项职能对SAP网络安全明确负责。

除了不知道谁应该守着房子,房子本身的锁和门闩也并不牢固。将恶意软件和其他恶意代码放入SAP非常容易。在我们自己的研究中,能够将测试恶意软件上传到52%的测试系统中。

SAP系统会让防病毒成为瞎子

假设企业用户能够使用他们的防病毒程序来保护SAP,似乎这些问题就显得不那么严重。

很不幸,这是不可能的。

SAP数据存储与标准文件系统的操作非常不同。上传到SAP应用程序通常通过SSL加密连接进行传输,并存储在SAP自己的数据库中,而不是存储在标准磁盘卷中。无论是传输、存储还是执行,反病毒程序都不会看到什么内容。如果看不到文件,则无法扫描。

所以就SAP而言,标准的反病毒程序根本就是个瞎子。

如何才能保证您SAP系统的安全,公司可以做的事情就是及时了解所有的SAP网络安全新闻。 在发现漏洞和发布补丁时,会跨越几个月或更长时间。立即安装修补程序有助于缩小漏洞窗口。

此外,公司明确SAP网络安全责任至关重要。事关重大,系统安全的责任靠假设就是耍流氓。明确流程和角色,并确保公司的SAP网络安全具有可识别可追溯的责任体系,可以在防止漏洞中发挥重要作用。

保护SAP免遭网络攻击是SAP与客户等多方的诉求,但是安全不是说说而已,发现问题解决问题才是硬道理,还是需要有健全可追溯的安全责任体制和有效的实际行动。


版权声明:

凡本网内容请注明来源:T媒体(http://www.cniteyes.com)”的所有原创作品,版权均属于易信视界(北京)管理咨询有限公司所有,未经本网书面授权,不得转载、摘编或以其它方式使用上述作品。

本网书面授权使用作品的,应在授权范围内使用,并按双方协议注明作品来源。违反上述声明者,易信视界(北京)管理咨询有限公司将追究其相关法律责任。

评论