最新研究显示,超过95%的SAP系统可能有潜在的灾难性漏洞。在本文中,专家Nick Lewis探讨了如何抵御这些SAP漏洞以及怎样保持ERP安全性。
企业资源规划(ERP)系统是很多大型企业的主要组成部分,也是成功运行业务的关键。
然而,很多ERP系统非常复杂,在整个企业涉及各种的利益相关者。有些企业的ERP已经使用了几十年,可能已经积累了多年的技术问题,这让ERP安全难以维护且非常昂贵。
这些也可能是Onapsis在最新报告中发现SAP漏洞的主要原因。然而,该报告的研究结果不应该劝阻企业使用ERP系统,也不应该吓唬正在试图解决SAP安全问题的信息安全团队。如果遵循安全最佳做法,ERP系统仍然很有用和安全。
SAP漏洞
在报告中,Onapsis研究人员发现超过95%的SAP系统存在漏洞,这些漏洞可能给企业数据和流程造成灾难性影响。
这些研究人员通过对SAP系统的数百次安全评估发现了这些问题。
研究人员称,企业信息安全团队和SAP运营团队之间似乎存在脱节;他们发现的SAP漏洞证实了这一说法,因为这些漏洞都是基本的信息安全问题,完全可能在企业信息安全计划的其他部分中得到解决。
根据Onapsis的报告称,SAP系统中威胁ERP安全的前三个最常见攻击向量包括:
1. 低安全性客户门户网站;
2. 客户或供应商门户网站中使用的恶意账户;
3. 底层数据库协议中的漏洞。
所有这三个问题都影响着对SAP系统的保护。
例如,在第一个攻击向量中,低安全性客户门户网站可设置为允许用户从任何地方连接来发出订单。然而,这个客户门户网站可以用作攻击的一部分,攻击者可从低安全性系统转移到其他更重要的系统,并最终感染整个SAP系统。
在第二个攻击向量中,客户和供应商门户网站可能会攻击;后门攻击者可以从SAP门户网站和其他平台继续来攻击内部网络。
在第三个攻击向量中,攻击者可以利用不安全的数据库协议配置,让他们可以在操作系统执行命令。这样的话,攻击者就可以完全访问操作系统,并可潜在地修改或破坏数据库中存储的任何信息。
请注意,这些都是常见的攻击方法,所有信息安全专业人员应该都不会感到陌生。
SAP和ERP安全最佳做法
虽然企业需要在信息安全计划中涵盖所有系统,保护特定资产的特定资源应该与系统对企业的价值相对应。而这些资产的价值应该通过业务影响分析来确定。
此外,虽然企业可能会对生产系统的任何变更有所迟疑,所有系统必须部署基本的信息安全防御以防止安全事故的发生。这些基本步骤可以防止、缓解、抵御和监测安全事件。SAP提供了一个安全指南,SearchSAP也有很多资源,可帮助企业确保SAP系统的基本安全控制,包括漏洞管理、修复管理和基于角色的访问控制等。漏洞管理可以部署在SAP系统中,定期扫描应用、网络、数据库和其他相关的服务器,然后将这些数据整合到修复管理程序进行测试和部署。虽然基于角色的访问控制是应用安全的关键,这也应该扩展到系统的其他方面,以确保适当的职责分离来限制恶意使用的风险。
鉴于SAP系统的重要性质,持续安全控制对SAP带来的主要影响是可能出于安全原因让SAP系统停机。如果因为业务原因SAP系统不能停机,企业应该部署计划来确定如何修复漏洞或者进行其他不会中断业务的安全更改。这可能包括确保部署高可用性系统,例如备份系统,当主要系统在进行修复或作出更改时会自动接管。
另一个需要注意的事情是,其他安全技术(例如入侵检测系统、监控工具等)可以专门调整为监控SAP系统。
同时,监控SAP应用日志可帮助发现受感染的账户或其他应用水平的恶意活动。使用最小特权的概念(包括限制整个网络访问)可以让攻击者更加难以找到可利用的漏洞来获得完整的权限,或防止攻击者很容易地发现可攻击的其他系统。
另外,企业需要确保所有系统都是其信息安全计划的一部分,包括SAP系统。要知道,在过去没有涵盖SAP系统使得这些基本安全漏洞仍然存在现在的SAP系统中。
在信息安全领域,有些漏洞已经出现数十年,因此,部署这些SAP系统外发现的程序和修复会显著提高SAP安全性,并且可以防止更严重事故感染关键业务操作。
作者:Nick Lewis
来源:51CTO