最新研究显示,超过95%的SAP系统可能有潜在的灾难性漏洞。在本文中,专家Nick Lewis探讨了如何抵御这些SAP漏洞以及怎样保持ERP安全性。 企业资源规划(ERP)系统是很多大型企业的主要组成部分,也是成功运行业务的关键。 然而,很多ERP系统非常复杂,在整个企业涉及各种的利益相关者。
有些企业的ERP已经使用了几十年,可能已经积累了多年的技术问题,这让ERP安全难以维护且非常昂贵。 这些也可能是Onapsis在最新报告中发现SAP漏洞的主要原因。然而,该报告的研究结果不应该劝阻企业使用ERP系统,也不应该吓唬正在试图解决SAP安全问题的信息安全团队。如果遵循安全最佳做法,ERP系统仍然……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
最新研究显示,超过95%的SAP系统可能有潜在的灾难性漏洞。在本文中,专家Nick Lewis探讨了如何抵御这些SAP漏洞以及怎样保持ERP安全性。
企业资源规划(ERP)系统是很多大型企业的主要组成部分,也是成功运行业务的关键。
然而,很多ERP系统非常复杂,在整个企业涉及各种的利益相关者。有些企业的ERP已经使用了几十年,可能已经积累了多年的技术问题,这让ERP安全难以维护且非常昂贵。
这些也可能是Onapsis在最新报告中发现SAP漏洞的主要原因。然而,该报告的研究结果不应该劝阻企业使用ERP系统,也不应该吓唬正在试图解决SAP安全问题的信息安全团队。如果遵循安全最佳做法,ERP系统仍然很有用和安全。
SAP漏洞
在报告中,Onapsis研究人员发现超过95%的SAP系统存在漏洞,这些漏洞可能给企业数据和流程造成灾难性影响。
这些研究人员通过对SAP系统的数百次安全评估发现了这些问题。
研究人员称,企业信息安全团队和SAP运营团队之间似乎存在脱节;他们发现的SAP漏洞证实了这一说法,因为这些漏洞都是基本的信息安全问题,完全可能在企业信息安全计划的其他部分中得到解决。
根据Onapsis的报告称,SAP系统中威胁ERP安全的前三个最常见攻击向量包括:
1. 低安全性客户门户网站;
2. 客户或供应商门户网站中使用的恶意账户;
3. 底层数据库协议中的漏洞。
所有这三个问题都影响着对SAP系统的保护。
例如,在第一个攻击向量中,低安全性客户门户网站可设置为允许用户从任何地方连接来发出订单。然而,这个客户门户网站可以用作攻击的一部分,攻击者可从低安全性系统转移到其他更重要的系统,并最终感染整个SAP系统。
在第二个攻击向量中,客户和供应商门户网站可能会攻击;后门攻击者可以从SAP门户网站和其他平台继续来攻击内部网络。
在第三个攻击向量中,攻击者可以利用不安全的数据库协议配置,让他们可以在操作系统执行命令。这样的话,攻击者就可以完全访问操作系统,并可潜在地修改或破坏数据库中存储的任何信息。
请注意,这些都是常见的攻击方法,所有信息安全专业人员应该都不会感到陌生。
SAP和ERP安全最佳做法
虽然企业需要在信息安全计划中涵盖所有系统,保护特定资产的特定资源应该与系统对企业的价值相对应。而这些资产的价值应该通过业务影响分析来确定。
此外,虽然企业可能会对生产系统的任何变更有所迟疑,所有系统必须部署基本的信息安全防御以防止安全事故的发生。这些基本步骤可以防止、缓解、抵御和监测安全事件。SAP提供了一个安全指南,SearchSAP也有很多资源,可帮助企业确保SAP系统的基本安全控制,包括漏洞管理、修复管理和基于角色的访问控制等。漏洞管理可以部署在SAP系统中,定期扫描应用、网络、数据库和其他相关的服务器,然后将这些数据整合到修复管理程序进行测试和部署。虽然基于角色的访问控制是应用安全的关键,这也应该扩展到系统的其他方面,以确保适当的职责分离来限制恶意使用的风险。
鉴于SAP系统的重要性质,持续安全控制对SAP带来的主要影响是可能出于安全原因让SAP系统停机。如果因为业务原因SAP系统不能停机,企业应该部署计划来确定如何修复漏洞或者进行其他不会中断业务的安全更改。这可能包括确保部署高可用性系统,例如备份系统,当主要系统在进行修复或作出更改时会自动接管。
另一个需要注意的事情是,其他安全技术(例如入侵检测系统、监控工具等)可以专门调整为监控SAP系统。
同时,监控SAP应用日志可帮助发现受感染的账户或其他应用水平的恶意活动。使用最小特权的概念(包括限制整个网络访问)可以让攻击者更加难以找到可利用的漏洞来获得完整的权限,或防止攻击者很容易地发现可攻击的其他系统。
另外,企业需要确保所有系统都是其信息安全计划的一部分,包括SAP系统。要知道,在过去没有涵盖SAP系统使得这些基本安全漏洞仍然存在现在的SAP系统中。
在信息安全领域,有些漏洞已经出现数十年,因此,部署这些SAP系统外发现的程序和修复会显著提高SAP安全性,并且可以防止更严重事故感染关键业务操作。
翻译
相关推荐
-
SAP漏洞:为什么补丁没有发挥作用?
DHS报告称,一个2010年已修复的SAP漏洞导致30多家跨国企业遭受数据泄露事故。这个漏洞让攻击者可获取这些企业系统中业务信息和流程的远程管理权限。那么,为什么补丁没有发挥作用,企业应该怎么做来确保系统安全?
-
测试企业安全,网络安全消防演习是否行得通?
我的公司正在考虑开展安全消防演习或者甚至网络战游戏来测试我们的信息安全计划,这似乎是一项浩大的工程,那么,网络战游戏是否对企业有利?
-
信息安全人员和律师:有效合作的三个领域
法律团队在成功的信息安全计划中发挥着关键的支持作用。本文中专家Mike Chapple介绍了了信息安全专业人士和律师应联手合作的三个领域,并提供了促进有效合作的建议。
-
网络安全度量标准:基本的网络安全控制评估
我现在面临一个挑战:根据当前的人力资源和能力投入,评估我们公司的安全态势。我想问,是否有衡量网络安全水平的标准?对我来说,第一步最好做什么?