最新研究顯示，超過95%的SAP系統(tǒng)可能有潛在的災(zāi)難性漏洞。在本文中，專家Nick Lewis探討了如何抵御這些SAP漏洞以及怎樣保持ERP安全性。

企業(yè)資源規(guī)劃(ERP)系統(tǒng)是很多大型企業(yè)的主要組成部分，也是成功運行業(yè)務(wù)的關(guān)鍵。

然而，很多ERP系統(tǒng)非常復(fù)雜，在整個企業(yè)涉及各種的利益相關(guān)者。有些企業(yè)的ERP已經(jīng)使用了幾十年，可能已經(jīng)積累了多年的技術(shù)問題，這讓ERP安全難以維護(hù)且非常昂貴。

這些也可能是Onapsis在最新報告中發(fā)現(xiàn)SAP漏洞的主要原因。然而，該報告的研究結(jié)果不應(yīng)該勸阻企業(yè)使用ERP系統(tǒng)，也不應(yīng)該嚇唬正在試圖解決SAP安全問題的信息安全團(tuán)隊。如果遵循安全最佳做法，ERP系統(tǒng)仍然很有用和安全。

SAP漏洞

在報告中，Onapsis研究人員發(fā)現(xiàn)超過95%的SAP系統(tǒng)存在漏洞，這些漏洞可能給企業(yè)數(shù)據(jù)和流程造成災(zāi)難性影響。

這些研究人員通過對SAP系統(tǒng)的數(shù)百次安全評估發(fā)現(xiàn)了這些問題。

研究人員稱，企業(yè)信息安全團(tuán)隊和SAP運營團(tuán)隊之間似乎存在脫節(jié);他們發(fā)現(xiàn)的SAP漏洞證實了這一說法，因為這些漏洞都是基本的信息安全問題，完全可能在企業(yè)信息安全計劃的其他部分中得到解決。

根據(jù)Onapsis的報告稱，SAP系統(tǒng)中威脅ERP安全的前三個最常見攻擊向量包括：

1. 低安全性客戶門戶網(wǎng)站;

2. 客戶或供應(yīng)商門戶網(wǎng)站中使用的惡意賬戶;

3. 底層數(shù)據(jù)庫協(xié)議中的漏洞。

所有這三個問題都影響著對SAP系統(tǒng)的保護(hù)。

例如，在第一個攻擊向量中，低安全性客戶門戶網(wǎng)站可設(shè)置為允許用戶從任何地方連接來發(fā)出訂單。然而，這個客戶門戶網(wǎng)站可以用作攻擊的一部分，攻擊者可從低安全性系統(tǒng)轉(zhuǎn)移到其他更重要的系統(tǒng)，并最終感染整個SAP系統(tǒng)。

在第二個攻擊向量中，客戶和供應(yīng)商門戶網(wǎng)站可能會攻擊;后門攻擊者可以從SAP門戶網(wǎng)站和其他平臺繼續(xù)來攻擊內(nèi)部網(wǎng)絡(luò)。

在第三個攻擊向量中，攻擊者可以利用不安全的數(shù)據(jù)庫協(xié)議配置，讓他們可以在操作系統(tǒng)執(zhí)行命令。這樣的話，攻擊者就可以完全訪問操作系統(tǒng)，并可潛在地修改或破壞數(shù)據(jù)庫中存儲的任何信息。

請注意，這些都是常見的攻擊方法，所有信息安全專業(yè)人員應(yīng)該都不會感到陌生。

SAP和ERP安全最佳做法

雖然企業(yè)需要在信息安全計劃中涵蓋所有系統(tǒng)，保護(hù)特定資產(chǎn)的特定資源應(yīng)該與系統(tǒng)對企業(yè)的價值相對應(yīng)。而這些資產(chǎn)的價值應(yīng)該通過業(yè)務(wù)影響分析來確定。

此外，雖然企業(yè)可能會對生產(chǎn)系統(tǒng)的任何變更有所遲疑，所有系統(tǒng)必須部署基本的信息安全防御以防止安全事故的發(fā)生。這些基本步驟可以防止、緩解、抵御和監(jiān)測安全事件。SAP提供了一個安全指南，SearchSAP也有很多資源，可幫助企業(yè)確保SAP系統(tǒng)的基本安全控制，包括漏洞管理、修復(fù)管理和基于角色的訪問控制等。漏洞管理可以部署在SAP系統(tǒng)中，定期掃描應(yīng)用、網(wǎng)絡(luò)、數(shù)據(jù)庫和其他相關(guān)的服務(wù)器，然后將這些數(shù)據(jù)整合到修復(fù)管理程序進(jìn)行測試和部署。雖然基于角色的訪問控制是應(yīng)用安全的關(guān)鍵，這也應(yīng)該擴(kuò)展到系統(tǒng)的其他方面，以確保適當(dāng)?shù)穆氊?zé)分離來限制惡意使用的風(fēng)險。

鑒于SAP系統(tǒng)的重要性質(zhì)，持續(xù)安全控制對SAP帶來的主要影響是可能出于安全原因讓SAP系統(tǒng)停機(jī)。如果因為業(yè)務(wù)原因SAP系統(tǒng)不能停機(jī)，企業(yè)應(yīng)該部署計劃來確定如何修復(fù)漏洞或者進(jìn)行其他不會中斷業(yè)務(wù)的安全更改。這可能包括確保部署高可用性系統(tǒng)，例如備份系統(tǒng)，當(dāng)主要系統(tǒng)在進(jìn)行修復(fù)或作出更改時會自動接管。

另一個需要注意的事情是，其他安全技術(shù)(例如入侵檢測系統(tǒng)、監(jiān)控工具等)可以專門調(diào)整為監(jiān)控SAP系統(tǒng)。

同時，監(jiān)控SAP應(yīng)用日志可幫助發(fā)現(xiàn)受感染的賬戶或其他應(yīng)用水平的惡意活動。使用最小特權(quán)的概念(包括限制整個網(wǎng)絡(luò)訪問)可以讓攻擊者更加難以找到可利用的漏洞來獲得完整的權(quán)限，或防止攻擊者很容易地發(fā)現(xiàn)可攻擊的其他系統(tǒng)。

另外，企業(yè)需要確保所有系統(tǒng)都是其信息安全計劃的一部分，包括SAP系統(tǒng)。要知道，在過去沒有涵蓋SAP系統(tǒng)使得這些基本安全漏洞仍然存在現(xiàn)在的SAP系統(tǒng)中。

在信息安全領(lǐng)域，有些漏洞已經(jīng)出現(xiàn)數(shù)十年，因此，部署這些SAP系統(tǒng)外發(fā)現(xiàn)的程序和修復(fù)會顯著提高SAP安全性，并且可以防止更嚴(yán)重事故感染關(guān)鍵業(yè)務(wù)操作。