成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

細(xì)數(shù)SAP環(huán)境中的8大安全錯(cuò)誤

2021-02-06    分類: 網(wǎng)站建設(shè)

現(xiàn)代SAP足跡的復(fù)雜性和常見(jiàn)的安全故障使許多組織暴露在可避免的風(fēng)險(xiǎn)中。

配置錯(cuò)誤和其他錯(cuò)誤(其中許多是多年來(lái)眾所周知的)不斷破壞企業(yè)SAP環(huán)境的安全性。SAP足跡的迅速?gòu)?fù)雜性增長(zhǎng)是造成這種情況的一個(gè)重要原因。多年來(lái),SAP應(yīng)用程序一直在變化和發(fā)展,現(xiàn)在已經(jīng)連接到無(wú)數(shù)其他系統(tǒng)和應(yīng)用程序。

典型的SAP環(huán)境由許多自定義代碼和定制組件組成,這些組件相互通信,并通過(guò)各種API和接口與外部系統(tǒng)進(jìn)行通信。ERP領(lǐng)域的安全供應(yīng)商Onapsis的CTO Juan Perez-Etchegoyen說(shuō),新的代碼和協(xié)議與與傳統(tǒng)環(huán)境相互作用,并繼承它們的安全漏洞和缺陷。

他指出,不斷地對(duì)概要文件、參數(shù)和配置進(jìn)行更改,以適應(yīng)新的業(yè)務(wù)流程,但很少了解潛在的安全隱患。這些環(huán)境的復(fù)雜性使他們充滿了安全漏洞。

今年早些時(shí)候,隨著針對(duì)兩個(gè)主要SAP組件中已知配置錯(cuò)誤的一組漏洞的公開發(fā)布,這個(gè)問(wèn)題成為了人們關(guān)注的焦點(diǎn)。這些漏洞被統(tǒng)稱為10KBlaze,為攻擊者提供了一種獲得對(duì)SAP環(huán)境的完全遠(yuǎn)程管理控制的方法,并促使US-CERT發(fā)出了警告。

下面是企業(yè)SAP環(huán)境中最常見(jiàn)的一些配置錯(cuò)誤和安全故障。

1. 配置ACL

訪問(wèn)控制列表(ACL)控制不同SAP系統(tǒng)之間,以及SAP和非SAP環(huán)境之間的連接和通信。它們還決定用戶對(duì)SAP系統(tǒng)的訪問(wèn)。

Perez-Etchegoyen說(shuō),控制SAP系統(tǒng)和外部系統(tǒng)之間,或SAP系統(tǒng)之間連接的ACL通常配置很差,漏洞很多,允許一個(gè)系統(tǒng)上的人輕松地訪問(wèn)另一個(gè)系統(tǒng)。他說(shuō),在滲透測(cè)試中,配置錯(cuò)誤的ACL幾乎總是顯示為攻擊者提供了在SAP環(huán)境中橫向移動(dòng)的方法。

例如,Onapsis在5月份披露的10KBlaze漏洞就是為了利用SAP網(wǎng)關(guān)和SAP消息服務(wù)器中配置不良的ACL。這些漏洞使攻擊者能夠完全控制SAP環(huán)境,以便查看、刪除或修改數(shù)據(jù)、關(guān)閉系統(tǒng)和執(zhí)行其他惡意操作。

Onapsis 的CTO表示,SAP環(huán)境中經(jīng)常配置不安全ACL的其他組件包括SAP Internet Communication Manager(ICM),SAP Dispatcher,用于遠(yuǎn)程監(jiān)控和管理的SAP Management Console以及用于OS監(jiān)控的SAP Host Agent ACL。

SAP本身長(zhǎng)期以來(lái)一直警告組織注意配置不當(dāng)ACL的危險(xiǎn)。在這方面,新版本的應(yīng)用程序要比舊版本安全得多,默認(rèn)情況下ACL的設(shè)置也要嚴(yán)格得多,Perez-Etchegoyen說(shuō)。盡管如此,不安全的ACL仍然是SAP世界中大的可避免的漏洞之一。

2. 弱用戶訪問(wèn)控制

大多數(shù)SAP軟件都有一個(gè)或多個(gè)具有高度特權(quán)和管理員級(jí)別訪問(wèn)權(quán)限的默認(rèn)用戶帳戶。訪問(wèn)此類帳戶的惡意用戶可能造成嚴(yán)重?fù)p害。專注于SAP系統(tǒng)的咨詢公司Enowa LLC的高級(jí)董事Jonathan Haun說(shuō),這類賬戶的例子包括SAP*和DDIC,以及SAP HANA中的系統(tǒng)用戶賬戶。

Haun說(shuō):“黑客知道這些賬戶的存在,他們會(huì)首先攻擊這些賬戶?!彼硎?“企業(yè)要么在必要時(shí)禁用這些賬戶,要么使用非常復(fù)雜、隨機(jī)生成的密碼,而這些密碼無(wú)法被猜到?!痹谀承┣闆r下,甚至有軟件產(chǎn)品允許管理員安全地暫時(shí)使用這些帳戶。

Perez- Etchegoyen說(shuō),SAP環(huán)境,尤其是那些隨著時(shí)間的推移而發(fā)展起來(lái)的環(huán)境,其中有很多帳戶,很容易被濫用,從而給惡意用戶提供完全的管理員權(quán)限,甚至超級(jí)管理員訪問(wèn)環(huán)境中的所有內(nèi)容?!斑@是SAP安全衛(wèi)生的一個(gè)領(lǐng)域,很多組織肯定需要改進(jìn)。”

3. 不安全的自定義代碼

SAP Global security負(fù)責(zé)安全通信的副總裁Gert Schroeter認(rèn)為,組織圍繞其SAP環(huán)境構(gòu)建的自定義代碼和功能常常存在bug,并且包含安全漏洞?!霸谲浖_發(fā)生命周期方面,我們確實(shí)看到了很多問(wèn)題,”Schroeter說(shuō)。

在快速發(fā)布軟件的壓力下,開發(fā)組織在構(gòu)建和部署軟件時(shí),常常很少關(guān)注安全基礎(chǔ),比如代碼漏洞分析、代碼掃描和bug搜索。Schroeter表示:“我們談?wù)摰氖窃O(shè)計(jì)上的安全,以及默認(rèn)情況下的安全?!痹谠S多有SAP足跡的組織中,“最終情況并非如此”。

4. Sloppy補(bǔ)丁管理

由于大多數(shù)SAP環(huán)境的關(guān)鍵任務(wù)性質(zhì),管理員常常猶豫不決或不愿意做任何可能破壞可用性的事情。一個(gè)結(jié)果是,安全補(bǔ)丁和更新——即使是針對(duì)最關(guān)鍵的漏洞,往往很少被快速應(yīng)用,有時(shí)甚至根本不應(yīng)用。

Perez-Etchegoyen說(shuō),在SAP環(huán)境中應(yīng)用補(bǔ)丁意味著通過(guò)開發(fā),QA,預(yù)生產(chǎn)以及所有其他多個(gè)層次來(lái)了解其影響。管理員確保補(bǔ)丁不會(huì)破壞現(xiàn)有流程或接口所需的時(shí)間通常會(huì)導(dǎo)致所需的補(bǔ)丁即使在首次可用后數(shù)年也未實(shí)施。

Schroeter補(bǔ)充說(shuō),由于缺乏信息,許多組織很難在現(xiàn)場(chǎng)SAP系統(tǒng)上識(shí)別和實(shí)現(xiàn)所需的補(bǔ)丁。他指出,管理員需要定期關(guān)注漏洞公開站點(diǎn)和數(shù)據(jù)庫(kù),并訂閱資源,以便定期更新補(bǔ)丁信息。

5. 不受保護(hù)的數(shù)據(jù)

如今,SAP環(huán)境幾乎可以連接到任何東西,并且?guī)缀蹩梢詮娜魏蔚胤街苯踊蜷g接訪問(wèn)。許多SAP工作負(fù)載也開始轉(zhuǎn)移到云上。

然而,通常實(shí)際的數(shù)據(jù)本身(盡管任務(wù)很關(guān)鍵)并沒(méi)有得到保護(hù)。很少有公司會(huì)在傳輸或休息時(shí)對(duì)數(shù)據(jù)進(jìn)行加密,并在加密過(guò)程中使數(shù)據(jù)暴露于不當(dāng)訪問(wèn)和濫用的風(fēng)險(xiǎn)之中。Haun說(shuō):“對(duì)于云計(jì)算和托管環(huán)境,他們錯(cuò)誤地認(rèn)為供應(yīng)商正在實(shí)現(xiàn)網(wǎng)絡(luò)加密和其他安全標(biāo)準(zhǔn)?!?/p>

當(dāng)您的SAP數(shù)據(jù)庫(kù)由第三方(尤其是第三方)托管時(shí),應(yīng)該對(duì)其余數(shù)據(jù)進(jìn)行加密,以防止不受信任的用戶訪問(wèn)數(shù)據(jù)。他說(shuō):“許多組織利用托管和IaaS云平臺(tái),因此強(qiáng)烈建議對(duì)數(shù)據(jù)、事務(wù)日志和備份文件進(jìn)行加密?!?/p>

6. 密碼管理不善

ERP系統(tǒng)和連接到它們的應(yīng)用程序包含關(guān)鍵信息,但往往受到弱密碼和密碼管理實(shí)踐的保護(hù)。使用默認(rèn)密碼或跨帳戶使用相同密碼保護(hù)的高度特權(quán)帳戶的訪問(wèn)并不罕見(jiàn)。弱密碼當(dāng)然是跨應(yīng)用程序的一個(gè)問(wèn)題,但在關(guān)鍵的SAP環(huán)境中尤其有問(wèn)題。

Haun說(shuō),一些組織不支持密碼的基本標(biāo)準(zhǔn),這可能導(dǎo)致帳戶被入侵,黑客使用有效的用戶帳戶和密碼造成無(wú)法檢測(cè)到的損害。他建議:“應(yīng)該配置SAP系統(tǒng),使用戶帳戶密碼變得復(fù)雜,并且每年要修改幾次?!?/p>

超級(jí)用戶和管理員密碼不應(yīng)該給普通用戶使用,并被鎖定在數(shù)字保險(xiǎn)箱。Schroeter建議,組織應(yīng)該實(shí)現(xiàn)更強(qiáng)大的控制,包括SSO、雙因素和基于上下文的身份驗(yàn)證,而不是依賴于宏和基于文本的身份驗(yàn)證。

7. 未能制定應(yīng)急響應(yīng)計(jì)劃

對(duì)許多組織來(lái)說(shuō),面臨的一個(gè)大問(wèn)題是缺乏足夠的危機(jī)管理計(jì)劃。Schroeter說(shuō),很少有人有應(yīng)對(duì)正在展開的攻擊的程序,也很少有人有應(yīng)對(duì)危機(jī)的指揮系統(tǒng)。

他說(shuō),SAP進(jìn)行的一項(xiàng)調(diào)查顯示,企業(yè)擔(dān)心數(shù)據(jù)丟失、災(zāi)難恢復(fù)能力以及ERP環(huán)境中的業(yè)務(wù)連續(xù)性,但很少有企業(yè)有應(yīng)對(duì)危機(jī)的計(jì)劃。

8. 日志記錄和審計(jì)不足

日志記錄和審計(jì)對(duì)于實(shí)現(xiàn)跨SAP環(huán)境監(jiān)視系統(tǒng)活動(dòng)所需的可見(jiàn)性至關(guān)重要。它可以幫助管理員密切關(guān)注特權(quán)用戶,并監(jiān)控對(duì)應(yīng)用程序、數(shù)據(jù)和數(shù)據(jù)庫(kù)的訪問(wèn)以及對(duì)它們的任何身份更改。

然而,Haun說(shuō),大多數(shù)組織沒(méi)有提供足夠的審計(jì)策略來(lái)跟蹤SAP系統(tǒng)中的關(guān)鍵操作。這包括應(yīng)用服務(wù)器層和數(shù)據(jù)庫(kù)層。他表示:“審計(jì)數(shù)據(jù)可以用于主動(dòng)檢測(cè)攻擊,也可以在攻擊后提供取證數(shù)據(jù)?!?/p>

Schroeter說(shuō),SAP本身已經(jīng)為其產(chǎn)品添加了很多安全功能,并且多年來(lái)一直以安全默認(rèn)配置提供這些功能。該公司提供了有關(guān)配置漂移等關(guān)鍵主題的指導(dǎo),以及如何處理安全補(bǔ)丁和為其軟件添加安全功能。他表示:“客戶需要開始處理這個(gè)問(wèn)題,并開始以整體的方式解決網(wǎng)絡(luò)安全問(wèn)題?!?/p>

與SAP應(yīng)用程序一樣,解決安全問(wèn)題也很復(fù)雜。Schroeter指出,組織需要實(shí)現(xiàn)一個(gè)安全計(jì)劃,確定風(fēng)險(xiǎn)的優(yōu)先級(jí),并找出一個(gè)正式的方法來(lái)減輕對(duì)SAP環(huán)境的威脅。

他說(shuō),SAP去年與一家安全供應(yīng)商進(jìn)行的一項(xiàng)研究顯示,犯罪分子對(duì)SAP應(yīng)用程序的興趣增強(qiáng)了。那些繼續(xù)低估或忽視這種威脅的公司正在犯錯(cuò)誤。“10KBLAZE是我能找到的最好的例子,說(shuō)明了為什么組織需要開始處理這個(gè)問(wèn)題,”Schroeter說(shuō)。

新聞標(biāo)題:細(xì)數(shù)SAP環(huán)境中的8大安全錯(cuò)誤
鏈接URL:http://jinyejixie.com/news9/99409.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供手機(jī)網(wǎng)站建設(shè)、搜索引擎優(yōu)化外貿(mào)網(wǎng)站建設(shè)、定制網(wǎng)站云服務(wù)器、網(wǎng)站維護(hù)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

網(wǎng)站建設(shè)網(wǎng)站維護(hù)公司
邹城市| 高平市| 平遥县| 新蔡县| 运城市| 禹州市| 八宿县| 长岭县| 深圳市| 综艺| 岱山县| 昭平县| 平武县| 延边| 锡林郭勒盟| 五指山市| 唐山市| 积石山| 土默特左旗| 天峨县| 开平市| 北流市| 青川县| 井冈山市| 垦利县| 五大连池市| 炎陵县| 连城县| 葵青区| 晴隆县| 滨州市| 固安县| 德庆县| 嫩江县| 汝城县| 晋州市| 奉化市| 那曲县| 维西| 克拉玛依市| 东源县|