細數SAP環(huán)境中的8大安全錯誤
發(fā)布時(shí)間:2022-06-16 00:25
來(lái)源:美橙資訊
閱讀:73
作者:美橙資訊
欄目: 網(wǎng)絡(luò )安全
現代SAP足跡的復雜性和常見(jiàn)的安全故障使許多組織暴露在可避免的風(fēng)險中�����。
配置錯誤和其他錯誤(其中許多是多年來(lái)眾所周知的)不斷破壞企業(yè)SAP環(huán)境的安全性�����。SAP足跡的迅速復雜性增長(cháng)是造成這種情況的一個(gè)重要原因�。多年來(lái)����,SAP應用程序一直在變化和發(fā)展�����,現在已經(jīng)連接到無(wú)數其他系統和應用程序���。
典型的SAP環(huán)境由許多自定義代碼和定制組件組成�����,這些組件相互通信����,并通過(guò)各種API和接口與外部系統進(jìn)行通信��。ERP領(lǐng)域的安全供應商O(píng)napsis的CTO Juan Perez-Etchegoyen說(shuō)�,新的代碼和協(xié)議與與傳統環(huán)境相互作用����,并繼承它們的安全漏洞和缺陷�。
他指出���,不斷地對概要文件����、參數和配置進(jìn)行更改����,以適應新的業(yè)務(wù)流程����,但很少了解潛在的安全隱患��。這些環(huán)境的復雜性使他們充滿(mǎn)了安全漏洞�。
今年早些時(shí)候�,隨著(zhù)針對兩個(gè)主要SAP組件中已知配置錯誤的一組漏洞的公開(kāi)發(fā)布�,這個(gè)問(wèn)題成為了人們關(guān)注的焦點(diǎn)�。這些漏洞被統稱(chēng)為10KBlaze���,為攻擊者提供了一種獲得對SAP環(huán)境的完全遠程管理控制的方法���,并促使US-CERT發(fā)出了警告�。
下面是企業(yè)SAP環(huán)境中最常見(jiàn)的一些配置錯誤和安全故障�����。
1. 配置ACL
訪(fǎng)問(wèn)控制列表(ACL)控制不同SAP系統之間,以及SAP和非SAP環(huán)境之間的連接和通信�����。它們還決定用戶(hù)對SAP系統的訪(fǎng)問(wèn)�。
Perez-Etchegoyen說(shuō)���,控制SAP系統和外部系統之間,或SAP系統之間連接的ACL通常配置很差�����,漏洞很多�����,允許一個(gè)系統上的人輕松地訪(fǎng)問(wèn)另一個(gè)系統�����。他說(shuō)����,在滲透測試中���,配置錯誤的ACL幾乎總是顯示為攻擊者提供了在SAP環(huán)境中橫向移動(dòng)的方法��。
例如����,Onapsis在5月份披露的10KBlaze漏洞就是為了利用SAP網(wǎng)關(guān)和SAP消息服務(wù)器中配置不良的ACL���。這些漏洞使攻擊者能夠完全控制SAP環(huán)境���,以便查看����、刪除或修改數據�、關(guān)閉系統和執行其他惡意操作���。
Onapsis 的CTO表示�����,SAP環(huán)境中經(jīng)常配置不安全ACL的其他組件包括SAP Internet Communication Manager(ICM)���,SAP Dispatcher�����,用于遠程監控和管理的SAP Management Console以及用于OS監控的SAP Host Agent ACL�。
SAP本身長(cháng)期以來(lái)一直警告組織注意配置不當ACL的危險�����。在這方面�,新版本的應用程序要比舊版本安全得多��,默認情況下ACL的設置也要嚴格得多��,Perez-Etchegoyen說(shuō)�。盡管如此���,不安全的ACL仍然是SAP世界中最大的可避免的漏洞之一��。
2. 弱用戶(hù)訪(fǎng)問(wèn)控制
大多數SAP軟件都有一個(gè)或多個(gè)具有高度特權和管理員級別訪(fǎng)問(wèn)權限的默認用戶(hù)帳戶(hù)��。訪(fǎng)問(wèn)此類(lèi)帳戶(hù)的惡意用戶(hù)可能造成嚴重損害���。專(zhuān)注于SAP系統的咨詢(xún)公司Enowa LLC的高級董事Jonathan Haun說(shuō)��,這類(lèi)賬戶(hù)的例子包括SAP*和DDIC����,以及SAP HANA中的系統用戶(hù)賬戶(hù)��。
Haun說(shuō):“黑客知道這些賬戶(hù)的存在�����,他們會(huì )首先攻擊這些賬戶(hù)���?��!彼硎?“企業(yè)要么在必要時(shí)禁用這些賬戶(hù)��,要么使用非常復雜�����、隨機生成的密碼�����,而這些密碼無(wú)法被猜到����?����!痹谀承┣闆r下�����,甚至有軟件產(chǎn)品允許管理員安全地暫時(shí)使用這些帳戶(hù)���。
Perez- Etchegoyen說(shuō)����,SAP環(huán)境����,尤其是那些隨著(zhù)時(shí)間的推移而發(fā)展起來(lái)的環(huán)境��,其中有很多帳戶(hù)�,很容易被濫用����,從而給惡意用戶(hù)提供完全的管理員權限�����,甚至超級管理員訪(fǎng)問(wèn)環(huán)境中的所有內容�?���!斑@是SAP安全衛生的一個(gè)領(lǐng)域��,很多組織肯定需要改進(jìn)��?��!?
3. 不安全的自定義代碼
SAP Global security負責安全通信的副總裁Gert Schroeter認為���,組織圍繞其SAP環(huán)境構建的自定義代碼和功能常常存在bug����,并且包含安全漏洞��?�!霸谲浖_(kāi)發(fā)生命周期方面����,我們確實(shí)看到了很多問(wèn)題����,”Schroeter說(shuō)�。
在快速發(fā)布軟件的壓力下��,開(kāi)發(fā)組織在構建和部署軟件時(shí)����,常常很少關(guān)注安全基礎��,比如代碼漏洞分析���、代碼掃描和bug搜索�����。Schroeter表示:“我們談?wù)摰氖窃O計上的安全���,以及默認情況下的安全�����?!痹谠S多有SAP足跡的組織中���,“最終情況并非如此”���。
4. Sloppy補丁管理
由于大多數SAP環(huán)境的關(guān)鍵任務(wù)性質(zhì)���,管理員常常猶豫不決或不愿意做任何可能破壞可用性的事情����。一個(gè)結果是�,安全補丁和更新——即使是針對最關(guān)鍵的漏洞��,往往很少被快速應用����,有時(shí)甚至根本不應用���。
Perez-Etchegoyen說(shuō)�����,在SAP環(huán)境中應用補丁意味著(zhù)通過(guò)開(kāi)發(fā)���,QA���,預生產(chǎn)以及所有其他多個(gè)層次來(lái)了解其影響���。管理員確保補丁不會(huì )破壞現有流程或接口所需的時(shí)間通常會(huì )導致所需的補丁即使在首次可用后數年也未實(shí)施��。
Schroeter補充說(shuō)�,由于缺乏信息�����,許多組織很難在現場(chǎng)SAP系統上識別和實(shí)現所需的補丁�����。他指出���,管理員需要定期關(guān)注漏洞公開(kāi)站點(diǎn)和數據庫����,并訂閱資源��,以便定期更新補丁信息�����。
5. 不受保護的數據
如今���,SAP環(huán)境幾乎可以連接到任何東西��,并且幾乎可以從任何地方直接或間接訪(fǎng)問(wèn)����。許多SAP工作負載也開(kāi)始轉移到云上�。
然而�����,通常實(shí)際的數據本身(盡管任務(wù)很關(guān)鍵)并沒(méi)有得到保護��。很少有公司會(huì )在傳輸或休息時(shí)對數據進(jìn)行加密����,并在加密過(guò)程中使數據暴露于不當訪(fǎng)問(wèn)和濫用的風(fēng)險之中��。Haun說(shuō):“對于和托管環(huán)境��,他們錯誤地認為供應商正在實(shí)現網(wǎng)絡(luò )加密和其他安全標準���?�!?
當您的SAP數據庫由第三方(尤其是第三方)托管時(shí)����,應該對其余數據進(jìn)行加密����,以防止不受信任的用戶(hù)訪(fǎng)問(wèn)數據����。他說(shuō):“許多組織利用托管和IaaS云平臺���,因此強烈建議對數據��、事務(wù)日志和備份文件進(jìn)行加密�����?���!?
6. 密碼管理不善
ERP系統和連接到它們的應用程序包含關(guān)鍵信息�����,但往往受到弱密碼和密碼管理實(shí)踐的保護��。使用默認密碼或跨帳戶(hù)使用相同密碼保護的高度特權帳戶(hù)的訪(fǎng)問(wèn)并不罕見(jiàn)����。弱密碼當然是跨應用程序的一個(gè)問(wèn)題�,但在關(guān)鍵的SAP環(huán)境中尤其有問(wèn)題���。
Haun說(shuō)����,一些組織不支持密碼的基本標準�����,這可能導致帳戶(hù)被入侵����,黑客使用有效的用戶(hù)帳戶(hù)和密碼造成無(wú)法檢測到的損害���。他建議:“應該配置SAP系統���,使用戶(hù)帳戶(hù)密碼變得復雜����,并且每年要修改幾次���?���!?
超級用戶(hù)和管理員密碼不應該給普通用戶(hù)使用�,并被鎖定在數字保險箱��。Schroeter建議���,組織應該實(shí)現更強大的控制����,包括SSO��、雙因素和基于上下文的身份驗證�,而不是依賴(lài)于宏和基于文本的身份驗證�。
7. 未能制定應急響應計劃
對許多組織來(lái)說(shuō)�����,面臨的一個(gè)大問(wèn)題是缺乏足夠的危機管理計劃���。Schroeter說(shuō)����,很少有人有應對正在展開(kāi)的攻擊的程序���,也很少有人有應對危機的指揮系統�����。
他說(shuō)�,SAP進(jìn)行的一項調查顯示�,企業(yè)擔心數據丟失�����、災難恢復能力以及ERP環(huán)境中的業(yè)務(wù)連續性��,但很少有企業(yè)有應對危機的計劃���。
8. 日志記錄和審計不足
日志記錄和審計對于實(shí)現跨SAP環(huán)境監視系統活動(dòng)所需的可見(jiàn)性至關(guān)重要���。它可以幫助管理員密切關(guān)注特權用戶(hù)�����,并監控對應用程序�����、數據和數據庫的訪(fǎng)問(wèn)以及對它們的任何身份更改��。
然而���,Haun說(shuō)�����,大多數組織沒(méi)有提供足夠的審計策略來(lái)跟蹤SAP系統中的關(guān)鍵操作����。這包括應用服務(wù)器層和數據庫層�。他表示:“審計數據可以用于主動(dòng)檢測攻擊����,也可以在攻擊后提供取證數據�����?���!?
Schroeter說(shuō)��,SAP本身已經(jīng)為其產(chǎn)品添加了很多安全功能����,并且多年來(lái)一直以安全默認配置提供這些功能����。該公司提供了有關(guān)配置漂移等關(guān)鍵主題的指導�����,以及如何處理安全補丁和為其軟件添加安全功能���。他表示:“客戶(hù)需要開(kāi)始處理這個(gè)問(wèn)題�,并開(kāi)始以整體的方式解決網(wǎng)絡(luò )安全問(wèn)題�?��!?
與SAP應用程序一樣�,解決安全問(wèn)題也很復雜�。Schroeter指出�,組織需要實(shí)現一個(gè)安全計劃���,確定風(fēng)險的優(yōu)先級����,并找出一個(gè)正式的方法來(lái)減輕對SAP環(huán)境的威脅��。
他說(shuō)�,SAP去年與一家安全供應商進(jìn)行的一項研究顯示���,犯罪分子對SAP應用程序的興趣增強了�。那些繼續低估或忽視這種威脅的公司正在犯錯誤�?���!?0KBLAZE是我能找到的最好的例子����,說(shuō)明了為什么組織需要開(kāi)始處理這個(gè)問(wèn)題�,”Schroeter說(shuō)����。
文章來(lái)源:https://news.cndns.com/article/9077
相關(guān)推薦
【上云季-1折驚爆價(jià)】香港/美國高性能云服務(wù)器27元起秒殺專(zhuān)場(chǎng)�,上云必備�����,火爆開(kāi)搶>>點(diǎn)擊查看詳情<<
【全球云-高性能限量搶】高性能云主機好用能省�����,高性能高配置高儲存���,輕松解鎖云端場(chǎng)景>>點(diǎn)擊查看詳情<<
【服務(wù)器-特價(jià)服務(wù)器】新購指定配置可享受限時(shí)特惠7折�。每個(gè)用戶(hù)不限臺數 低至280元月>>點(diǎn)擊查看詳情<<
