现代SAP足迹和常见安全故障的复杂性使许多组织面临可避免的风险。
配置错误和其他错误(其中许多是多年来众所周知的)继续破坏企业SAP环境的安全性。 SAP足迹复杂性的快速增长是造成这种情况的重要原因。 SAP应用程序多年来一直在变化和发展,现在已连接到无数其他系统和应用程序。
典型的SAP环境由许多自定义代码和自定义组件组成,这些组件相互通信并通过各种API和接口与外部系统进行通信。 ERP领域安全提供商Onapsis的首席技术官Juan Perez-Etchegoyen表示,新的代码和协议与传统环境相互作用,并继承了他们的安全漏洞和漏洞。
他指出,不断更新配置文件,参数和配置以适应新的业务流程,但对潜在的安全风险知之甚少。这些环境的复杂性使它们充满了安全漏洞。
今年早些时候,这个问题成为人们关注的焦点,公开发布了一系列漏洞,这些漏洞已知在两个主要的SAP组件中配置错误。这些漏洞(统称为10KBlaze)为攻击者提供了一种获取SAP环境的完全远程管理控制并提示US-CERT发出警告的方法。
以下是企业SAP环境中一些最常见的配置错误和安全故障。
1.配置ACL。
访问控制列表(ACL)控制不同SAP系统之间以及SAP和非SAP环境之间的连接和通信。它们还确定用户对SAP系统的访问权限。
根据Perez-Etchegoyen的说法,控制SAP系统与外部系统之间或SAP系统之间连接的ACL通常配置不当,并且存在许多漏洞,允许一个系统上的一个人轻松访问另一个系统。他说,在渗透测试中,错误配置的ACL几乎总是向攻击者展示在SAP环境中横向移动的方法。
例如,Onapsis在5月份披露的10KBlaze漏洞是在SAP网关和SAP消息服务器中利用配置不当的ACL。这些漏洞允许攻击者完全控制SAP环境以查看,删除或修改数据,关闭系统以及执行其他恶意操作。
Onapsis的CTO表明,SAP环境的其他组件通常配置有不安全的ACL,包括SAP Internet Communication Manager(ICM),SAP Dispatcher,用于远程监控和管理的SAP Management Console以及用于OS监控的SAP Host Agent ACL。SAP本身长期以来一直警告组织有关错误配置ACL的危险。在这方面,新版本的应用程序比旧版本更安全,默认情况下ACL设置更严格,Perez-Etchegoyen说。不过,不安全的ACL仍然是SAP世界中最大的可避免漏洞之一。
2.弱用户访问控制
大多数SAP软件都有一个或多个具有高权限和管理员级别访问权限的默认用户帐户。访问此类帐户的恶意用户可能会造成严重损害。专注于SAP系统的咨询公司Enowa LLC的高级主管Jonathan Haun表示,这类账户的例子包括SAP *和DDIC,以及SAP HANA中的系统用户账户。
Haun说:“黑客知道这些帐户的存在,他们会先攻击这些帐户。”他说:“企业要么在必要时禁用这些帐户,要么使用非常复杂,随机生成的无法猜到的密码。”在某些情况下,即使是软件产品也允许管理员临时安全地使用这些帐户。
Perez-Echegoyen表示,SAP环境,特别是那些随着时间的推移而发展的环境,有许多帐户容易被滥用,为恶意用户提供完全的管理员权限,甚至超级管理员访问环境。所有内容。 “这是SAP安全与健康的一个领域,许多组织肯定需要改进。”
3.不安全的自定义代码
SAP Global Security安全通信副总裁Gert Schroeter认为,组织围绕其SAP环境构建的自定义代码和功能通常是错误的并且包含安全漏洞。 “我们在软件开发生命周期中确实遇到了很多问题,”Schroeter说。
在软件快速发布的压力下,开发组织在构建和部署软件时通常很少关注安全基础,例如代码漏洞分析,代码扫描和错误搜索。 Schroeter表示:“我们默认的是设计安全性和安全性。”在许多拥有SAP足迹的组织中,“目标并非如此”。
4.邋P的补丁管理
由于大多数SAP环境的关键任务特性,管理员通常会犹豫或不愿意做任何可能破坏可用性的事情。一个结果是安全补丁和更新——通常很少快速应用,有时甚至根本不应用,即使对于最关键的漏洞也是如此。
Perez-Etchegoyen表示,在SAP环境中应用补丁意味着通过开发,QA,预生产和所有其他层来了解影响。管理员确保修补程序不会破坏现有进程或接口所需的时间通常会导致所需的修补程序即使在第一次可用后也未实施多年。但是,Haun表示,大多数组织没有提供足够的审计策略来跟踪SAP系统中的关键操作。这包括应用程序服务器层和数据库层。他表示,“审计数据可用于主动检测攻击或在攻击后提供取证数据。”
Schroeter表示,SAP本身已为其产品添加了许多安全功能,并且多年来一直以安全的默认配置提供这些功能。该公司提供有关关键主题的指导,例如配置偏差,以及如何处理安全补丁并为其软件添加安全功能。他说:“客户需要开始处理这个问题并开始以整体方式解决网络安全问题。”
与SAP应用程序一样,解决安全问题也很复杂。 Schroeter指出,组织需要实施安全计划,确定风险的优先级,并找到减轻SAP环境威胁的正式方法。
他说,去年SAP与安全供应商进行的一项研究表明,犯罪分子对SAP应用程序的兴趣有所增加。那些继续低估或忽视这种威胁的公司正在犯错误。 “10KBLAZE是我能找到的最好的例子,解释了为什么组织需要开始处理这个问题,”施罗特说。