根據(jù)Onapsis的調(diào)查報(bào)告,全世界超過(guò)25萬(wàn)企業(yè)因SAP系統(tǒng)中存在的一系列安全漏洞而受到影響,可能導(dǎo)致嚴(yán)重的企業(yè)數(shù)據(jù)泄露。SAP是世界上最受歡迎的企業(yè)應(yīng)用軟件企業(yè)和解決方案提供商,為85%以上的全球500強(qiáng)企業(yè)和190個(gè)國(guó)家的282,000+家客戶提供解決方案。
漏洞原因
最近在對(duì)SAP解決方案提供商進(jìn)行的一項(xiàng)研究顯示,超過(guò)95%的企業(yè)SAP存在嚴(yán)重的安全問(wèn)題,這些問(wèn)題將它們置于網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)之中并可能導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露。影響包括98%的100個(gè)最有價(jià)值的品牌在內(nèi),全世界超過(guò)250000個(gè)SAP業(yè)務(wù)客戶都因SAP系統(tǒng)中的一系列漏洞而暴露在網(wǎng)絡(luò)攻擊之下。
Onapsis首席執(zhí)行官M(fèi)ariano Nunez說(shuō):
“最令人驚訝的是,因?yàn)镾AP操作團(tuán)隊(duì)和IT安全團(tuán)隊(duì)之間的責(zé)任差距,大多數(shù)公司的SAP網(wǎng)絡(luò)安全都面臨著威脅。事實(shí)上,應(yīng)用的大多數(shù)補(bǔ)丁都與安全無(wú)關(guān)、發(fā)布過(guò)遲或者引入了進(jìn)一步的操作風(fēng)險(xiǎn)。”
該研究還報(bào)告說(shuō),在2014年SAP發(fā)布了391個(gè)安全補(bǔ)丁,而它們中的50%以上都被評(píng)定為高風(fēng)險(xiǎn)漏洞。
攻擊方式及影響范圍
針對(duì)SAP應(yīng)用程序的主要網(wǎng)絡(luò)攻擊(也就是系統(tǒng)弱點(diǎn))分為以下幾類(lèi):
1. 核心網(wǎng)絡(luò):執(zhí)行遠(yuǎn)程功能的模塊。
2. 數(shù)據(jù)倉(cāng)庫(kù):為了獲取或修改SAP數(shù)據(jù)庫(kù)中的信息,利用SAP RFC網(wǎng)關(guān)中的漏洞執(zhí)行管理員權(quán)限指令。
3. 門(mén)戶網(wǎng)站攻擊:利用漏洞創(chuàng)建J2EE后門(mén)賬戶,以訪問(wèn)SAP門(mén)戶和其他內(nèi)部系統(tǒng)。
報(bào)告中提供了針對(duì)SAP系統(tǒng)最常見(jiàn)的三種網(wǎng)絡(luò)攻擊的細(xì)節(jié)信息,這些攻擊向量使得黑客可以入侵SAP系統(tǒng)并能夠訪問(wèn)公司數(shù)據(jù)的應(yīng)用程序。經(jīng)過(guò)專(zhuān)家研究確認(rèn),網(wǎng)絡(luò)攻擊將會(huì)嚴(yán)重影響以下關(guān)鍵業(yè)務(wù)進(jìn)程:
1. 在SAP系統(tǒng)之間使用Pivoting,造成客戶信息和信用卡信息泄漏。
2. 客戶和供應(yīng)商門(mén)戶攻擊。
3. 通過(guò)SAP私有協(xié)議對(duì)數(shù)據(jù)倉(cāng)庫(kù)發(fā)起攻擊。
根據(jù)Nunez所說(shuō),SAP HANA應(yīng)該對(duì)新增加的450%的安全補(bǔ)丁負(fù)責(zé):
“這一趨勢(shì)不僅僅是持續(xù)的,而是隨著SAP HANA更加惡化,因?yàn)镾AP HANA導(dǎo)致新的安全補(bǔ)丁增加了450%。因?yàn)镾AP HANA位于SAP生態(tài)系統(tǒng)的中心,所以存儲(chǔ)在SAP平臺(tái)的數(shù)據(jù)現(xiàn)在必須同時(shí)在云端和前端進(jìn)行保護(hù)。”
安全措施
該報(bào)告還提供了以下行動(dòng)計(jì)劃,用以提高SAP系統(tǒng)的安全級(jí)別:
1. 獲取基于SAP資產(chǎn)的可視化功能,以確定“風(fēng)險(xiǎn)價(jià)值”。
2. 通過(guò)持續(xù)監(jiān)控以防止安全性和遵從性問(wèn)題。
3. 檢測(cè)并應(yīng)對(duì)新威脅、攻擊或用戶異常表現(xiàn)作為攻擊的指示器。
為了保護(hù)SAP軟件,遵循任何SAP安全記錄和監(jiān)控內(nèi)部體系結(jié)構(gòu)非常重要,這能夠有效預(yù)防一些安全問(wèn)題。