Компания Digital Security представила ЕRPSсan SAP Security Intelligence — новое решение для обнаружения атак злоумышленников, выявления аномальной активности пользователей и других критичных событий в информационных системах предприятий, базирующихся на платформе SAP.
Продукты SAP используют более 250 тыс. компаний во всем миру, включая крупнейшие корпорации. Для многих из них ERP-решения данной марки фактически стали корпоративным стандартом. Но является ли SAP абсолютно безопасной платформой? Директор департамента аудита SAP Digital Security Дмитрий Частухин убежден, что это не так.
«Если вы не против разделить содержимое корпоративной тайны с злоумышленником, а возможно и со всем миром, оставьте настройки безопасности в системах SAP в режиме 'по умолчанию'», — говорит он.
По данным, которые приводит Digital Security, с 2001-го по 2014 год в продуктах SAP выявлено более 3 тыс. уязвимостей, больше всего — 2368 – найдено в системах на основе SAP NetWeaver ABAP; 1050 уязвимостей обнаружено в базовых компонентах, присутствующих в каждой инсталляции. Небезопасна и новая платформа SAP HANA. В ней уже выявлено 14 уязвимостей, таких как возможная инъекция JavaScript-кода на стороне клиента или на стороне сервера, SQL-инъекции. Кроме того, некоторые пользовательские данные, включая пароли, хранятся в хранилище SAP HANA hdbuserstore, по сути в одном файле.
«Эти данные включают логин пользователя, зашифрованный пароль, зашифрованный корневой ключ, другие ключи. Но все это зашифровано одним и тем же ключом на всех системах HANA в мире», — предстерегает Частухин.
Взлом корпоративных информационных систем чреват серьезными последствиями — это может быть промышленный шпионаж, кража финансовой информации, данных о поставщиках и клиентах, саботаж, мошенничество, отказ в обслуживании сервисов, подделка важных документов, несанкционированный доступ к технологическим сетям через доверенные соединения и другие нелегитимные транзакции.
Самостоятельно обеспечить безопасность на должном уровне пользователям SAP трудно, полагает Частухин. Помимо того, что продукты имеют уязвимости на разных уровнях, от сети до приложений, это сложные системы, а сложность – враг безопасности. К тому же решения SAP не работают «из коробки», они требуют кастомизации — до половины программного кода и бизнес-логики разрабатывается и определяется в таких проектах индивидуально, под заказчика. Это повышает степень риска. Вдобавок, важное корпоративное ПО на предприятиях редко обновляются, потому что ИТ-администраторы опасаются неполадок и остановки системы во время обновлений. Из-за этого нередко остаются незакрытыми выявленные ранее уязвимости.
Характерным является риск кражи данных о держателе карты. Эта угроза актуальна для компаний, хранящих и обрабатывающих платежные данные — банков, процессинговых центров, торгово-сервисных предприятий, платежных шлюзов, розничных сетей. В Digital Security утверждают, что шпионы могут получить несанкционированный доступ к данным из SAP ERP, хранящимся в модуле Sales and Distribution.
«Атакующий может получить доступ к таблицам, хранящим данные о держателе карты (таких таблиц в SAP около полусотни). Кража этих данных чревата прямыми денежными и репутационными потерями», — говорит Частухин.
Другой риск связан с неавторизованным доступом к зарплатным данным и возможностью изменить их. Риск такого мошенничества актуален для любой компании. Через модуль SAP ERP Human Capital Management инсайдер может изменить количество отработанных часов, а значит и сумму причитающихся ему денежных выплат.
Еще одна угроза для пользователей SAP связана с возможностью подделки банковских данных – мошенники внутри организации могут изменить банковские реквизиты любого контрагента в базе данных ERP и перенаправить предназначенные ему средства на собственный счет.
Многие из этих проблем может разрешить система ЕRPSсan Security Monitoring Suite, утверждают в Digital Security.
Как сообщил технический директор компании Александр Поляков, недавно она была усовершенствована. В частности, данное решение было дополнено инструментом Threat Map, который на основании результатов виртуального «пентеста» собственной системы организации строит наглядную карту обнаруженных проблем безопасности. Еще одна новая функция — возможность автоматического исправления некоторых уязвимостей SAP.
Однако, как подчеркнул Поляков, система ЕRPSсan Security Monitoring Suite ориентирована прежде всего на обнаружение уязвимостей. А для отражения атак компания разработала новый продукт ЕRPSсan SAP Security Intelligence. Он позволяет в реальном времени обнаруживать атаки, группировать их по дате, источнику и другим признакам. Функционал данного решения позволяет детектировать такие события, как перебор паролей, неавторизированный запуск RFC-сервисов, атаки на веб-ресурсы, обход аутентификации и др.
«Мы даем заказчику сенсор, не требующие установки в SAP-приложение и собирающие все логи в одном месте. У него есть гигабайты данных из каждой системы, в большинстве своем не относящихся к безопасности. А ЕRPSсan SAP Security Intelligence проинформирует только об инцидентах, заслуживающих внимания», — говорит Поляков.
В комплекте с ERPScan Security Monitoring Suite for SAP новое решение позволит заказчикам почувствовать себя в безопасности, уверяют в Digital Security.