企業運行的SAP系統都安全嗎？

時間：2022-06-13點擊次數：927

安全性，是一個魔高一尺、道高一丈的領域。

安全性，是一個拼資金投入、拼工作能力的領域。

由于攻擊通常只在一個點，而防御力卻要在一個面。

各種網絡服務器的安全性、預防、安全事故、損害的新聞報道，大家常常會見到，許多情況下全是重大安全事故，危害范疇特別廣。

但SAP的安全隱患的新聞報道，好像大家從來沒有看見過。

是SAP或運作SAP的網絡服務器牛X嗎？或是SAP的媒體公關PR做的太“贊”了？亦或是全部安全事故全是網絡服務器的事，和SAP不相干？

SAP 是世界較火爆的和解決方法服務提供商，為85%以上的全世界500和190個國家的282,000 家顧客給予解決方法。

這確實便的基本電腦操作系統。

在這種操作系統中，幾乎運作著近30W的一切，會計、供應鏈管理、生產制造、市場銷售、人力資源管理這些。

假如這種體系的安全性出問題，那不良影響無法預料，損害也可能是一個天文數字。

Onapsis是第一家專注于科學研究SAP系統安全隱患的安全性生產商。

根據選用防止和改正方式維護SAP系統和程序的專用工具，維護這些解決重要數據信息及程序流程運用的方法。

“SAP、Oracle系統軟件的安全性，是安全領域一直忽略的一個行業，”Crawford曾表述過這種的見解。

Onapsis CEO Mariano Nunez 說：

“較讓人詫異的是，由于 SAP 實際操作精英團隊和 IT 安全性精英團隊中間的義務差別，的 SAP 網絡信息安全都面對著危害。實際上，運用的大部分補丁包都和安全性不相干、公布過遲或是引進了進一步的風險管控。”

該企業曾有過一次科學研究，并產生調查報告。

在其中，稱出95% SAP 存有明顯的安全隱患，這種問題將他們放置互聯網攻擊風險性當中并有可能致使明顯的數據泄漏。

該科學研究還匯報說，在2014年 SAP 公布了391個安全新，而他們中的50%以上都評為列入高危漏洞。

攻擊方法和危害范疇，主要是對于 SAP 應用軟件的互聯網攻擊，分成下列幾種：

關鍵互聯網：實行遠程控制作用的控制模塊。

數據庫管理：為了好地獲得或改動 SAP 數據庫查詢中的信息，利用 SAP RFC 中的漏洞實行管理權限命令。

門戶網攻擊：利用漏洞建立J2EE側門帳戶，以瀏覽 SAP 門戶網和其它內部結構系統軟件。

匯報中給予了對于SAP系統較多見的三種互聯網攻擊的關鍵點信息，這種攻擊空間向量促使黑客可以侵入SAP系統并可以瀏覽企業數據信息的應用軟件。

通過權威專家科學研究確定，互聯網攻擊可能嚴重影響下列重要業務流程過程：

在 SAP 系統軟件中間應用 Pivoting，導致顧客信息和銀行信用卡信息泄露。顧客和供應商門戶攻擊。根據SAP私有化協議書對數據庫管理進行攻擊。

依據 Nunez 常說，SAP HANA 應當對安全新的增加量承擔：

“這一發展趨勢不僅是連續的，反而是伴隨著 SAP HANA 為惡變，由于 SAP HANA 造成新的安全新提升了450%。

由于 SAP HANA 坐落于 SAP 生態體系的核心，因此儲存在 SAP 服務平臺的信息如今務必與此同時云端和前面開展維護。”

英國國土安全局 (DHS) 公布安全警報稱，國家黑客、犯罪嫌疑人和黑客資源整體規劃 (ERP) 系統軟件的攻擊主題活動在增加。

https:// .us-cert.gov/ncas/current-activity/2018/07/25/Malicious-Cyber-Activity-Targeting-ERP-Applications

該警示是在威脅情報企業 Digital Shadows 和 Onapsis 協同公布匯報后產生的。

該匯報詳細描述了國家黑客、違法犯罪機構和黑客分子結構攻擊 ERP 系統軟件層面的興趣愛好是怎樣提高的。

ERP近年來有慢慢使用云服務器的發展趨勢，可容許企業經營管理多種多樣業務流程，如客戶關系管理、股權融資、人力資源管理、銷售市場營銷運營、市場銷售、供應鏈管理這些。因為該信息的高度和總寬，ERP 變成攻擊者極具誘惑力的目的之一。

匯報警示稱，黑客對于兩徑山 ERP 手機軟件服務提供商（SAP 和甲骨文字）的一般漏洞和 0day 漏洞的興趣愛好不斷強化。

匯報強調，“大家觀察到一個大中型俄國違法犯罪社區論壇上，在溝通交流詳盡的 SAP 黑客信息，暗在網上對回收 SAP HANA 攻擊編碼的探討也在增加。以往三年來，對SAP和甲骨文字 ERP 運用的公布攻擊編碼的總數提升了100%；而2016年，對于 ERP 漏洞的行動和興趣愛好提高了160%。”

安全性權威專家強調，她們跟蹤或紀錄的大部分攻擊，并沒有應用0day 漏洞，反而是已經知道漏洞。攻擊者通常找尋的是自代管的，未按時升級補丁包的 ERP 運用，或是未被設定強安全設置的云 ERP 運用。

科學研究工作員表明，攻擊者通常利用其他企業被泄漏的賬戶密碼信息黑入職工 ERP 帳戶。這類類別的攻擊很普遍，科學研究工作人員找到出1.7萬款連接網絡 ERP 運用，而根據暴力行為攻擊或詞典攻擊，就能侵入不安全的帳戶。

可是，假如攻擊者不肯鑒別一家企業員工并執行暴力行為攻擊，那麼也可使用簡潔的解決方法。例如，Digital Shadows 和 Onapsis 企業的研究者表明，她們鑒別出500好幾個不安全的文件傳送庫文件，被曝露在網絡上的 ERP 環境變量。攻擊者可對這種環境變量開展大數據挖掘，以客戶在未來啟動攻擊。

此外，科學研究工作員表明，匯報強調，曾被國土安全局在2016年5月關鍵提到的一個已存有7年時間的 SAP 漏洞仍在遭利用，表明危害工作人員已經利用這類年久缺點。

匯報還強調，危害工作人員并沒有忽略這種年久缺點。

科學研究工作員表明，早已發覺國家黑客啟動互聯網攻擊的印痕，她們攻占 ERP 運用以瀏覽相對高度靈敏的信息或毀壞重要的工作流程。

火眼金睛企業和 ProtectWise 公司曾公布匯報，確認稱國家監管機構對云計算平臺如 ERP 系統軟件的攻擊興趣愛好。此外，日常網絡詐騙機構也逐漸攻擊 ERP。

匯報強調，臭名遠揚的 Dridex 金融機構木馬病毒在2017年升級后搜索并盜取 ERP 系統軟件和 SAP 手機軟件的各種各樣憑據信息。

黑客分子結構機構盡管已比不上十年前那麼活躍性，但她們仍然存有。

而ERP系統的安全防護廣泛或是一個非常弱的情況，這仍然有十分大的安全風險安全隱患。

終究這玩意兒的假如碰到毀壞，乃至的業務流程經營。

除此之外，立即高效的備份數據對策也特別關鍵，一旦發生風險性，迅速的恢復力也的IT運營能力。

安全性和平穩，一直是SAP在市場上主推的二張皇牌

而且SAP官方網站有專業的頻道，稱為「信賴核心」，用于詳細介紹SAP在安全領域所做的一切，以讓用戶安心。

但理論上講，只需連接互聯網技術，則沒有肯定的安全性。