SAP系统系统漏洞及安全防护介绍
引言
SAP是ERP公认的鼻祖,也是很多大企业的首选。SAP提供企业所需管理软件和服务,从供应链管理到人力资源,再到财务以及其他领域。处理流程,存储数据,并作为复杂和大型企业的神经中枢。但是,SAP系统却是非常脆弱的,往往会成为黑客网络攻击的主要目标。
关键字: SAP 系统安全、 SAP 用户日志、 SAP 系统监控、 SAP 堡垒机、SAP 审计日志、 SAP 用户行为日志、SAP 业务审计数据
一、概述
根据网络安全厂商Onapsis的调查报告,全世界超过25万企业因SAP系统中存在的一系列安全漏洞而受到影响,可能导致严重的企业数据泄露。SAP是世界上最受欢迎的企业应用软件企业和解决方案提供商,为85%以上的全球500强企业和190个国家的282,000+家客户提供解决方案。
二、常见漏洞
最近在对SAP解决方案提供商进行的一项研究显示,超过95%的企业SAP存在严重的安全问题,这些问题将它们置于网络攻击风险之中并可能导致严重的数据泄露。影响包括98%的100个最有价值的品牌在内,全世界超过250000个SAP业务客户都因SAP系统中的一系列漏洞而暴露在网络攻击之下。
针对SAP应用程序的主要网络攻击(也就是系统弱点)分为以下几类:
- 核心网络:执行远程功能的模块。
- 数据仓库:为了获取或修改SAP数据库中的信息,利用SAP RFC网关中的漏洞执行管理员权限指令。
- 门户网站攻击:利用漏洞创建J2EE后门账户,以访问SAP门户和其他内部系统。
三、漏洞影响
根据针对SAP系统最常见的三种网络攻击的细节信息,这些攻击向量使得黑客可以入侵SAP系统并能够访问公司数据的应用程序。经过专家研究确认,网络攻击将会严重影响以下关键业务进程:
- 在SAP系统之间使用Pivoting,造成客户信息和信用卡信息泄漏。
- 客户和供应商门户攻击。
- 通过SAP私有协议对数据仓库发起攻击。
根据业内安全专家Nunez所说,SAP HANA应该对新增加的450%的安全补丁负责:“这一趋势不仅仅是持续的,而是随着SAP HANA更加恶化,因为SAP HANA导致新的安全补丁增加了450%。因为SAP HANA位于SAP生态系统的中心,所以存储在SAP平台的数据现在必须同时在云端和前端进行保护。”。
四、安全措施
为了保护SAP软件,遵循任何SAP安全记录和监控内部体系结构非常重要,这能够有效预防一些安全问题。建议SAP系统应用企业应遵循以下原则,提高SAP系统的安全级别:
1、践行安全内生的理念
利用SAP向云端迁移的契机,从整体上规划安全防护,将SAP定制开发、SAP配置、SAP集成等纳入SAP安全策略,并在整个项目中分阶段实施。改变安全防护事后补救的传统做法,实现“安全内生”。
2、构建跨部门的安全团队
SAP系统安全应该成为企业的优先事项,而不仅仅是以IT部门为中心。企业应设立跨IT、运营、财务和法律部门的团队,负责SAP系统的安全,并制定SAP系统安全的指标和决策,解决安全部门不参与SAP项目,而SAP团队不整体负责应用安全的问题;同时,将SAP系统包含在企业的安全事件响应和业务连续性方案中。
通过审计的信息风险管理无法确保SAP系统安全。IT与安全人员负责从日志与告警、多因素验证、数据防丢失等安全技术角度,对SAP环境进行细致检查,弥补SAP安全一直以来在技术漏洞与渗透测试等方面的不足。
3、核心是解决漏洞修复和配置问题
目前SAP有三种主要的部署模式: 传统的本地部署,云端署模式以及二者兼有的混合模式。鉴于SAP的主要安全风险源于大量安全漏洞未得到修复以及软件错误配置。对企业来说,除了部署足够的安全解决方案,最重要的是要解决漏洞修复和配置问题:部署补丁管理解决方案,确保对SAP系统的高危安全漏洞补丁进行审查和部署;同时,企业还需要具有确保SAP部署安全实施和配置的策略。 此外,建议还应该部署业务安全解决方案,对于关键SAP系统中进行监控,帮助安全团队发现来SAP系统中的可疑行为, 消除安全防护的盲区。
关于赛锐信息
作为SAP的资深合作伙伴,赛锐信息是一家专业提供SAP行业化管理软件解决方案的顾问公司,致力于为企业提供SAP ERP系统咨询服务、IT规划、业务流程优化、信息系统实施、行业信息系统方案开发,运营外包及售后维护等全面的服务方案。已服务1000+家不同行业、规模的大中小型企业客户。在电子高科技、汽车零部件、印刷包装、医疗器械、快消品、专业服务等行业信息化管理领域具有领导性地位。